XCTF Guess

最新推荐文章于 2022-04-09 17:28:44 发布
原创 最新推荐文章于 2022-04-09 17:28:44 发布 · 456 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

部署运行你感兴趣的模型镜像

在这里插入图片描述
一个文件上传的页面,尝试上传写有一句话木马的php文件
在这里插入图片描述
被检测到了…接着尝试上传一个符合要求的jpg文件
在这里插入图片描述
这就有点麻烦了,没有回显我们上传之后的文件路径,即使我们成功上传了一句话木马也无法访问,这个时候观察到我们上传文件后的url形式
在这里插入图片描述
考虑使用php://filter伪协议读取出index.php的内容。payload:?page=php://filter/read=convert.base64-encode/resource=index.php却提示error!,此时想到原来url的形式为?page=upload应该把结尾的.index.php去掉…
修改payload:?page=php://filter/read=convert.base64-encode/resource=index
在这里插入图片描述
成功读取出index.php的内容,同理修改url为?page=php://filter/read=convert.base64-encode/resource=upload读取出upload.php的内容。
接着审计一下代码

在这里插入图片描述
首先是变量$page是我们以get方式传入的page,如果没有定义的话就为null
在这里插入图片描述
限制了我们传入page不能存在有..,否则会终止进程并且会输出Attack Detected!
在这里插入图片描述
一个文件包含,如果$page.php不存在则会返回error!并且退出进程。
接着审计一下upload.php的内容
在这里插入图片描述
分别是一个输出错误信息的函数和一个输出信息的函数。
在这里插入图片描述
这是这道题目最关键的函数了,这个函数会生成包含大小写字母和阿拉伯数字的32位字符串,字符串的内容由mt_rand生成。
在这里插入图片描述

我们可以看到$check2限制了上传文件的类型和大小,$check3限制了上传文件的的后缀必须存在于白名单$reg='/gif|jpg|jpeg|png/'当中,如果成功的通过了这两条check的话就会将上传的文件保存在名为'./uP1O4Ds/' . random_str() . '_' . $_FILES['file-upload-field']['name'];的位置下。
代码审计完毕后题目的关键点有两处,一处是实现文件上传,另一处是获取到文件上传后的路径。
首先是文件上传的问题,我们可以利用phar协议进行文件上传,具体操作为创建一个写好一句话木马的php文件后压缩,随后将压缩包的后缀由zip改为jpg,在上传的时候将page变量赋值为phar://文件名即可实现一句话木马的上传。
接下来是获取文件上传后的路径的问题,最关键的是其中包含了由mt_rand产生的随机数,我们都知道php_mt_seed可以预测随机数,但是我们需要一个由该种子产生的随机数,此时注意到
在这里插入图片描述
我们的cookieSESSION是由session_id和该种子产生的随机数$ss经过md5加密所拼接构成的,其中session_id是由我们的PHPSESSID所决定的,我们将其置空后上传修改后缀后的jpg文件并解密其md5值
在这里插入图片描述
之后我们就可以利用这个随机数预测种子值,我们使用的工具为php_mt_seed
在这里插入图片描述
我们选取第一个生成的种子按照如下的脚本来预测生成的文件名

<?php
$seed = 317847731;
mt_srand($seed);
$arr = array("a", "A", "b", "B", "c", "C", "d", "D", "e", "E", "f", "F","g", "G", "h", "H", "i", "I", "j", "J", "k", "K", "l", "L","m", "M", "n", "N", "o", "O", "p", "P", "q", "Q", "r", "R","s", "S", "t", "T", "u", "U", "v", "V", "w", "W", "x", "X","y", "Y", "z", "Z", "1", "2", "3", "4", "5", "6", "7", "8", "9");
$str='';
$ss=mt_rand();
echo $ss;
for($i = 1; $i <= 32; ++$i){
	$ch = mt_rand(0, count($arr) - 1);
	$str .=$arr[$ch];
}
echo $str;
?>

生成的文件名为dhCRxKj5JRgj6lG3mUGqgJEg7cdYesCM
在这里插入图片描述
访问url:?page=phar://uP1O4Ds/dhCRxKj5JRgj6lG3mUGqgJEg7cdYesCM_shell.jpg/shell
post数据cmd=system('cat ./flag-Edi98vJF8hnIp.txt');得到flag
在这里插入图片描述

