[安洵杯 2019]easy_web&[WUSTCTF2020]朴实无华

已于 2023-08-19 22:57:39 修改
阅读量65 收藏
点赞数
文章标签: php
于 2023-08-19 22:02:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46133275/article/details/132378865
版权

文章目录

概述

本文主要记录[安洵杯 2019]easy_web和[WUSTCTF2020]朴实无华的做题过程和相关思路

[安洵杯 2019]easy_web

打开题目,发现在url上有两个参数,分别是imgcmd,发现毫无思路,直接看源码进行审计
在这里插入图片描述
对于img的值其构成为大小写字母数字,符合Base64编码的特征,尝试对其进行Base64解码
注:由于TXpVek5UTTFNbVUzTURabE5qYz0的长度为27不满足4的倍数,需要在其后面添加=,使长度为28,再进行解码
在这里插入图片描述
解码后的结果同样满足Base64编码规则,再次进行解码
在这里插入图片描述
得到的结果为一串16进制,将其转换为字符串为555.png
在这里插入图片描述
尝试将555.png拼接到url进行访问,发现就是题目一开始所展示的那张图
在这里插入图片描述
在题目首页中查看该图片的加载方式,发现是通过Base64方式进行加载的
在这里插入图片描述
通过上面的分析,可以知道只要将需要读取的本地文件的文件名经过一次字符串转16进制,两次Base64编码,再传输到img参数中,即可在题目首页看到对应文件的Base64编码
那么首先尝试读取index.php
在这里插入图片描述
在这里插入图片描述

将上面的的Base64编码进行解码后可以得到index.php的源代码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

那么现在看来img参数的作用应该就是帮助我们获取index.php源代码的,接下来的关键是cmd参数,通过查看源代码,发现对cmd参数的值进行了过滤,比如cattac等,并且下面还有更为重要的一段判断代码

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
    echo `$cmd`;
} else {
    echo ("md5 is funny ~");
}

这里由于使用了string进行了强制转换,发现数组经string强制转换后的值都为"Array",不能满足!==,所以无法使用数组进行绕过
在这里插入图片描述
那么这里就要考虑使用md5强碰撞

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

注意,在使用hackbar发送post数据时会自动将数据进行一次url编码,所以我这里使用bp,由于没有过滤dir命令,那我就使用dir命令查看flag的位置
在这里插入图片描述
使用cat的命令直接读取flag的内容
在这里插入图片描述
注意,在查看其他师傅WP时发现有师傅有疑惑,说\为什么没有被检测到或者ca\t为什么可以绕过,我在本地测试了一下,有一些收获:
1.首先我们可以看到在preg_match函数的匹配模式$pattern中确实含有|\\|\\\\|,一眼看上去像是检测了\\\,其实不是,在php对于转义字符的说明中有一段话
在这里插入图片描述
由于preg_match函数的匹配模式为字符串,那么首先它应该被当作是字符串进行处理
在 /x|\\|\\\\|z/ 中三个高亮的反斜杠都是起到转义的作用,使得后面的反斜杠能够作为匹配模式中的内容
2.经过字符串的处理之后,实际上的匹配模式/x|\|\\|z/ ,而匹配模式中又是允许转义字符存在的,那么其中的\将再次发挥转义作用,即 /x|\|\\|z/ 中高亮的转义字符再次进行转义,最后实际的匹配模式为/x||\|z/,即匹配x|\z
以下是一个小案例:
不匹配\

在这里插入图片描述

匹配|\

在这里插入图片描述

[WUSTCTF2020]朴实无华

打开题目,只有一句话,看页面源代码也没有收获,直接用dirsearch,发现有robots.txt404.html

在这里插入图片描述

访问robots.txt发现提示有fAke_f1agggg.php

在这里插入图片描述
访问fAke_f1agggg.php说不是flag,而且页面源代码中也没有线索
在这里插入图片描述
查看fAke_f1agggg.php请求头响应头,发现在响应头中提示有fl4g.php
在这里插入图片描述

访问fl4g.php,发现是一道代码审计题目,需要过三个关卡

<?php 
header('Content-type:text/html;charset=utf-8'); 
error_reporting(0); 
highlight_file(__file__); 


//level 1 
if (isset($_GET['num'])){ 
    $num = $_GET['num']; 
    if(intval($num) < 2020 && intval($num + 1) > 2021){ 
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>"; 
    }else{ 
        die("金钱解决不了穷人的本质问题"); 
    } 
}else{ 
    die("去非洲吧"); 
} 
//level 2 
if (isset($_GET['md5'])){ 
   $md5=$_GET['md5']; 
   if ($md5==md5($md5)) 
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>"; 
   else 
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲"); 
}else{ 
    die("去非洲吧"); 
} 

//get flag 
if (isset($_GET['get_flag'])){ 
    $get_flag = $_GET['get_flag']; 
    if(!strstr($get_flag," ")){ 
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag); 
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>"; 
        system($get_flag); 
    }else{ 
        die("快到非洲了"); 
    } 
}else{ 
    die("去非洲吧"); 
} 
?>

第一关,其中涉及到intval函数,可以使用科学计数法表示进行绕过

  • intval('2e4')==>当遇到第一个非数字时停止,结果为2
  • intval('2e4'+1)==>2e4首先转换成20000再加1,结果为20001

在这里插入图片描述

第二关,是==弱类型比较

  • 0e215962017被看作是科学计数法0的21…次方,即为0
  • 0e291242476940776845150308577824被看作是科学计数法0的29…次方,也为0,故相等

