Web刷题之polarctf靶场

news/2024/11/15 21:58:39/文章来源:https://www.cnblogs.com/tlomlyiyi/p/18313929

PolarCTF

1.XFF

image

打开靶场发现需要ip为1.1.1.1的用户才行, 打开BurpSuite进行抓包并对数据包进行修改,根据题目XFF提示

image

flag{847ac5dd4057b1ece411cc42a8dca4b7}

对此题所考察的知识进行一个扩展(对于构造本地用户语句)

X-Forwarded-For:127.0.0.1X-Forwarded:127.0.0.1Forwarded-For:127.0.0.1Forwarded:127.0.0.1X-Forwarded-Host:127.0.0.1X-remote-IP:127.0.0.1X-remote-addr:127.0.0.1True-Client-IP:127.0.0.1X-Client-IP:127.0.0.1Client-IP:127.0.0.1X-Real-IP:127.0.0.1Ali-CDN-Real-IP:127.0.0.1Cdn-Src-Ip:127.0.0.1Cdn-Real-Ip:127.0.0.1CF-Connecting-IP:127.0.0.1X-Cluster-Client-IP:127.0.0.1WL-Proxy-Client-IP:127.0.0.1Proxy-Client-IP:127.0.0.1Fastly-Client-Ip:127.0.0.1True-Client-Ip:127.0.0.1Host: 127.0.0.1

2.爆破

image

打开靶场发现是PHP代码,大概就是在目录/flag.php中藏着flag

image

flag{8277e0910d750195b448797616e091ad}

此题也可以通过使用工具dirsearch来爆破出目录
image

对此题的php源码进行一个扩展

1. substr()函数返回字符串中的一部分
substr(string, start, length)其中string和start是必需参数而length是可选参数
注释: 如果start参数是负数且length小于或等于start, 则默认length为0对于start参数的详细解释:
(1) 若为正数, 即在字符串的指定位置开始
(2) 若为负数, 即在从字符出结尾开始的指定位置开始
(3) 若为0, 即在字符串中的第一个字符处开始对于length参数的详细解释:
(1) 若为正数, 即从start参数所在的位置返回的长度
(2) 若为负数, 即从字符串末端返回的长度返回值: 返回字符串的提取部分, 若失败则返回FALSE, 否则返回一个字符串2. intval() 函数用于获取变量的整数值。
intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。

3.login

image

打开靶场, 先F12查看页面源码, 发现存在两串数字, 猜测为学号和密码

image

回显发现成功登录, 根据猜测修改学号最后两位,分别尝试了02-05发现爆出来flag的头, 那就打开BurpSuite进行爆破

image
image

flag{dlcg}

4.iphone

image

点开靶场映入眼帘的就是hate windows, 不妨点击Enter键试试

image

说明需要从iphone或ipad访问才行, 我们打开BurpSuite进行抓包修改

image

flag{ba4c2f175f0dba2f2974e676c6dfbbab}

5.$$

image

打开靶场发现要求GET传参, 但是把能过滤的基本上都过滤了, 我遇事不决就先dirsearch梭哈一下无果, 就去网上搜索有没有什么办法, 发现可以用超全局变量GLOBALS

image

flag{9f8a2133f0cad361ff6d22a445c2531a}

对于超全局变量GLOBALS和PHP相关的知识进行补充

PHP 中的许多预定义变量都是“超全局的”,这意味着它们在一个脚本的全部作用域中都可用。在函数或方法中无需执行 global $variable; 就可以访问它们。$GLOBALS — 引用全局作用域中可用的全部变量,与其他超全局变量不同的是$GLOBALS在PHP代码中任何地方总是可用的**$GLOBALS与关键字global的区别**
$GLOBALS: 用于访问所有全局变量(来自全局范围的变量), 即可以从PHP脚本中的任何范围访问的变量。
global关键字: 用于在函数内部声明全局变量。但是这个全局变量不是应用于整个网站,而是应用于当前页面,包括include或require的所有文件。****总结:
用 global 时,需要在每个函数内部声明想要使用的全局变量。
用 $GLOBALS 时,可以直接访问和修改全局变量,不需要在函数内部声明。

