bugku never_give_up解题思路(php代码审计)

于 2024-07-24 23:42:20 发布
阅读量544 收藏 3
点赞数 29
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80307383/article/details/140675411
版权

题目来源:never_give_up - Bugku CTF

解题用到的知识点:

1.php弱比较

2.文件包含input伪协议

3.stripos,eregi,substr,php函数了解

1.查看源码发现给出了提示

但直接访问会跳转回bugku的页面,所以得用bp抓包

合理怀疑那一大段语句

%3Cscript%3Ewindow.location.href%3D'http%3A%2F%2Fwww.bugku.com'%3B%3C%2Fscript%3E%20%0A%3C!--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--%3E

%3C是url编码后的'<',所以先url解码得到

<script>window.location.href='http://www.bugku.com';</script> 
<!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQSUwOWhlYWRlcignTG9jYXRpb24lM0ElMjBoZWxsby5waHAlM0ZpZCUzRDEnKSUzQiUwQSUwOWV4aXQoKSUzQiUwQSU3RCUwQSUyNGlkJTNEJTI0X0dFVCU1QidpZCclNUQlM0IlMEElMjRhJTNEJTI0X0dFVCU1QidhJyU1RCUzQiUwQSUyNGIlM0QlMjRfR0VUJTVCJ2InJTVEJTNCJTBBaWYoc3RyaXBvcyglMjRhJTJDJy4nKSklMEElN0IlMEElMDllY2hvJTIwJ25vJTIwbm8lMjBubyUyMG5vJTIwbm8lMjBubyUyMG5vJyUzQiUwQSUwOXJldHVybiUyMCUzQiUwQSU3RCUwQSUyNGRhdGElMjAlM0QlMjAlNDBmaWxlX2dldF9jb250ZW50cyglMjRhJTJDJ3InKSUzQiUwQWlmKCUyNGRhdGElM0QlM0QlMjJidWdrdSUyMGlzJTIwYSUyMG5pY2UlMjBwbGF0ZWZvcm0hJTIyJTIwYW5kJTIwJTI0aWQlM0QlM0QwJTIwYW5kJTIwc3RybGVuKCUyNGIpJTNFNSUyMGFuZCUyMGVyZWdpKCUyMjExMSUyMi5zdWJzdHIoJTI0YiUyQzAlMkMxKSUyQyUyMjExMTQlMjIpJTIwYW5kJTIwc3Vic3RyKCUyNGIlMkMwJTJDMSkhJTNENCklMEElN0IlMEElMDklMjRmbGFnJTIwJTNEJTIwJTIyZmxhZyU3QioqKioqKioqKioqJTdEJTIyJTBBJTdEJTBBZWxzZSUwQSU3QiUwQSUwOXByaW50JTIwJTIybmV2ZXIlMjBuZXZlciUyMG5ldmVyJTIwZ2l2ZSUyMHVwJTIwISEhJTIyJTNCJTBBJTdEJTBBJTBBJTBBJTNGJTNF-->

再把里面的语句各种解码都试一遍,base64解码后得到

%22%3Bif(!%24_GET%5B'id'%5D)%0A%7B%0A%09header('Location%3A%20hello.php%3Fid%3D1')%3B%0A%09exit()%3B%0A%7D%0A%24id%3D%24_GET%5B'id'%5D%3B%0A%24a%3D%24_GET%5B'a'%5D%3B%0A%24b%3D%24_GET%5B'b'%5D%3B%0Aif(stripos(%24a%2C'.'))%0A%7B%0A%09echo%20'no%20no%20no%20no%20no%20no%20no'%3B%0A%09return%20%3B%0A%7D%0A%24data%20%3D%20%40file_get_contents(%24a%2C'r')%3B%0Aif(%24data%3D%3D%22bugku%20is%20a%20nice%20plateform!%22%20and%20%24id%3D%3D0%20and%20strlen(%24b)%3E5%20and%20eregi(%22111%22.substr(%24b%2C0%2C1)%2C%221114%22)%20and%20substr(%24b%2C0%2C1)!%3D4)%0A%7B%0A%09%24flag%20%3D%20%22flag%7B***********%7D%22%0A%7D%0Aelse%0A%7B%0A%09print%20%22never%20never%20never%20give%20up%20!!!%22%3B%0A%7D%0A%0A%0A%3F%3E