在这里插入图片描述
第三关,!strstr($get_flag," ")会检测是否含有空格,有的话就会退出,str_ireplace("cat", "wctf2020", $get_flag)会将$get_flag中的ctf替换为wctf2020,那么这里就不能直接用cat命令,可以先用ls看看当前目前都有哪些文件,发现一个文件名很长的文件
在这里插入图片描述

使用tac来绕过cat检测和使用$IFS$9来绕过空格检测

在这里插入图片描述

Ba22ett
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WUST-CTF easy-web tomcat CNVD-10487利用
qq_42188168的博客
03-30 678
<?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level 1 if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 &am...
BUUCTF刷题记录(5)
bmth666的博客
01-13 1685
文章目录web[GXYCTF2019]BabyUpload[网鼎 2018]Comment web 打ctf(×) 被ctf打(√) [GXYCTF2019]BabyUpload 过滤了htaccess,ph后缀,还限制了<?php,所以只能用: GIF89a <script language="php">@eval($_POST['pass']);</script&gt...
WUSTCTF2020 web题 --- 大人, 时代变了
qq_42436176的博客
07-19 4819
文章目录0x0 前言0x1 前端审计抓包逻辑分析解密算法0x2 验证码识别分析验证码处理特征提取0x3 代理池0x4 全部代码主体特征点0x5 题目源码前端App.tsxDrawer.tsx后端views.pyutils.pymodels.py 0x0 前言 出这个题的本意是看到CTF的web题老是PHP什么的, 感觉和现实情况有点脱节, 且对前端审计没有太大的要求, 于是出了这个"现代"一点的题. 这个题目模拟的是爬虫, 在多次请求后将会出现验证码, 再频繁访问将会封锁ip, 且网站是使用React写的,
WUST-CTF2020-WP
夏日 の blog
03-29 5290
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
web-ctf】ctf_BUUCTF_web(1)
一个努力生活的人的博客
11-20 1951
ctf_BUUCTF_web
BUUCTF web3
qq_61768489的博客
05-16 973
[WUSTCTF2020]朴实无华 这题主要就是绕过php特性 , 访问假flag页面 ,响应头里有文件提示 访问后得到源码,这里怎么乱码了 逐个击破 if(intval($num)<2020&&intval($num+1)>2021) 这里使用e科学计数法, $num=123e3 intval($num)解析出来是123 满足<2020 intval($num+1) 解析出来是 123e3+1 满足...
BUUCTF Web 第二页全部Write ups
yym68686
07-09 1339
目录[强网 2019]高明的黑客[BUUCTF 2018]Online Tool[RoarCTF 2019]Easy Java[GXYCTF2019]BabyUpload[GXYCTF2019]禁止套娃方法一方法二方法三[BJDCTF2020]The mystery of ip[GWCTF 2019]我有一个数据库[BJDCTF2020]Mark loves cat[BJDCTF2020]ZJCTF,不过如此[安洵 2019]easy_web[网鼎 2020 朱雀组]phpweb[De1CTF 201
buuctf刷题之旅之web(二)
qq_50589021的博客
08-19 3289
2021-5-23 [BUUCTF 2018]Online Tool 题目: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GE
BUUCTF解题十一道(04)
qq_45837896的博客
06-14 1403
文章目录[GWCTF 2019]我有一个数据库[BJDCTF2020]ZJCTF,不过如此[BJDCTF2020]The mystery of ip[BJDCTF2020]Mark loves cat[安洵 2019]easy_web[网鼎 2020 朱雀组]phpweb[ASIS 2019]Unicorn shop[BJDCTF2020]Cookie is so stable[BSidesCF 2020]Had a bad day[CISCN 2019 初赛]Love Math [GWCTF 2019
web_easy_
09-30
【标题】"web_easy_" 指的可能是一款基于Web的用户界面皮肤,它经过了定制化设计,以满足特定客户的需求。"web"通常代表Web应用或网站,而"_easy_"部分可能意味着这款皮肤追求的是简洁易用的用户体验。 在Web开发中...
easy_web_view:在移动和Web上轻松浏览Web视图!
02-04
easy_web_view 在Flutter网站和移动设备上轻松浏览Web! 支持HTML内容或单个元素 支持降价来源 支持转换为Flutter小部件 支持远程下载URL Markdown-> HTML HTML-> Markdown 支持更改URL 可选文字 如果您提供...
Easy_draw.rar_easy _easy draw_easydraw
09-24
【标题】"Easy_draw.rar" 是一个压缩包文件,其中包含了一个名为 "easy draw" 或 "EasyDraw" 的简易图像处理软件。这个软件是专为编程初学者设计的,旨在帮助他们入门图形用户界面(GUI)开发和图像处理技术。 ...
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 ...
HP_Easy_Start.app.zip 惠普打印机客户端驱动
01-14
【HP Easy Start.app.zip - 惠普打印机客户端驱动】 HP Easy Start 是一款由惠普公司专门为Mac用户设计的应用程序,用于简化安装惠普打印机驱动的过程。这个压缩包文件`HP_Easy_Start.app.zip`包含了该应用程序的...
华为HCIP Datacom H12-821 卷42
QIN_yuexiang的博客
07-17 300
转换的第一步将FFFE插入MAC地址的公司标识和扩展标识符之间,第二步将从高位数,第7位的0改为1,1改为0。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。已知某接口的MAC地址为OA-04-3B-45-1A-03,那么根据IEEE EUI-64规范生成的接口ID标识为:___-___-___-___-___-___-1A-03。数据链路层——ARP欺骗 网络层—Smurf攻击;
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 249
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1293
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
深入理解Linux网络(一):内核如何接收网络包
最新发布
又见南风的博客
07-18 643
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个... 具体的操作步骤可以参考以下代码: ... class User { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值