您可能感兴趣的与本文相关的镜像

Seed-Coder-8B-Base

Seed-Coder-8B-Base

文本生成
Seed-Coder

Seed-Coder是一个功能强大、透明、参数高效的 8B 级开源代码模型系列,包括基础变体、指导变体和推理变体,由字节团队开源

GAPPPPP
关注
攻防世界 xctf -Guess writeup
小傅
07-17 2058
本题的解析官网上有,这里是一个自动化的脚本,完成的是自动上传一个ant.jpg的文件(ant.jpg是一个ant.zip压缩包重命名的文件,里面是一个ant.php的一句话木马)。运行返回的是在web后台这个文件重命名后的文件的url。可通过zip伪协议访问这个木马。 这个脚本运行需要3个在linux下运行的脚本文件(因为php伪随机数的破解用了一些工具,还有一些php代码)。脚本文件有:猜解随...
xctf--新手区--guess_num
gclome的博客
04-20 947
writeup 老规矩,先checksec下,查看保护机制 64位程序,保护机制全开啊,不过不慌,先运行一下大致看看 两次输入分别是Your name和 guess number ,其余皆是程序输出,貌似没有得到什么有用的东西。 再次借助强大的IDA查看源码: 分析源码得知,我们要输入十次随机数产生的值,如果一次错,那就GG,十次全部输入正确,就success!,flag应该就藏在succes...
XCTF Guess-the-Number
YenKoc的博客
03-22 557
一.发现是jar文件,一定想到反汇编gdui这个工具,而且运行不起来,可能是我电脑问题,我就直接反编译出来了。 也发现了flag,和对应的算法,直接拉出来,在本地运行,后得到flag 二.java代码 ...
guess_num(xctf)
weixin_43868725的博客
05-06 508
0x0 程序保护和流程 保护: 流程: main() sub_C3E() 如果程序能成功运行到最后就能获得flag 0x1 利用过程 由于程序保护的比较全面,因此不能通过gets()进行栈溢出,所以只能通过模仿程序流程来解决问题。查阅资料得知srand(seed)会根据seed的数值改变rand()函数产生的随机数,也就是说相同种子生成的随机数是相同的。刚好gets()函数可以修改seed[...
xctf-pwn 之guess_num
neuisf的博客
12-30 368
未解出!经过最近几道题,发现自己思路不够开阔,不能做到应变。 此题考查内容:伪随机数可预测。 解题方法:通过IDA反编译后,F5获得伪代码,通过阅读伪代码,理清程序结构,找到破解关键:使用随机数生成数字。如果已知随机数种子,就可以提前知道随机数的值。可以通过溢出覆盖种子值。 ...
xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number
l8947943的博客
04-09 1万+
0x01. 进入环境,下载附件 题目给出的一个jar文件,我们双击打开,并将文件解压,找到其中的.class文件。我们将其反编译,此处有多种工具,我使用的vscode的Decompiler插件。如图 0x02. 问题分析 我们使用反编译得到的代码如下: import java.math.BigInteger; public class guess { public static String XOR(String _str_one, String _str_two) { BigInteger
攻防世界Reverse进阶区-Guess-the-Number-writeup
y4ung
09-21 1023
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题Guess-the-Number 题目来源: su-ctf-quals-2014 题目描述:猜个数字然后找到flag. 2. 分析 文件下载下来是一个jar包。在 http://java-decompiler.github.io/ 下载jd-gui,下载下来双击运行即可,免安装。 代码如下,读取用户输入的数字保存到guess_number,只有当my_number / 5 == guess_num
guess_num [XCTF-PWN]CTF writeup系列8
重新启程
12-20 1808
题目地址:guess_num 先看看题目情况 照例下载附件,做保护机制检查 root@mypwn:/ctf/work/python# checksec d22084e1938f4b21a380e38e2fb48629 [*] '/ctf/work/python/d22084e1938f4b21a380e38e2fb48629' Arch: amd64-64-littl...
xctf guess_num
pondzhang的专栏
12-09 180
from pwn import * #p = process('./guess_num') p = remote("220.249.52.133",41750) p.recvuntil('Your name:') payload = 'a'*32 + p64(1) #gdb.attach(p,'b* rebase(0x0000000000000D2B)') p.sendline(payload) p.recvuntil('number:') p.sendline('2') p.recvuntil('nu.
day-8 xctf-guess_num
a525024162806525的博客
09-28 168
xctf-guess_num 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5057&page=1 checksec文件: 开启了carry,不能进行栈溢出 用ida打开: 功能很简单,先输入你的...
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4517
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
XCTF-pwn-guess_num - Writeup
菜小狗.的博客
08-11 6829
学习就是一个积累的过程 在这个过程中就是为了让迷迷糊糊的东西变得明朗起来的一个过程^_ ^ 所以往往在这个过程中会付出很多的时间来一点点积累~ 按照惯例看一下题目基本情况和它的保护情况等 开启了canary,不能直接栈溢出咯~ 下一步按照惯例该丢到ida里分析了。 可以看到sub_C3E()函数是可以调用system的 再main函数的后半段发现只要将输入的值十次v4都等于v6即可进入 su...
攻防世界guess_num
zyh18851473527的博客
08-05 3143
首先下载附件 checksec一下再放入IDA中 点击进入sub_C3E函数,发现条件成立即可找到flag 接着进入v7 发现var_30在栈中占0x20,可以覆盖到seed 即利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 ...
XCTF PWN get_shell
prettyX的博客
06-12 360
