baby_captcha
ctfshowcms
应该不难
baby_php
完美的缺点

baby_captcha


点击无脑,会给一个字典。爆破
admin fire

ctfshowcms


index.php里有个包含
/install/index.php里是个重新安装的操作,但是有锁。这里可以用存在include的界面将这个页面包含进来。再进行重新安装。这段代码有个连接数据库的操作,我们可以用这点来构造一个恶意的mysql客户端来进行任意文件读取。

原理看这:https://www.modb.pro/db/51823
主要这个:

恶意脚本:https://github.com/MorouU/rogue_mysql_server/blob/main/rogue_mysql_server.py
读取文件位置与端口号:

payload:

flag:

应该不难

https://www.dz-x.net/t/1017/1/1.html
表前缀可以写shell

baby_php

<?php/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-05-31 13:40:37
# @Last Modified by:   h1xa
# @Last Modified time: 2021-05-31 16:36:27
# @email: h1xa@ctfer.com
# @link: https://ctfer.com*/error_reporting(0);class fileUtil{private $name;private $content;public function __construct($name,$content=''){$this->name = $name;$this->content = $content;ini_set('open_basedir', '/var/www/html');}public function file_upload(){if($this->waf($this->name) && $this->waf($this->content)){return file_put_contents($this->name, $this->content);}else{return 0;}}private function waf($input){return !preg_match('/php/i', $input);}public function file_download(){if(file_exists($this->name)){header('Content-Type: application/octet-stream');header('Content-Disposition: attachment; filename="'.$this->name.'"');header('Content-Transfer-Encoding: binary');echo file_get_contents($this->name);}else{return False;}}public function __destruct(){}}$action = $_GET['a']?$_GET['a']:highlight_file(__FILE__);if($action==='upload'){die('Permission denied');
}switch ($action) {case 'upload':$name = $_POST['name'];$content = $_POST['content'];$ft = new fileUtil($name,$content);if($ft->file_upload()){echo $name.' upload success!';}break;case 'download':$name = $_POST['name'];$ft = new fileUtil($name,$content);if($ft->file_download()===False){echo $name.' download failed';}break;default:echo 'baby come on';break;
}



弱比较,并且upload的位置靠前。
代码又waf了php,内容可以用<?=绕,文件名可以用.user.ini绕过


完美的缺点

<?php/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-05-31 21:42:40
# @Last Modified by:   h1xa
# @Last Modified time: 2021-06-01 00:08:12
# @email: h1xa@ctfer.com
# @link: https://ctfer.com*/highlight_file(__FILE__);
error_reporting(0);
ini_set('open_basedir', '/var/www/html/');$file_name = substr($_GET['file_name'], 0,16);
$file_content=substr($_GET['file_content'], 0,32);file_put_contents('/c/t/f/s/h/o/w/'.$file_name, $file_content);if(file_get_contents('php://input')==='ctfshow'){include($file_name);
}

写shell应该是不可能了,看见可以进行文件包含。
羽师傅的payload:file_name=data:,<?=`ls`;’
当时没想到这么来用data,一直卡在

$file_name = substr($_GET['file_name'], 0,16);


传像这种没有赋值的post数据时,用burp (hackbar老bug了)

CTFshow baby杯wp相关推荐

  1. ctfshow baby杯 六一快乐 部分MISC WriteUp

    baby baby babyLSB 首解:zsteg+reverse+猜测 然后猜了个LSB ctfshow{WeiShenMeBuYaoLSB} 预期: 因为用stegsolve的时候g通道发现有内 ...

  2. ctfshow新手杯wp

    最近国庆在疯玩的时候抽空做了几题,简单记录一下. 热身题目 打开题目发现,点击不了,打开F12控制台发现flag: 哇库哇库 题目是一个带密码的压缩包,提示说密码为纯大小写.用工具爆破了一下午没有结果 ...

