[安洵杯 2019]easy_web

发表于 2020-02-17 更新于 2020-07-12 分类于刷题记录阅读次数： Valine：

[安洵杯 2019]easy_web

刷题记录

题目第一层那个文件名两次base64加密一次十六进制转ascii，真的有点毒，我用的在线解码还出问题了。。。过了就可以拿到index.php的源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi～ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

说白了就是不让直接获取flag，强类型md5过了之后可以过一个超级过滤来执行命令

阅读全文 »

PHP反序列化

发表于 2020-02-16 更新于 2020-07-12 分类于笔记阅读次数： Valine：

PHP中的反序列化漏洞

可能利用反序列化的提示

代码中出现file_get_content等文件操作相关函数
unserialze，serialze等危险函数
类中存在__wakeup，__toString，__call，__sleep等魔法方法
这时输入若可控，即可构造序列化数据，在反序列化过程中执行函数，控制文件读取，拿到flag

且__construct()函数只在对象创建（new）时会自动调用，但在 unserialize() 时是不会自动调用的

__wakeup函数绕过

阅读全文 »

反弹shell入门

发表于 2020-02-14 更新于 2020-07-12 分类于笔记阅读次数： Valine：

反弹shell入门

起源于今天AA师傅的一个简单web，但是由于对反弹shell的一无所知和对某些知识的偏差认识浪费了一个下午没做出来
反弹shell需要对标准输入输出流重定向有一点基础的理解，大致原理不在赘述，只是做个记录

上很简单的源码

<?php
    highlight_file(__FILE__);

    if ($a = @$_GET['a'])
        eval(substr($a, 0, 5));

PHP的命令执行

阅读全文 »

SUCTF2019 ezweb

发表于 2020-02-12 更新于 2020-07-18 分类于刷题记录阅读次数： Valine：

SUCTF2019 ezweb

BUU平台上复现题目，主要学习了一下异或绕过的操作还踩了一些奇奇怪怪的坑，题目共三层，层层绕过搞了我好几天，还是太菜了

第一层

第一层源码

$hhh = @$_GET['_'];;

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F];+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

阅读全文 »

三叶草招新赛部分wp

发表于 2019-12-10 更新于 2020-07-12 分类于刷题记录阅读次数： Valine：

三叶草招新赛部分wp

最近是三叶草招新，不愧是强队，招新赛都这么难，学习了QWQ

性感黄阿姨在线聊天

打开是一个对话框，输入表情包可以获得三叶草师傅们的表情包（没有什么实际意义）
题目分两层，一层PHP弱类型一层XXE（xml实体注入）

弱类型比较字符串

阅读全文 »