今天做的這道題也不是很難,就是在做題的時候需要聯絡一些函式的功能,先記錄一下這些函式:
scandir()可以掃瞄當前目錄下的檔案
localeconv() 返回一包含本地數字及貨幣格式資訊的陣列
array_reverse()以相反的元素順序返回陣列
array_flip()交換陣列的鍵和值
array_rand()從陣列中隨機取出乙個或多個單元,不斷重新整理訪問就會不斷隨機返回
current()返回陣列當前的值
next()將內部指標指向陣列中的下乙個元素,並輸出 題目
[gxyctf2019]禁止套娃
首先要用githack掃瞄.git
開啟index.php,原始碼如下:
<?php
include
"flag.php"
;echo
"flag在**呢?";
if(isset
($_get
['exp'])
)else
}else
}else
}// highlight_file(__file__);
?>
分析**;
首先考慮爆目錄
由於scandir()函式需要有乙個directory,要考慮乙個自帶常量的函式,查到可以是localeconv(),通過陣列聯絡到current函式
用array_reverse()函式以相反的元素順序返回陣列,然後再next() 可以訪問flag.php
問題:如何讀flag.php的原始碼?
因為et被ban了,所以不能使用file_get_contents(),但是可以可以使用readfile()或highlight_file()以及其別名函式show_source()
payload:
?exp=highlight_file(next(show_source(scandir(current(localeconv())))));
還看到了另一種方法,
同樣是要用到上述函式,就是涉及到了php的session機制,session_id()可以獲取到當前的session id,抓包後手動設定名為phpsessid的cookie,同樣的payload即可。
由於某人巴拉巴拉巴拉巴拉的,只好再做一道題,這道題是完全沒啥思路。。。
題目:[gkctf2020]checkin
大概是要用base64將ginkgo要傳的內容編碼,有eval函式想到跟一句話木馬有點關係吧。。。
看wp先是要訪問phpinfo(),看一下php配置,將phpinfo();base64後上傳,看一下資訊,其實不太懂,就是過濾了很多函式,系統命令也無法執行,應該是只能執行php命令?
上傳一句話木馬:
eval
($_post[1]);
加密後:zxzhbcgkx1bpu1rbmv0pow==
蟻劍連線,找flag找不到,而且好像是說沒有許可權,
這裡涉及到php7.3版本中存在的disable_function繞過漏洞,由於本身禁用了一些系統命令,需要將進行繞過的exp上傳至伺服器目錄,
exp.
將pwn後面的執行命令修改
上傳的時候要選擇合適的目錄,tmp目錄可讀可寫。
上傳成功後再
得到flag
(以後做題時候也要考慮版本問題)
被監督寫部落格 Day4
ssrf 一些函式表示 建立乙個curl資源 ch curl init 設定url和相應的選項 設定成0表示將返回的內容直接輸出,若是1或者true則是直接儲存不輸出 抓取url並傳給瀏覽器 curl exec ch 關閉curl系統,並釋放系統資源 curl close ch public fun...
衝刺部落格Day6
團隊成員 任務鄭耿松 專案討論,編寫每日計畫,部落格編寫 蔡君福好友模組後端介面具體設計 陳松坤好友模組的分析,討論與設計 潘偉鉦好友模組的分析,討論與設計 鄭耿桐好友模組前端頁面具體設計 團隊成員 任務鄭耿松 與組員溝通進展,專案討論 蔡君福修改後端介面bug 陳松坤測試 潘偉鉦測試 鄭耿桐修改前...
scrum衝刺部落格 day6
第六篇scrum衝刺部落格 2.工作情況 隊員昨天已完成的工作 今天計畫完成的工作 工作中遇到的困難 陳嘉喜檢查一下頁面跳轉的位址和js的觸發事件有無問題 解決一下要手動在資料庫建表的問題 未遇到謝曉嵐 檢查一下是否有可能在.sql檔案 問題 協助組員 未遇到宋鯤寶 完成第五篇衝刺部落格和畫燃盡圖,...