【BUU刷题日记】——第二周

一、[WUSTCTF2020]朴实无华 1

  • 目录爆破

    使用dirsearch扫描发现没有结果,因为如果dirsearch请求过快则会导致超出服务器最大请求,扫描不出本来可以访问的目录,所以需要调小线程数:

    python dirsearch.py -u http://d8149651-49cb-4573-a1f7-1fbc8b1ab946.node4.buuoj.cn:81/ -t 30

  • 访问

    抓包一下:

    直接访问,会出现一堆中文乱码,使用火狐修复一下变成下图:

    <img src="/img.jpg">
    
<?php
    
header('Content-type:text/html;charset=utf-8');
    
error_reporting(0);
    
highlight_file(__file__);

//level 1
    
if (isset($_GET['num'])){
    
    $num = $_GET['num'];
    
    if(intval($num) < 2020 && intval($num + 1) > 2021){
    
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    
    }else{
    
        die("金钱解决不了穷人的本质问题");
    
    }
    
}else{
    
    die("去非洲吧");
    
}
    
//level 2
    
if (isset($_GET['md5'])){
    
   $md5=$_GET['md5'];
    
   if ($md5==md5($md5))
    
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
    
   else
    
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
    
}else{
    
    die("去非洲吧");
    
}

//get flag
    
if (isset($_GET['get_flag'])){
    
    $get_flag = $_GET['get_flag'];
    
    if(!strstr($get_flag," ")){
    
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
    
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
    
        system($get_flag);
    
    }else{
    
        die("快到非洲了");
    
    }
    
}else{
    
    die("去非洲吧");
    
}
    
?>

    观察源码可以发现,要想得到flag需要进行三次绕过。

  • 第一关

    需要满足:

    intval($num) < 2020 && intval($num + 1) > 2021

    可以使用科学计数法,使num=2e4,intval函数的处理num会认为num为字符串,从第一个数字开始转换,直到遇到非数字。但是num+1运算时会将num作为科学计数法。

    $num=2e4
    
intval($num)=2
    
intval($num+1)=20001

  • 第二关

    需要满足:

    $md5==md5($md5)

    只需要$md字符串开头为0e,并且md5($md5)后开头也为0e,这样php中弱等于就会将其作为科学计数法,0==0。

    $md5=0e215962017

  • 第三关

    两个条件:

    !strstr($get_flag," ")
    
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);

    需要$get_flag中不包含空格,不包含cat。

    对于空格的规避可以使用:${IFS}、$IFS$1

    对于cat的规避可以使用:ca\t、tac、more

总结

  • 目录爆破在有些情况下需要调小线程才能爆破成功
  • php intval函数的漏洞
  • php 在md5函数情况下的等号漏洞
  • linux规避空格、关键词过滤

二、[BJDCTF2020]ZJCTF,不过如此

  • 代码:

    <?php

error_reporting(0);
    
$text = $_GET["text"];
    
$file = $_GET["file"];
    
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    
    if(preg_match("/flag/",$file)){
    
        die("Not now!");
    
    }

    include($file);  //next.php

}
    
else{
    
    highlight_file(__FILE__);
    
}
    
?>

    file_get_contents:把文件中的内容读入字符串。

  • 利用

    对于文件读取的协议可以使用data伪协议,它是一个数据流封装协议,从php5.2.0开始生效

    构造payload:

    ?text=data://text/plain,I have a dream
    
或者
    
?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=

    下面的变量file提示查看next.php,文件包含使用php伪协议,payload如下:

    ?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/convert.base64-encode/resource=next.php

    得到的base64字符串解密后:

    <?php
    
$id = $_GET['id'];
    
$_SESSION['id'] = $id;

function complex($re, $str) {
    
    return preg_replace(
    
        '/(' . $re . ')/ei',
    
        'strtolower("\\1")',
    
        $str
    
    );
    
}

foreach($_GET as $re => $str) {
    
    echo complex($re, $str). "\n";
    
}

function getFlag(){
    
	@eval($_GET['cmd']);
    
}

    • preg_replace函数:

      preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed

      其中,$pattern 参数是一个用于匹配的正则表达式,$replacement 参数是替换的字符串,$subject 参数是需要进行替换的原字符串。$limit 参数表示最多替换的次数(默认为 -1,表示不限制替换次数),$count 参数是一个用于存储实际替换次数的变量(可选)。

      上面的代码就是通过变量$re中的模式匹配,将$str中匹配到的字符串转化为小写。

    • /e漏洞:

      在preg_replace的/e模式下,会将替换字符串当做php代码来执行,这样就可以调用getFlag()函数进行命令行操作。

      $str = '1 2 3 4 5';
      
$result = preg_replace('/\d+/e', 'pow($0, 2)', $str);
      
echo $result; // 输出 1 4 9 16 25

      这段代码就是将$str中的变量全部平方。$0代表匹配到的字符串,也就是数字本身。

      在本题中,替换字符串部分为'strtolower("\\1")',其中\1等价于$1,代表匹配到的第一个字符串。整个含义就是将匹配到的第一个字符串全变成小写。

    • foreach:

      表示把$GET数组中键值赋值给$re,单元值赋值给$str。

    • payload:

      因为模式串中为$re的值所以GET传入的变量名应该为?.*,因为.用于匹配除了\n的其他任意字符。但是使用GET传入变量时.会被过滤成_,因此换用其他表达式/S*。

      同时其值应该为${getFlag()}用于执行getFlag函数,cmd的值为system('cat /flag')。

      ?\S*=${getFlag()}&cmd=system('cat /flag');
      
//分号不能丢

      其实不太明白为什么要加*号,网上对${}里面的函数调用也描述很少,先记下来。

总结

  • data伪协议输入文件流
  • preg_match在/e模式下的漏洞

【BUU刷题日记】--第二周的更多相关文章

  1. Buu刷题

    前言 希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面.(ง •_•)ง easy_tornado 进入题目 看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看 ...