  3. ctfshow—2023愚人杯wp

    ctfshow-2023愚人杯wp 热身 热身 100 愚人杯比赛秉承欢乐.有爱.进取的精神 在群里师傅热心帮助下,已经开始第三届比赛啦! 欢迎各位师傅参加,希望大家玩的开心,比赛题目可以自由讨论.但 ...

  4. CTFshow月饼杯crypto部分wp

    CTFshow月饼杯crypto部分wp crypto 1 题目描述: 密文如下: 第一行给出为自动密码,搜索到相关文章下载break_autokey.py和相关的词频统计脚本,修改ctext跑一下发 ...

  5. CTFSHOW新手杯MISC部分WriteUp

    引文 之前复现了CTFSHOW新人杯的WEB方向部分题目,今天就复现一下MISC为主的题目,可能有些读者不太明白MISC方向是什么意思,简单来说就是"杂项",包括:隐写,压缩包处理 ...

  6. ctfshow七夕杯

    ctfshow七夕杯misc海盗的密码WP 题目链接 题目描述 阿卜杜拉希.三哈.穆罕默德是一名来自索马里的海盗,当他不工作的时候,就喜欢窝在家里上上网,学学安全方面的知识. 听说他喜欢用ip地址做密 ...

  7. ctfshow单身杯

    目录 <1> web (1)签到(data协议) (2) easyPHP(awk执行命令) (3) 姻缘测试(ssti) (4) blog <2> Misc (1)misc签到 ...

  8. 【pwn】2021 鹤壁杯 wp

    [pwn]2021 鹤壁杯 wp 前言 这场比较简单,但是也看到了自己急于求成的下场,基础知识非常不牢固,很多调试手段都太拉了,逆向能力也是非常差,还是得跟着师傅们继续学啊! 1.ret2libc1 ...

  9. 2020湖湘杯 wp

    2020湖湘杯 wp web 题目名字不重要反正题挺简单的 NewWebsite misc misc2(题目名忘了.....) 总结 昨天打了下湖湘杯,签到选手上线. web 题目名字不重要反正题挺简 ...

最新文章

  1. CVPR2020:训练多视图三维点云配准
  2. css设置标题边框,css 如何让文字标题显示在边框上?
  3. golang中的json
  4. mysql 开发进阶篇系列 22 磁盘I/O问题(从linux操作系统上优化)
  5. Java线程池newSingleThreadExecutor newFixedThreadPool newCachedThreadPool newScheduledThreadPool
  6. TensorFlow(七)tf.nn库
  7. 英语进阶系列-A06-本周总结
  8. Linux7/Redhat7/Centos7 安装Oracle 12C_安装Oracle软件_04
  9. 日常问题——解决mac下 ssh: connect to host localhost port 22: Connection refused
  10. sumif三个条件怎么填_Excel根据条件进行求和的几个常用函数公式!
  11. linux关于权限的案例,16. Linux权限管理案例1 - 警察与土匪
  12. java 性能调优,使用 async-profiler + FlameGraph火焰图 分析cup消耗热点代码
  13. Java回调函数详解
  14. TurboMail邮件系统图片签名档功能
  15. html中js alert函数,javascript的alert是什么
  16. 关于反病毒技术的想法
  17. Nginx反向代理+PHP服务器搭建
  18. 快来抄吧:Project Plan Template 项目计划模板
  19. 东方新山水摄影在好莱坞引起新潮流
  20. 汽车云算力“竞速”,个性化进阶成新风向

热门文章

  1. mongodb--读操作
  2. c语言编程规范总结,【技术小记 | C语言】C 语言编程规范
  3. Android 底层知识拾零
  4. UUess网络电视2007,UUESE免费下载,最新版UUESS官方免费下载 - uuess.org.cn
  5. 几款常用的富文本编辑器总结
  6. 『HTML5梦幻之旅』-滚动播放的幻灯片效果
  7. 基于APE物理引擎的管线容积率计算方法
  8. Flutter开发之——网络请求-Dio
  9. UiBot 遍历二维数组
  10. 为网站代码块pre标签增加一个复制代码按钮代码