6.rce1

image

打开靶场知道这是一道命令执行的题目, 提示过滤了空格, 先将藏有flag的文件名回显出来, 此处我们用&ls来获取文件名

image

有了文件名就直接cat就好了, 题目提示说过滤了空格, 我们用${IFS}即可, 没想到还把flag藏在源代码中

image

flag{a3949821f7627a7fd30ab0722ff9b318}

对于此题的知识点进行补充(拼接符命令)

|	只执行第二个命令
||	先执行第一个命令, 若第一个命令执行成功才可继续执行第二个命令
&	无论第一个命令是否执行成功都将继续执行第二个命令
&&	必须要两个命令都能成功才能执行
;	与&的用法类似(此题目也可以直接;ls)

7.GET-POST

image

打开靶场, 发现需要进行GET传参, 我们这边直接用HackBar来进行传参

image

再根据提示, 进行POST传参即可

image

flag{a52b7cac3af0b081349001c92d79cc0a}

8.被黑掉的站

image

打开靶场发现并没有什么异样的地方但提示该网站还存在马, 用工具dirsearch扫目录, 发现存在/index.php.bak和/shell.php, 分别对其进行访问

image

猜测该为字典, 再对/shell.php进行访问

image

打开BurpSuite用刚刚得到的字典进行爆破

image

flag{8e539a7a46fea05dea18b9b9f9ff6a63}

9.swp

用工具dirsearch扫一下目录, 发现存在/.index.php.swp

**image
**

访问该目录会发现得到下面代码
function jiuzhe($xdmtql){ //传入xdmtql变量return preg_match('/sys.*nb/is',$xdmtql); //匹配变量
} 
$xdmtql=@$_POST['xdmtql']; 
//判断变量是否为数组
if(!is_array($xdmtql)){//利用函数jiuzhe来判断if(!jiuzhe($xdmtql)){//绕过preg_match函数后匹配变量,匹配到的话输出flagif(strpos($xdmtql,'sys nb')!==false){echo 'flag{*******}'; }else{ echo 'true .swp file?'; }}else{ echo 'nijilenijile'; //匹配到/sys.*nb/is的话输出}
}思考preg_match()绕过:
我们都知道preg_match()的回溯次数默认是1000000次(中英文次数不同, 实测回溯为100w次), 但也是可以设定的, 具体可以在php.ini中查到
exp:
import requestsresult = requests.post("http://77e3de24-d309-4b3c-84dc-b78d45c38ed3.www.polarctf.com:8090/", data={"xdmtql":"sys nb"+"aa"*1000000})
print(result.text)#flag{4560b3bfea9683b050c730cd72b3a099}

10.简单rce

打开靶场发现是代码审计, 大概了解过滤掉了命令执行函数、输出函数以及空格

image

我们通过执行函数passthru()来替换system(), 空格就用${IFS}替代即可

image

ls命令找到flag文件, 用sort来代替cat来读取flag文件

image

#flag{j6856fd063f0a04874311187da1191h6}

对绕过做一个总结:

1. 命令执行函数
system() 	//输出并且返回最后一行shell的结果
exec()	    //不会输出结果, 返回最后一行shell的结果, 而且所有结果可以保存到数组中返回
passthru()	//只调用写进去的命令, 并把命令的与逆行结果直接输出到设备上(可以替换system)2. 输出函数
cat 从第一行开始将所有内容输出
tac 从最后一行倒序将所有内容输出
nl 显示时输出行号(与cat -n类似)
more 根据窗口大小, 一页一页显示文件内容
less 和more类似, 优点在于可以往前翻页, 还能搜索字符
head 只显示头几行
tail 只显示最后几行
sort 文本内容排列3. 空格绕过
${IFS}
$IFS$9
{IFS}$9
重定向符: <>(但是不支持后面跟通配符)
水平制表符%09
%0a	回车
%0d 换行

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/790716.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

丽水人社公需科目刷课脚本-JavaScript编写

脚本 学习网站:rlzy.lshrss.cn/Service/Index 脚本地址:丽水市专业技术人员继续教育公需科目-刷课脚本 教程 1.插件安装(以Microsoft Edge浏览器为例)打开最中间那个蓝色绿色的浏览器,谷歌之类的浏览器也可以点击屏幕右上角三个点,图示位置,然后点击扩展点击获取扩展搜索…

【工具分享】红队重点资产指纹识别 -- P1finger -0.02(最新版本)