  2. Leetcode | 刷题日记(1)

    本文记录个人刷题记录 推荐两个刷题网站: 地址:https://leetcode.com/ 另外一个地址:http://www.lintcode.com/ 1.Write a SQL query to ...

  3. BUU刷题01

    [安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...

  4. python刷题第三周

    以下是本周有所收获的题目 第一题: 第4章-4 验证"哥德巴赫猜想" (20 分) 数学领域著名的"哥德巴赫猜想"的大致意思是:任何一个大于2的偶数总能表示为两 ...

  5. lightoj刷题日记

    提高自己的实力, 也为了证明, 开始板刷lightoj,每天题量>=1: 题目的类型会在这边说明,具体见分页博客: SUM=54; 1000 Greetings from LightOJ [简单 ...

  6. BUU刷题记录

    [GWCTF 2019]mypassword xss+csp 打开页面可以注册登录 登进去提示不是sql注入 然后提示源码 看一下 然后有段后端代码写道了注释里 <!-- if(is_array ...

  7. 刷题日记-JZ25合并有序链表

    合并有序链表 递归方式合并链表pHead1,pHead2 base case是 pHead1为空或者pHead2为空 递归方式是 如果pHead1->val < pHead2->va ...

  8. mysql刷题笔记

    近期,为提升自己的工程能力,在休息时常通过刷题来回顾一下基础性知识. 于是选择了牛客网上的mysql知识题库练手,过程中,主要遇到了几个比较有意思的题,记录下来,方便回顾. 题1:SQL29 计算用户 ...

  9. 牛客SQL刷题第一趴——非技术入门基础篇

    user_profile表: id device_id gender age university province 1 2138 male 21 北京大学 Beijing 2 3214 male   ...

  10. python刷题第二周

    1: 第3章-5 字符转换 (15 分) 本题要求提取一个字符串中的所有数字字符('0'--'9'),将其转换为一个整数输出. 输入格式: 输入在一行中给出一个不超过80个字符且以回车结束的字符串. ...

随机推荐

  1. gRPC vs. HTTP:网络通信协议的对比

    概述 gRPC 和 HTTP 是两种常见的网络通信协议,用于在客户端和服务器之间进行通信.它们具有不同的特点和适用场景,下面对它们进行详细比较. HTTP(Hypertext Transfer Pro ...

  2. 如何在docker中创建postgresql数据库并使用prisma进行连接

    在docker中创建postgresql # docker 创建 postgres docker pull postgres # 创建容器 # ~/study/db/postgres 是本地的文件映射 ...

  3. Unity UGUI的Mask(遮罩)组件的介绍及使用

    Unity UGUI的Mask(遮罩)组件的介绍及使用 1. 什么是Mask组件? Mask(遮罩)组件是Unity UGUI中的一个重要组件,用于限制子对象的可见区域.通过设置遮罩组件,可以实现一些 ...

  4. java解析CSV文件(zipFiles 打成压缩包 exportObeEventDataExcel 前端页面响应)

    JAR包及代码17:39:09 <!-- https://mvnrepository.com/artifact/com.opencsv/opencsv --> <dependency ...

  5. 安装mysql5.7.20,和遇到的一些错误及解决方案

    下载: mysql-5.7.20是解压版免安装的,mysql-5.7.20下载地址:http://dev.mysql.com/downloads/mysql/ 2.安装 解压在你喜欢的位置 3.配置 ...

  6. Windows安装SSH服务器

    1.打开Win的设置并在设置中找到应用 2.在应用中依次选择应用和功能 可选功能 3.在可选功能中选择添加功能 (OpenSSH客户端默认已存在) 选中OpenSSH服务器后点击下方的安装 4.快捷键 ...

  7. Centos7中Jar快速启动脚本

    Centos7中Jar快速启动脚本 创建一个文本,将以下脚本内容复制到文本当中,重命名文本后缀为.sh 注意:根据自己的项目进行更改相关内容,对应注释已说明 #!/bin/sh APP_NAME=ma ...

  8. Blazor如何跟随“系统主题”?

    1. 前言 跟随系统主题已经是绝大多数App和网站的标配 但是如何在Blazor中跟随系统主题? 只找到Masa Blazor技术团队发的 MAUI + Masa Blazor 开发界面跟随系统主题切 ...

  9. eclipse module-info.java文件

    module 本模块的名称{ exports 对外暴露的包路径; requires 需要依赖的其他模块名称; } module-info.java不是类,不是接口,是一些模块描述信息.module也不 ...

  10. Redis从入门到放弃(5):事务

    1.事务的定义 Redis的事务提供了一种"将多个命令打包, 然后一次性.按顺序地执行"的机制. redis事务的主要作用就是串联多个命令防止别的命令插队. 但是,事务并不具有传统 ...