2020-11-28

[ACTF2020 新生赛]Exec

打开直接ping，一般所在目录没有flag，那就在根目录。

看到flag，直接cat ，

---

[GXYCTF2019]Ping Ping Ping

打开页面，直接ping，然后ls，。发现flag.php

cat flag.php读取 出现错误。空格被bang

绕过空格方法有很多，一个个试都可以

$IFS$9 <> , %09 ${IFS} %20 <

读到首页源码

被禁了bash ，但还有sh 啊。因为过滤空格，所以使用$IFS$9替代。

?ip=127.0.0.1;echo$IFS$9Y2F0IGZsYWcucGhw$IFS$9|$IFS$9base64$IFS$9-d$IFS$9|$IFS$9sh

其他解法，看到` 没有被禁用，直接可以想到内联执行。

在这里内联执行就是将 ls的输出转为输入。

?ip=127.0.0.1;cat$IFS$9`ls`

---

[RoarCTF 2019]Easy Calc

打开页面，直接查看源代码，虚假的过程就不看了。

说自己有waf，下面还有一个链接，， calc.php 直接打开。

看到代码，，get[‘num’] 一个黑名单。 但是这不是waf。。这里面没有过滤字母

eval直接执行，当我们输入php代码，会直接执行，如果没有php代码，会原样输出

输入php代码报错。输入字母报错。

经过查看别人的writeup之后，属实学到了。

PHP的字符串解析特性

我们知道PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => "bar")。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，原文链接

所以我们构造paylaod:

? num=phpinfo() 成功

查看flag，就要知道flag在哪，我们列目录。(不是ls) ，eval执行php命令，所以

因为”/” 在黑名单，所以我们用ascii码。

?%20num=1;var_dump(scandir(chr(47)))

?%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

---

[极客大挑战 2019]Knife

打开页面，提示菜刀。下面还有一句话的密码。直接连接，然后flag就在根目录。

不过遇到这样子的我一般都是手动操作，

---

[极客大挑战 2019]PHP

有备份网站，扫描，得到www.zip

打开index.php

继续看class.php

需要username =admin ，password =100 .输出flag。

再看class.php中，我们传入的值会被反序列化，那就是我们需要先序列化。

构造序列化代码。

虽然序列化了，，但是wakeup优先执行，会将username改为guest。

绕过方法就是

在反序列化字符串时，属性个数的值大于实际属性个数时，会跳过 __wakeup()函数的执行

所以我们只需要修改第一个Name后面的2 ，改成2以上的数字就行了

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

然后GET传参?select= 得到flag

---

[极客大挑战 2019]Http

考察http的基本文件头，Referer ，X-Forwarded-For，User-Agents

打开网站，查看源代码，发现链接。打开。

看到这个，直接post发包

Referer: https://www.Sycsecret.com

修改user-agents:

修改X-Forwarded-For:127.0.0.1

得到flag