HFCTF2022 Web ezphp

最新推荐文章于 2023-03-13 19:40:32 发布
原创 最新推荐文章于 2023-03-13 19:40:32 发布 · 6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #Web

本文介绍了一个名为HFCTF2022 ezphp的比赛题目,详细解析了如何通过利用Nginx和Fastcgi的特性,结合环境变量注入技巧,最终实现获取flag的过程。

HFCTF2022 ezphp

文章目录

题目上去给了代码

<?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?>

这个题目本来以为考点是p佬的文章,但是不是这样的。
p佬文章:我是如何利用环境变量注入执行任意命令

这个题目的考点是Nginx 在后端 Fastcgi 响应过大 或 请求正文 body 过大时会产生临时文件。如果打开一个进程打开了某个文件,某个文件就会出现在 /proc/PID/fd/ 目录下,我们可以通过重复发包so造成文件缓存,然后用LD_PRELOAD去加载我们这个动态链接库

当nginx接收来自fastcgi的响应时,若大小超过限定值不适合以内存的形式来存储的时候,一部分就会以临时文件的形式保存到磁盘上。
所以我们的exp.so需要加上一些无用数据让整个文件稍大。
具体可以参考hxp CTF 2021 跳跳糖社区

exp.c

#include <stdlib.h>
#include <stdio.h>
#include
最低0.47元/天 解锁文章
PwnTheBox(web篇)---ezphp
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-08 944
文章目录PwnTheBox(web篇)---ezphp题目题解 PwnTheBox(web篇)—ezphp 题目 <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php") { unlink($file); } } }
buuctf刷题之旅(三) 知识点+坑
qq_50589021的博客
11-05 2189
[NCTF2019]True XML cookbook WP 最后一位不一定是11,需要自己内网探测 打2021的geek大挑战了 [MRCTF2020]套娃 WP [极客大挑战 2019]RCE ME WP [CISCN2019 华北赛区 Day1 Web2]ikun JWT、pickle反序列化 WP [WUSTCTF2020]颜值成绩查询 import requests url= 'http://b91f52c4-276b-4113-9ede-54fb712ac6da.node3.buuoj.cn/
[HFCTF2022]ezphp
snowlyzz的博客
10-24 2781
FastCgi 缓存文件加载恶意so
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1
[HFCTF 2022]两道web题目wp
cosmoslin的博客
03-28 6803
ezphp <?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?> 看到这段代码不难联想到P神的博客 我是如何利用环境变量注入执行任意命令 题目给了一个docker用于本地搭建环境,可以发现题目用的系统环境为debian。在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash。 由于
bugku ctf web8 (txt????)
qq_42777804的博客
08-02 756
进去网站 是如下的源码 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!<...
HFCTF2022RE部分WP
weixin_50783572的博客
03-28 1276
fpbe 这题通过题目了解到了这是一个用了BPF的程序 通过查看https://github.com/libbpf/libbpf/blob/master/src/libbpf.h 可以知道对程序进行了hook /** * @brief **bpf_program__attach_uprobe()** attaches a BPF program * to the userspace function which is found by binary path and * offset. You can
HF2022-EzPHP复现
as you know, nlp is fantasitc!
07-27 573
由于程序是运行时动态加载链接的库,如果让程序加载一个恶意的文件,那么就可以劫持程序的运行,从而可以绕过disable_function,执行命令。LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为。构造更大的二进制文件,通过在一个so文件尾部追加脏字符。...
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
[ctfshow web入门]常用姿势817-820 &&虎符ctf ezphp
weixin_45751765的博客
05-09 1559
0x00 前言 接上一篇继续记录ctfshow web入门常用姿势 嗝 820 非常规文件上传 php中的base64_decode只对合法字符合并后进行解码,非法字符会直接丢弃,不参与整体的base64解码 合法字符包括 A-Za-z0-9/+ 字母26+26 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-04-30 10:52:40 # @Last Modified by: h1xa # @Last Mod
[虎符CTF] ezphp:LD_PRELOAD环境变量注入
Landasika的博客
05-17 1484
目录 思路遇到的问题什么是.so文件什么是LD_PRELOAD构造.so文件找到Nginx的缓存文件的目录遇到的问题找到缓存目录上传.so 思路 参考链接: http://y24.top/posts/%E6%96%87%E7%AB%A0/2022%E8%99%8E%E7%AC%A6ctf/ https://tttang.com/archive/1384/ https://www.anq...
BUUCTF--[BJDCTF2020]EzPHP
qq_46263951的博客
07-30 624
在页面的源代码中我们可以发现一个BASE32码,解码后得到1nD3x.php 可以得到源代码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=red><B&g..
end 21-4-19
qq_45781155的博客
04-19 285
强网杯 2019 随便注 http://www.bmzclub.cn:20431/?inject=1';show database;# http://www.bmzclub.cn:20431/?inject=1';show tables;# http://www.bmzclub.cn:20431/?inject=1';show columns from flagg;# http://www.bmzclub.cn:20431/?inject=1';sEt @a=concat("sel","ect fla
HECTF2020题解之ezphp
Mrs_H的博客
01-04 985
HECTF2020题解之ezphp 一 题目的来源 这道题的前身来源于NCTF2019的一道题名为“easyphp”,在HECTF中并没有完全复刻上述的题目,只是对其中的两个考点进行了参考,这篇文章也将对这其中的两个考点进行讲述。本文在在行文过程中同样参考了NCTF2019的官方wp,链接会放在文章最后。 二 题目描述 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET
BUUCTF-[BJDCTF2020]EzPHP
m0_52016680的博客
05-07 616
一道挺不错的绕正则表达式的题。 打开环境 点一点发现啥也没有,日常看源码。Ctrl+U发现了一个加密,本以为是base64,但是解码失败,试了试base32成功了 这里推荐一个网站CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 各种编码方式加密方式挺全的,值得收藏。 访问之后发现是代码审计 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; ..
审计练习18——[BJDCTF2020]EzPHP
qq_43756333的博客
06-30 659
平台:buuoj.cn 打开靶机加载来自卡巴斯基网络威胁实时地图,控制台查看源码发现base64,解码得1nD3x.php 访问得源码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=
BUUCTF [BJDCTF2020]EzPHP1详解
Aiwin的博客
05-14 1809
BUUCTF [BJDCTF2020]EzPHP1包含的知识与详解
hxpctf2022 valentine
qq_61768489的博客
03-13 971
它是这里来防止模板注入, 写题的时候走到这里就是想绕过校验,但是没有找到合适的方法。其实我们用bp抓包就可以忽略这里的重定向问题哈哈哈,可以顺利拿到重定向的uudi路径。全局肯定不行了,所以使用单个模板文件方式,可以看到,其实就是多写一句。拿到题目的感觉是模板渲染嘛,并且是ejs模板。一般的payload是。
HFCTF2022线上赛官方Writeup:WEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,题目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值