前言

一直以为GoogleHack不会运用到ctf中，只有日常渗透时会用。而最近的几场线上赛，有很多题目魔改之前的赛题。在线上赛题目较多的情况下，遇到这种题目应尽量用最短的时间做出来，而搜索是有技巧的，像我之前一阵乱搜，太浪费时间精力了。所以特写此篇博客学习下。
PS：赛后有题做不出来问大师傅，大师傅说网上随便搜搜就出来了，而我根本搜不到。哇的哭出来了。

漏洞描述

CVE-2019-11043 是一个远程代码执行漏洞，使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞，可允许攻击者远程执行代码。
向Nginx + PHP-FPM的服务器 URL发送 %0a 时，服务器返回异常。
该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

location ~ [^/]\.php(/|$) {



 ...



 fastcgi_split_path_info ^(.+?\.php)(/.*)$;



 fastcgi_param PATH_INFO $fastcgi_path_info;



 fastcgi_pass   php:9000;



 ...



}

前言

这个比赛是帮曹师傅代打的，曹师傅去xctf总决赛了。orz，曹师傅太强了。
总体感觉这个比赛难度正巧是我的水平，做起来很舒服，又不太难，又不无脑。但是由于比赛时间紧，好多题目直接pass，所以有几道题目记不太清了。

前言

windows和Linux的文件存储系统有着很大区别，而这些区别有时候也正是漏洞产生的原因

nslookup domain [dns-server]

查询域名的A记录

nslookup -qt=type domain [dns-server]

其中，type可以是以下这些类型：

1. A 地址记录
2. AAAA 地址记录
3. AFSDB Andrew文件系统数据库服务器记录
4. ATMA ATM地址记录
5. CNAME 别名记录
6. HINFO 硬件配置记录，包括CPU、操作系统信息
7. ISDN 域名对应的ISDN号码
8. MB 存放指定邮箱的服务器
9. MG 邮件组记录
10. MINFO 邮件组和邮箱的信息记录
11. MR 改名的邮箱记录
12. MX 邮件服务器记录
13. NS 名字服务器记录
14. PTR 反向记录
15. RP 负责人记录
16. RT 路由穿透记录
17. SRV TCP服务器信息记录
18. TXT 域名对应的文本信息
19. X25 域名对应的X.25地址记录

nslookup -d [其他参数] domain [dns-server]

查询域名缓存

php反序列化漏洞，又叫php对象注入漏洞。

序列化与反序列化

php中两个函数serialze()和unserialize()。

serialize

serialize()函数是将传入的参数转换为字符串，以便方便传递和使用。
测试代码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

<?php
    class test{
        var $name = 'hello world';
        var $score = 97;
        var $id = "161830218";
        var $etc = [1=>"new test",'a'=>'test'];
    }
    $class = new test;
    $class_ser = serialize($class);
    print_r($class);
    echo "\n";
    var_dump($class);
    echo "\n";
    print_r($class_ser);
    echo "\n";
    var_dump($class_ser);
?>

前言

太菜了，树的遍历忘的一干二净。上机时脑子空荡荡，知识在垃圾堆。特别写一篇博客理一下。

前序遍历

三种遍历方式中算法最为简单的一个，一直向左遍历，将遍历到的点输出，如果有右节点，就进入右节点，开始新一轮循环。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

void preoder(BT* T)
{
	if (!T) return;
	ST stack1;
	stack1.top = 0;
	BT* p = T;
	while (stack1.top || p)
	{
		while (p)
		{
			printf("%c ",p->data);
			stack1.t[stack1.top++] = p;
			p = p->left;
		}
		if (stack1.top)
		{
			p = stack1.t[--stack1.top];
			p = p->right;
		}
	}
	printf("\n");
}

前言

在整理2019SUCTF的赛题时，其中有一题代码审计，限制字符、字符串长度，让你构造一个webshell。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!!
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^");
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^");
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

自己太菜，根本想不到骚操作，一顿搜索、查看题解之后有了此篇总结。

前言

因为老师说CSP过了可以免考数据结构,这么好,当然得报啊。然而,刚碰到第一题就让我想起了高中被算法支配的恐惧了。难道后端检查答案不是直接对比输出的字符串吗？难道还验证输出的数据类型？？？
郁闷至极，这也是我放弃算法比赛的原因之一，脱离实际，考核数据极端，特写此博客让大家避坑。

XXE原理

XXE(XML External Entity c Injection) 全称为XML外部实体注入。当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

XML简介

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。