可得知还得再次url解码

";if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

最后得到这段php代码

2.审计可得,得传入id,a,b,三个参数,逐一分析

先看id有关语句

if(!$_GET['id'])
{
    header('Location: hello.php?id=1');
    exit();
}

$id==0

第一段代码要求非空非零变量 id存在,第二段要求id弱等于0

所以直接让id=a这样类似的字符即可

不懂的访问:PHP弱类型比较总结_([0] & 0x01) > 0 ? true : false;-CSDN博客

再看a的要求

if(stripos($a,'.'))
{
    echo 'no no no no no no no';
    return ;
}
$data = @file_get_contents($a,'r');

$data=="bugku is a nice plateform!"

stripos函数有关知识:php 函数 stripos 的各种情况测试 - Hi_埃里克 - 博客园 (cnblogs.com)

file_get_contents函数有关知识:file_get_contents() 函数详解与使用_php file get contents-CSDN博客

总结到该题大概是$a中不能含字符‘.’,读取a中文件内容得是bugku is a nice plateform!

这里就得使用input伪协议进行文件包含$a=php://input,包最下面再复制上面那段话

最后看b的

strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

这段话大概意思是$b的长度大于5,与截取第一位与111拼接得是1114,但第一位截取的结果不能是4

eregi漏洞:php中ereg函数的截断漏洞_ereg漏洞-CSDN博客

简单来说就是第一位得传入空字符

所以b传入%0012345这样的字段即可符合要求

构造payload

拿下本题flag

记嘚开心壹点
关注
  • 29
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF Web学习(二)----代码审计、burp suite应用
网络猿的博客
01-10 868
CTF Web学习(二) 代码审计、burp suite应用 CTF Web学习目录链接 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(二):代码审计、burp suite应用 文章目录CTF Web学习(二)前言一、BugKu Web题(一)BugKu Web5 矛盾(二)BugKu Web8 文件包含(三)BugKu Web9 flag In the variable !(四)BugKu Web11 网站被黑了 黑客会不会留下后门(五)BugKu Web12 本地管理员(六
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 2478
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugkuWeb题目解析
北观止的博客
07-31 7777
BugkuWeb 1.web2 解析: 源码中有注释 答案: KEY{Web-2-bugKssNNikls9100} 2、计算器 题目出现了一个很简单的验证码,只要输入正确就可以获得flag,但是尝试后发现题目的输入框只能输入一个数字, 果断审查元素,发现了输入框的最大长度被设置成了1,于是修改输入框的maxlength属性为5 输入结果就可以了 来自 https://www.cnblogs.com/kele1997/p/7595839.html flag{CTF-bugku-0032} 3.Web基础$
【CTF bugku never give up】关于URL/Base64解码、eregi()z截断、文件包含利用
zw05011的博客
01-14 415
转:https://ciphersaw.me/2017/12/26/【Bugku CTF】 Web —— never give up/ 0x00 前言 此题为 Web 基础题,难度中低,需要的基础知识有:HTML、PHP、HTTP 协议。 首先考查发现源码的能力,其次重点考查 PHP 黑魔法的使用,相关链接如下: 0x01 拦截跳转 点开解题链接,除了一句 never never never give up !!! 之外空空如也,直接查看源码,发现一条注释中有线索: 根据提示打开链接:htt
Bugku旧平台web writeup
a370793934的专栏
11-27 2381
Web基础 Web2 查看网页源代码,搜索flag KEY{Web-2-bugKssNNikls9100} 计算器 审查元素修改输入字符串长度为2 flag{CTF-bugku-0032} web基础$_GET http://123.206.87.240:8002/get/?what=flag flag{bugku_get_su8kej2en} web基础$_...
CTF-源码审计专题
weixin_38131137的博客
03-07 786