工具介绍: P1finger 红队行动下的重点资产指纹识别工具。P1finger 是一个重点资产指纹识别的工具,旨在通过HTTP请求特征来识别目标系统。其主要特点包括: 语言和实现: 语言:使用Go语言(Golang)实现。 目的:强调跨平台能力和易于集成。 指纹库和检测策略: 指纹库:通过…

四川省专业技术人员继续教育网刷课脚本-JavaScript编写

脚本 学习网站:四川省专业技术人员继续教育网 edu.scjxjypx.com/ 脚本地址: chinahrt.com-刷课脚本 教程 1.插件安装(以Microsoft Edge浏览器为例)打开最中间那个蓝色绿色的浏览器,谷歌之类的浏览器也可以点击屏幕右上角三个点,图示位置,然后点击扩展点击获取扩展搜索T…

Kafka事务实现原理

1 Kafka的事务 V.S RocketMQ RocketMQ事务主要解决问题:确保执行本地事务和发消息这俩操作都成功/失败。RocketMQ还有事务反查机制兜底,更提高事务执行的成功率和数据一致性。 而Kafka事务,是为确保在一个事务中发送的多条消息,要么都成功,要么都失败。 这里的多条消息不一…

德州市专业技术人员继续教育刷课脚本-JavaScript编写

脚本 学习网站:德州市专业技术人员继续教育服务平台: sddz.yxlearning.com 脚本地址:德州市专业技术人员继续教育服务平台-刷课脚本 教程 1.插件安装(以Microsoft Edge浏览器为例)打开最中间那个蓝色绿色的浏览器,谷歌之类的浏览器也可以点击屏幕右上角三个点,图示位置,…

威海市专业技术人员继续教育刷课脚本-JavaScript编写

脚本 学习网站:sdwh.yxlearning.com,rsjwhjxjy.weihai.cn 脚本地址:威海市专业技术人员继续教育-刷课脚本 教程 1.插件安装(以Microsoft Edge浏览器为例)打开最中间那个蓝色绿色的浏览器,谷歌之类的浏览器也可以点击屏幕右上角三个点,图示位置,然后点击扩展点击获取扩展…

C# 绘制曲线的ScottPlot.NET

ScottPlot 是一个免费的开源 .NET 绘图库,可以轻松交互式地显示大型数据集。折线图、条形图、饼图、散点图等只需几行代码即可创建。 ScottPlot - .NET 的交互式绘图库ScottPlot 4.1 Demo 官方的demo是最好的学习例程 解压后的文件清单如下, 双击 ScottPlot.Demo.WinForms.…

Docker环境搭建以及常见问题

Docker环境搭建 主机环境要求在ubuntu16_20之间 Docker安装和卸载 apt安装方式 # 旧版本的docker sudo apt install docker.io sudo apt-get purge docker.io sudo rm -rf /var/lib/docker sudo rm -rf /var/lib/containerd官方安装方式 # 首先安装一些依赖包,使得能够通过HTT…

容器存储接口--CSI

目录一、背景二、CSI 是什么三、CSI 系统架构1、CSI 如何与 k8s 组件相互通信2、CSI 由哪些组件组成3、CSI 的工作原理4、k8s 存储中涉及的组件及其作用4.1、Sidecar Containers4.1.1、external-attacher4.1.2、external-provisioner4.1.3、external-resizer4.1.4、external-sn…

图文教程:从0到1将项目发布到 Maven 中央仓库

前言 本文基于官方文档 https://central.sonatype.org/publish/publish-guide/ 编写。 发布步骤:创建账号 创建用户 Token 创建命名空间 配置 GPG 配置项目 发布注意事项:发布成功的项目无法修改或者删除准备阶段 创建账号 已有 Google 或者 Github 账号可以跳过此步骤,可以…

sqlserver数据库下载安装

官网下载地址: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads然后下载它: 然后,看这位博主的,我就懒得写了https://www.bilibili.com/read/cv35599692/

花店鲜花管理与推荐系统+Python+Django网页界面+管理系统+计算机课设

一、介绍 花店鲜花管理与推荐系统。本系统使用Python作为主要开发语言开发的一个花店鲜花管理与推荐的网站平台。 网站前端界面采用HTML、CSS、BootStrap等技术搭建界面。后端采用Django框架处理用户的逻辑请求,并将用户的相关行为数据保存在数据库中。通过Ajax技术实现前后端…