夺旗赛满屏的php代码,i春秋ctf夺旗赛（第四季）writeup——web

前言&＃xff1a;

这次的比赛一共有六道web题&＃xff0c;接下我会详细介绍解题的步骤以及思路&＃xff0c;以便让小白和没有接触过这类题型的小伙伴们能读懂。

第一题&＃xff0c;nani

1、打开网页啥都没有&＃xff0c;内容一片空白啥。这时候我们应该按F12去查看网页源码。往往很多提示和关键性信息都藏在这里。如图所示&＃xff1a;

在这里插入图片描述

2、得到提示&＃xff1a;./index.php?file&＃61;show.php &＃xff1b;看到关键字file&＃xff0c;下意识想会不会存在文件包含呢&＃xff1f;不急&＃xff0c;我们先去访问一下这个链接。如图所示&＃xff1a;

在这里插入图片描述

3、得知user.php的提示&＃xff0c;我们接着再去访问user.php会发现又得到空白页面。不急&＃xff0c;我们回头研究一下./index.php?file&＃61;show.php&＃xff0c;检测是否存在文件包含漏洞。

构造一下payload&＃xff1a;

/index.php?file&＃61;php://filter/read&＃61;convert.base64-encode/resource&＃61;user.php

在这里插入图片描述

4、成功返回了base64加密后user.php的源代码&＃xff0c;说明思路是正确的&＃xff0c;我们继续往下走。

base64解密后得到如下代码&＃xff1a;

在这里插入图片描述

5、开始代码审计&＃xff0c;主要有两个要注意的地方&＃xff0c;wakeup()函数和unserialize()函数。之所以关注他们&＃xff0c;是因为这两个函数在一起容易引发__wakeup()函数漏洞。构造payload&＃xff1a;cmd&＃61;O:7:“convent”:3:{s:4:“warn”;s:13:“system(“ls”);”;}

解释一下payload吧&＃xff1a;

传入的参数是cmd&＃xff0c;是post类型的&＃xff1b;

O&＃xff1a;后面的数字7表示类"convent"的长度

3&＃xff1a;表示的是错误的变量的数量

s: 表示的是字符串的长度

6、在hackbar执行构造好的payload&＃xff1a;

在这里插入图片描述

7、成功执行了ls命令&＃xff0c;返回了目录信息。所以我们用同样的方法构造payload得到flag

在这里插入图片描述

第二题&＃xff0c;random

在这里插入图片描述

1、代码审计后&＃xff0c;可以知道代码可以传入三个参数&＃xff1a;hello,seed,key&＃xff1b;

hello参数作用&＃xff1a;调用文件flag.php&＃xff1b;

seed参数的作用&＃xff1a;为mt_scrand()函数选定种子。种子确定了&＃xff0c;mt_rand()就可以生成相应的随机数了。

key参数作用&＃xff1a;传入的值要等于mt_rand()生成后的随机数。

2、可以利用php伪随机数漏洞&＃xff0c;我们通过如下编写脚本&＃xff1a;

在这里插入图片描述

3、通过这几行代码就可以把我们选定的种子数(123456)对应的随机数打印出来&＃xff0c;然后就可以构造我们payload了。(提醒一下小白&＃xff0c;php文件可以放到我们的虚拟机的靶机服务器&＃xff0c;然后去访问它就会输出结果了。。。)

4、访问网页得到&＃xff1a;1863022934

在这里插入图片描述

5、构造payload&＃xff1a;/?hello&＃61;file(‘flag.php’)&seed&＃61;123456&key&＃61;1863022934

得到flag&＃xff1a;

在这里插入图片描述

第三题&＃xff0c;admin

在这里插入图片描述

1、网页显示的内容说我们不是管理员&＃xff0c;打开F12查看源码&＃xff1a;

在这里插入图片描述

2、我们代码审计一下这段代码的意思&＃xff1a;

$user &＃61; $_GET["user"];

$file &＃61; $_GET["file"];

$pass &＃61; $_GET["pass"]; if(isset($user)&&(file_get_contents($user,&＃39;r&＃39;)&＃61;&＃61;&＃61;"admin")){

echo "hello admin!
";

include($file); //class.php

}

else{

echo "you are not admin ! ";

}

isset()函数:就是判断变量是否存在并且不为空&＃xff0c;存在返回ture&＃xff0c;不存在返回false。

file_get_contents() 函数&＃xff1a;是用于将文件的内容读入到一个字符串中的首选方法。

include($file); //class.php:

3、意思是让我们输出hello admin!&＃xff0c;然后执行文件包含漏洞。

所以&＃xff0c;我们应该想办法让file_get_contents($user,‘r’)的内容变成admin就可以绕过file_get_contents&＃xff0c;这里用的方法是使用php的封装协议—— php://input。php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。