基本信息 尝试运行 IDA F5 Exp from pwn import * p=remote('111.200.241.244',52682) p.interactive() 这道题... : )
XCTF 攻防世界 pwn新手题(get_shell)
weixin_43456810的博客
12-14 1611
XCTF 攻防世界 pwn新手题(get_shell) 这道题十分简单,题目描述说运行就能拿到shell,可以先用nc尝试连接一下题目场景给的地址,直接就连接上了: 然后,ls,cat flag直接就可以获取到flag了
XCTF|PWN-get_shell-WP
l2645470582_的博客
07-30 290
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 1 3、该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,再按Ctrl+X,查看关键字符串"/bin/sh"的地址 "/bin/sh"地址:0x400574 3.3、 3.4 3.5 3.6 3.7 ...
XCTF攻防世界web进阶练习_ 3_unserialize3
silence1_的博客
04-30 4290
XCTF攻防世界web进阶练习—unserialize3 题目 题目是unserialize3,是反序列化的意思,应该是关于反序列化的题 打开题目,是一段残缺的php代码 代码定义了一个类,其中有一个魔法方法_wakeup(),_wakeup()会直接退出,并输出" bad requests " 末尾有" ?code= " 看样子是要构造url来绕过_wakeup()这个函数了。 首先_wak...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
攻防世界XCTF-Pwn入门11题解题报告
ailx10
03-15 1882
Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录 ~第一题:level0解题报告:首先看看这个程序是啥呗,哦64位Linux可执行程序:IDA看看逻辑,输出一个hello world然后就...
xctf backup
最新发布
06-14
### XCTF备份方法与工具 XCTF(X-Code Technology Framework)通常指的是一个竞赛平台或技术框架,其备份方法和工具主要依赖于具体的实现环境。以下是几种常见的备份方法和工具,适用于XCTF或其他类似的技术框架。 #### 1. 数据库备份 在XCTF中,如果使用了数据库来存储用户信息、题目数据等关键内容,则可以采用以下数据库备份方法: - **mysqldump**:对于MySQL数据库,`mysqldump` 是一种常用的备份工具。它能够导出完整的SQL脚本,便于恢复和迁移[^2]。 ```bash mysqldump -u username -p database_name > backup.sql ``` - **pg_dump**:对于PostgreSQL数据库,`pg_dump` 提供了类似的备份功能[^3]。 ```bash pg_dump -U username -d database_name -f backup.sql ``` #### 2. 文件系统备份 XCTF的文件系统可能包含题目文件、日志文件和其他静态资源。这些文件可以通过以下工具进行备份: - **rsync**:用于同步本地或远程文件系统,支持增量备份,减少传输量[^4]。 ```bash rsync -avz /source/directory/ user@remote:/destination/directory/ ``` - **tar**:将文件打包并压缩为单个存档文件,方便存储和传输[^5]。 ```bash tar -czvf backup.tar.gz /path/to/files ``` #### 3. 容器化备份 如果XCTF运行在Docker容器中,可以使用以下方法备份容器状态: - **docker commit**:将当前容器的状态保存为镜像[^6]。 ```bash docker commit container_id new_image_name ``` - **docker save**:将镜像保存为可移植的归档文件[^7]。 ```bash docker save -o backup.tar new_image_name ``` #### 4. 配置文件备份 XCTF的配置文件通常包括服务启动参数、API密钥等敏感信息。可以使用Git等版本控制工具进行管理,并通过加密工具保护敏感数据[^8]。 - **git**:记录配置文件的历史变更,便于回滚和协作。 ```bash git add config_files git commit -m "Backup configuration" ``` - **gpg**:对配置文件进行加密存储,确保安全性[^9]。 ```bash gpg --output config.gpg --encrypt config.json ``` #### 5. 自动化备份工具 为了简化备份流程,可以使用以下自动化工具: - **cron**:在Linux系统中设置定时任务,定期执行备份脚本[^10]。 ```bash crontab -e # 添加如下行以每天凌晨2点执行备份 0 2 * * * /path/to/backup_script.sh ``` - **Ansible**:通过编写Playbook实现跨服务器的备份任务自动化[^11]。 ### 示例代码 以下是一个简单的Python脚本,用于备份XCTF的关键文件并上传到远程服务器: ```python import os import shutil import paramiko def backup_xctf(source_dir, target_dir): if not os.path.exists(target_dir): os.makedirs(target_dir) shutil.make_archive(os.path.join(target_dir, 'xctf_backup'), 'zip', source_dir) def upload_to_remote(local_file, remote_path, ssh_host, ssh_port, ssh_user, ssh_key): ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect(ssh_host, port=ssh_port, username=ssh_user, key_filename=ssh_key) sftp = ssh.open_sftp() sftp.put(local_file, remote_path) sftp.close() ssh.close() # 调用示例 backup_xctf('/var/xctf', '/tmp/backups') upload_to_remote('/tmp/backups/xctf_backup.zip', '/remote/backups/xctf_backup.zip', 'example.com', 22, 'user', '/path/to/key') ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值