devbox
Li_阴宅
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

ctfer的web日常:给你shell (ctfshow)_easyshell ctf

作者:Li_阴宅 | 2024-07-10 20:52:45

easyshell ctf

目录

前期准备:

代码审计(1):

行动:

代码审计(2):

大佬:

前期准备:

进入页面,发现没有什么信息:

查看源码,发现“/?view_source”路由:

访问此页面:

代码审计(1):

  1.  <?php
  2. //It's no need to use scanner. Of course if you want, but u will find nothing.
  3. error_reporting(0);
  4. include "config.php";
  5.  
  6. if (isset($_GET['view_source'])) {
  7.     show_source(__FILE__);  // 当参数为view_source即访问/?view_source时,展示__FILE__即我们看到的代码
  8.     die;
  9. }
  10.  
  11. function checkCookie($s) {
  12.     $arr = explode(':', $s);  // 以“:”进行分组,并将每一个部分存到数组arr
  13.     if ($arr[0] === '{"secret"' && preg_match('/^[\"0-9A-Z]*}$/', $arr[1]) && count($arr) === 2 ) {
  14.         return true; # arr[0] === {"secret" 且 $arr[1]必须包含数字字母至少一种
  15.     } else {
  16.         if ( !theFirstTimeSetCookie() ) setcookie('secret', '', time()-1);
  17.         return false;
  18.     }
  19. }
  20.  
  21. function haveFun($_f_g) { // 对$_f_g进行MD5加密并转为大写字母,最后将每一位字符的ascii码值进行与运算
  22.     $_g_r = 32;
  23.     $_m_u = md5($_f_g);
  24.     $_h_p = strtoupper($_m_u);
  25.     for ($i = 0; $i < $_g_r; $i++) {
  26.         $_i = substr($_h_p, $i, 1);
  27.         $_i = ord($_i);
  28.         print_r($_i & 0xC0);
  29.     }
  30.     die;
  31. }
  32.  
  33. isset($_COOKIE['secret']) ? $json = $_COOKIE['secret'] : setcookie('secret', '{"secret":"' . strtoupper(md5('y1ng')) . '"}', time()+7200 );
  34. checkCookie($json) ? $obj = @json_decode($json, true) : die('no');
  35. // 判断有无secret 
  36. // 通过secret赋值给$json,再通过$json建立$obj
  37. // json_decode() 将json格式的数据转换为对象,数组,转换为数组要加true
  38. // json的secret需要满足 checkCookie($s) 里面的条件
  39. if ($obj && isset($_GET['give_me_shell'])) {
  40.     ($obj['secret'] != $flag_md5 ) ? haveFun($flag) : echo "here is your webshell: $shell_path";
  41. }
  42. /*要让传入的secret为 $flag_md5,这里就存在漏洞了,利用php的弱类型比较,但是这里又有个问题,在json_decode()返回""里面的内
  43. 容是字符串,就不能进行弱类型比较了,但是如果里面的内容,比如数字,没有被""括起来,返回的就是个int整数,所以注意把""删去,也
  44. 就是{"secret":123},这里开始没注意到还被坑了,一直没有爆破出来
  45. */
  46. die;

行动:

因为数字与0xC0为0;所有可以得知$flag_md5前3位为数字;再根据php弱类型比较的特性,如111 == ‘111adf’,用bp进行爆破:

故secret = 115满足$obj['secret'] != $flag_md5;

修改访问得:

访问w3b5HeLLlll123.php:

代码审计(2):

  1.  <?php
  2. error_reporting(0);
  3. session_start();
  4.  
  5.  
  6. //there are some secret waf that you will never know, fuzz me if you can
  7. require "hidden_filter.php";
  8.  
  9.  
  10. if (!$_SESSION['login'])
  11.     die('<script>location.href=\'./index.php\'</script>');
  12.  
  13.  
  14. if (!isset($_GET['code'])) {
  15.     show_source(__FILE__);
  16.     exit();
  17. } else {
  18.     $code = $_GET['code'];
  19.     if (!preg_match($secret_waf, $code)) {
  20.         //清空session 从头再来
  21.         eval("\$_SESSION[" . $code . "]=false;"); //you know, here is your webshell, an eval() without any disabled_function. However, eval() for $_SESSION only XDDD you noob hacker
  22.     } else die('hacker');
  23. }
  24.  
  25.  
  26. /*
  27.  * When you feel that you are lost, do not give up, fight and move on.
  28.  * Being a hacker is not easy, it requires effort and sacrifice.
  29.  * But remember … we are legion!
  30.  *  ————Deep CTF 2020
  31. */

fuzzing:

发现好多东西都被禁了;

大佬:

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/807635
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号