4、构造payload&＃xff1a;/?User&＃61;php://input

在这里插入图片描述

5、成功绕过后我们利用伪协议php://filter把class.php文件读出来

在这里插入图片描述

class.php&＃xff1a;

error_reporting(E_ALL & ~E_NOTICE);

class Read{//fffffflag.php

public $file;

public function __toString(){

if(isset($this->file)){

echo file_get_contents($this->file);

}

return "Awwwwwwwwwww man";

}

}

?>

6、代码审计&＃xff1a;

暗示我们存在fffffflag.php &＃xff1b;__toString()函数&＃xff1a;将Flag类作为字符串执行时会自动执行此函数&＃xff0c;并且将变量$file作为文件名输出文件内容&＃xff0c;也就是说存在文件包含漏洞&＃xff1b;虽然定义了类Read可是在这里显然没有去调用它&＃xff0c;而且还有一个变量pass没使用过。因此&＃xff0c;猜测第一网页的源码可能有信息。

同理&＃xff0c;构造payload返回index.php

在这里插入图片描述

index.php&＃xff1a;

error_reporting(E_ALL & ~E_NOTICE);

$user &＃61; $_GET["user"];

$file &＃61; $_GET["file"];

$pass &＃61; $_GET["pass"];

if(isset($user)&&(file_get_contents($user,&＃39;r&＃39;)&＃61;&＃61;&＃61;"admin")){

echo "hello admin!
";

if(preg_match("/fffffflag/",$file)){

exit();

}else{

include($file); //class.php

$pass &＃61; unserialize($pass);

echo $pass;

}

}else{

echo "you are not admin ! ";

echo "
";

echo "hava a rest and then change your choose.";

}

?>

7、代码审计&＃xff1a;

preg_match("/fffffflag/",

pass &＃61; unserialize($pass);&＃xff1a;这里对pass进行了反序列化处理&＃xff1b;

那可以构造反序列化让它输出pass&＃xff0c;利用伪协议php://filter 读取fffffflag.php的内容。

在这里插入图片描述

得到&＃xff1a;flag{woyebuzhidaoyaononggeshaflagheshia}

第四题&＃xff0c;post1

在这里插入图片描述

1、查看源码得到&＃xff1a;eval(system($c));//read flag.txt But no cat!&＃xff01;&＃xff01;

意思是存在flag.txt

2、题目说post[a]&＃xff0c;那我们post提交a试试&＃xff1a;

在这里插入图片描述

3、看来方向是对的&＃xff0c;因为至少它页面的东西变了。那应该怎么构造才会读取到文件呢&＃xff1f;eval(system());成为了我们突破口&＃xff0c;system()允许我们使用命令&＃xff0c;再根据“no cat”提示&＃xff0c;用到的命令很可能是cut。所以构造payload&＃xff1a;a&＃61;cut${IFS}-b1-${IFS}flag.txt

解释一下&＃xff1a;

原本是&＃xff1a;a&＃61;cut -b1- flag.txt

但是这里过滤空格啦&＃xff0c;所以用$ {IFS }代替空格就完事了。

cut -b1 flag.txt 只会返回整个文本的第一个字符串f&＃xff0c;所以加 - 是为了可以遍历全部的内容

在这里插入图片描述

第五题&＃xff0c;ping

1、直接查看网页源代码&＃xff1a;

在这里插入图片描述

2、代码审计&＃xff1a;

strcmp ()&＃xff1a;进行二进制安全字符串比较&＃xff0c;用来判断password是否一致

include($_REQUEST[‘path’])&＃xff1a;文件包含&＃xff0c;传入的参数是path

意思是我们要绕过strcmp ()&＃xff0c;然后再执行文件包含读ping.php这个文件。

3、Php5.3之后版本使用strcmp比较一个字符串和数组的话,将不再返回-1而是返回0。所以构造如下&＃xff1a;

在这里插入图片描述

4、利用伪协议php://filter读取ping.php

在这里插入图片描述

ping.php源码&＃xff1a;

在这里插入图片描述

5、、审计代码后&＃xff0c;我们知道对基本的命令分隔符进行了过滤。但是我们还可以使用 %0a符号–换行符&＃xff1b;%0d符号–回车符

在这里插入图片描述

6、命令&＃xff1a;cat ./ffffff1111aagggg.txt&＃xff0c;读取flag

第六题&＃xff0c;post2

1、基于post1进行改进&＃xff0c;刚开始做题的时候可绕了因为exec没有回显&＃xff0c;要用到时间盲注。后来看到大佬写的脚本才恍然大悟&＃xff0c;利用大佬给出的脚本&＃xff1a;

在这里插入图片描述

在这里插入图片描述

End&＃xff1a;

其实这次比赛的web题&＃xff0c;考察最多就是php伪协议&＃xff0c;用到最多的技能就是代码审计的能力和编写脚本的能力。所以要熟悉php脚本语言&＃xff0c;以及提高python代码编写的能力。不断积累题型&＃xff0c;才能玩得越来越好。