当前位置：首页 > news >正文

1月11日

news 2026/2/9 13:32:10

[WUSTCTF2020]CV Maker

可以看到有个注册页面，尝试注册一个用户登进去看看

进来后第一眼就看到文件上传，尝试上传，上传php后返回了

文件上传后端检测exif_imagetype()函数

他提示不是image，也就是需要我们构造一个文件头为图像类型的php一句话木马。

加个文件头 GIF89 就可以了

然后源代码找到了文件上传后的路径

使用蚁剑连接即可。

[红明谷CTF 2021]write_shell

上来就代码审计

check函数，用于检测输入字符串是否包含危险字符或关键字。如果检测到 ', _, php, ;, ~, ^, +, eval, {, } 等字符或关键词，则输出 hacker!!! 并停止执行，否则返回输入。

waf函数，用于对输入进行 Web 应用防火墙（WAF）检测。如果输入是数组，则递归调用自身对每个元素进行检测，否则调用 check 函数进行检测。

根据用户的 IP 地址生成一个唯一的目录路径，路径格式为 sandbox/ 目录下的 IP 地址的 MD5 哈希值。如果 action 参数是 pwd，则输出生成的目录路径。如果 action 参数是 upload，获取 GET 请求中的 data 参数，调用 waf 函数对 data 进行检查，然后将 data 写入到指定目录中的 index.php 文件。

那么这个题就是利用file_put_contents函数写入木马。

php标签的php被过滤，可以换用短标签<?= code?>，至于;被过滤并不用单行，因为?>对于一组PHP代码中最后一句起到替代;的作用，所以我们可以构造如下payload：

?action=upload&data=<?=`ls`?>

然后再?action=pwd查看目录

可以发现成功执行了，那么接下来就查看根目录

?action=upload&data=<?=`ls%09/`?>

查看flllllll1112222222lag的内容

?action=upload&data=<?=`cat%09/flllllll1112222222lag`?>

这题主要有两个知识点 1.php短标签 2.php可在``中执行系统命令.

PHP 支持一个执行运算符：反引号（``）。注意这不是单引号！PHP 将尝试将反引号中的内容作为 shell 命令来执行，并将其输出信息返回（即，可以赋给一个变量而不是简单地丢弃到标准输出）。使用反引号运算符"`"的效果与函数shell_exec() 相同。

[GWCTF 2019]枯燥的抽奖

可以看到题目要求我们猜到20位数，才能够得到flag。

但是出题人是给了源代码的。从前端跟到check.php可以看到后台代码

代码审计，涉及到随机数，mt_rand函数，这牵扯到一个安全问题。

1. 伪随机数
伪随机数是用确定性的算法计算出来的随机数序列，它并不真正的随机，但具有类似于随机数的统计特征，如均匀性、独立性等。在计算伪随机数时，若使用的初值（种子）不变，那么伪随机数的数序也不变。伪随机数可以用计算机大量生成，在模拟研究中为了提高模拟效率，一般采用伪随机数代替真正的随机数。模拟中使用的一般是循环周期极长并能通过随机数检验的伪随机数，以保证计算结果的随机性。伪随机数的生成方法有线性同余法、单向散列函数法、密码法等。

mt_rand就是一个伪随机数生成函数，它由可确定的函数，通过一个种子产生的伪随机数。这意味着：如果知道了种子，或者已经产生的随机数，都可能获得接下来随机数序列的信息（可预测性）。

所以：大致过程就明了了，我们根据已经给出的部分随机数，利用工具找出seed（种子），然后得到完整的随机数。

2. 将已知的部分伪随机数转化为php_mt_seed工具可以看懂的数据

str1 ='SZiQYsNmNK'
str2 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
result =''length = str(len(str2)-1)
for i in range(0,len(str1)):for j in range(0,len(str2)):if str1[i] ==  str2[j]:result += str(j) + ' ' +str(j) + ' ' + '0' + ' ' + length + ' 'breakprint(result)

输出的结果

54 54 0 61 61 61 0 61 8 8 0 61 52 52 0 61 60 60 0 61 18 18 0 61 49 49 0 61 12 12 0 61 49 49 0 61 46 46 0 61

3. 下载php_mt_seed工具并且使用

根据生成算法逆向出满足php_mt_seed工具要求的参数

下载连接:

php_mt_seed - PHP mt_rand() seed cracker

得到种子，同时要注意php版本是php7.1以上的。

得到完整的字符串

<?php
mt_srand(348806110);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo "<p id='p1'>".$str."</p>";
?>

PHP的mt_rand函数作为一个随机数生成工具在程序中被广泛使用，该函数用了 Mersenne Twister 算法的特性作为随机数发生器，它产生随机数值的平均速度比 libc 提供的 rand() 快四倍。mt_rand函数有两个可选参数 min 和 max，如果没有提供可选参数，mt_rand函数将返回返回 0 到 mt_getrandmax() 之间的伪随机数。例如想要 5 到 15（包括 5 和 15）之间的随机数，用 mt_rand(5, 15)。

常用的使用方式如下：

<?phpecho mt_rand() . "\n";echo mt_rand() . "\n";echo mt_rand(5, 15);?>

输出

160471601414786132786

详解看PHP mt_rand安全杂谈及应用场景详解 - FreeBuf网络安全行业门户

1月11日

[WUSTCTF2020]CV Maker

[红明谷CTF 2021]write_shell

[GWCTF 2019]枯燥的抽奖

3. 下载php_mt_seed工具并且使用

相关文章：

1月11日

【深度学习】Pytorch：加载自定义数据集

最近在盘gitlab.0.先review了一下docker

OA项目登录

verilogHDL仿真详解

基于http协议的天气爬虫

_STM32关于CPU超频的参考_HAL

C#，图论与图算法，任意一对节点之间最短距离的弗洛伊德·沃肖尔（Floyd Warshall）算法与源程序

AWS云计算概览（自用留存，整理中）

1. npm 常用命令详解

js：根据后端返回数据的最大值进行计算然后设置这个最大值为百分之百，其他的值除这个最大值

【Spring】@Size 无法拦截null的原因

【Block总结】掩码窗口自注意力 (M-WSA)

用 HTML5 Canvas 和 JavaScript 实现雪花飘落特效

【cocos creator】【ts】事件派发系统

《探索鸿蒙Next上开发人工智能游戏应用的技术难点》

CSS | CSS实现两栏布局（左边定宽右边自适应，左右成比自适应）

acwing_3195_有趣的数

Liunx-搭建安装VSOMEIP环境教程执行运行VSOMEIP示例demo

Git | git revert命令详解

2025年能源电力系统与流体力学国际会议 (EPSFD 2025)

Day131 | 灵神 | 回溯算法 | 子集型子集

质量体系的重要

HBuilderX安装（uni-app和小程序开发）

算法：模拟

动态 Web 开发技术入门篇

Kafka主题运维全指南：从基础配置到故障处理

git: early EOF

6个月Python学习计划 Day 16 - 面向对象编程（OOP）基础

DiscuzX3.5发帖json api