1、来源:bugku 题目 web16 tip:备份是个好习惯 直接看到备份,两种方式 1、index.php~ 2、index.php.bak 这里的题目直接就是 index.php.bak 下载源代码来分析 include_once "flag.php"; ini_set("display_errors", 0); $str = strstr($_SERVER['REQUEST_URI'], '?'); 获取url路径中从?开始的部分 $str = substr($str,1);
BugkuCTF—部分wp
雅戈洛夫的博客
12-23 3737
BugkuCTF——wp Web篇 0x001—web2 解题思路: 1、直接按F12即可找到 0x002—计算器 解题思路: 1、按下F12发现它对输入框的长度进行了限制,先将长度调大 2、在计算给出的题点击验证即可。 0x003—web基础 $_GET 解题思路: 1、提交数据方式为GET传参,所以直接what=flag即可 参考playload:http://123.206.87.240:8002/get/?what=flag 0x004—web基础 $_POST 解题思路: 1、此题是POST传参
Bugku—web题解
Lemon's blog
08-21 2547
前言:最近做了一些Bugku入门的web题目,感觉web题挺有趣的,并非是得出flag,而是可以通过一个题目学习到很多知识。 域名解析 题目说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag,如果了解域名解析的原理和系统文件host的作用,那这道题就很简单了。 通俗的话说:域名是为了我们方便记忆,但计算机识别的是IP地址,所以要将域名解析为IP地址才能访问到自...
bugku web方向所有题解
kekefen01的博客
04-18 3075
第一题F12,第二题打开js文件,第三题 get参数 第四题转换成post请求最后空一行加入what=flag 注意最后不能加回车,不然会把what的值认为是"flag\n" 可以转换post加入参数,再转成get再转换成post 第五题php弱类型 num=1df 随便什么,反正$num==1都能通过 $num=$_GET['num']; if(!is_numeric($num)) { ech...
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 ...R2D2基地是从通过
rick_never_gonna_GIVE_UP_zip_
09-30
标题 "rick_never_give_up_zip_" 暗示了我们正在处理一个与"Rick Astley"的知名歌曲《Never Gonna Give You Up》相关的压缩文件。这首歌在互联网上广泛用于“Rickrolling”恶作剧,即通过链接将用户引导至该音乐视频...
gpl.rar_Never Never_SIMULINK
07-15
Whatever it maybe, never try to use this for simulink
speex_preprocess.rar_Never Never
09-21
标题 "speex_preprocess.rar_Never Never" 暗示我们关注的是一个与 Speex 预处理相关的压缩包文件,而 "Never Never" 可能是某种内部标记或者项目名称,表示该部分代码或功能在正常情况下不应该被直接访问。...
sb1250_int.rar_Never Never
09-20
标题 "sb1250_int.rar_Never Never" 暗示了这是一个关于 sb1250(可能是某个硬件或处理器型号)内部实现的代码压缩包,其中涉及到一个与 "Never Never" 相关的问题。描述提到 "bump srcAddr to the proper row, ...
udp.rar_Never Never
09-24
标题“udp.rar_Never Never”暗示了我们正在讨论与UDP(User Datagram Protocol)相关的主题,而描述中的“Never send partially complete segments”强调了一个关键概念,即在使用UDP时,应该避免发送不完整的数据...
scsi_transport_sas.rar_Never Never
09-23
These are virtual to the transport class and may never be signalled normally since the standard defined field is only 4 bits.
clk-imx6sx.rar_Never After
09-19
标签 "never_after" 也许是指一个修复补丁或配置更改,确保在任何情况下,usbphy_gate都不会在启动后被关闭。这可能是由于过去存在一个问题,即软件错误地关闭了该时钟,导致USB连接不稳定或无法工作。 在压缩包中...
size_size_pointer_size.rar_Never Never
09-19
On other architectures, this function is exported by the dynamic linker but never declared in any official header.
spring事务 的传播行为PROPAGATION_NEVER:,及其代码示例
最新发布
05-25
PROPAGATION_NEVER是Spring事务传播行为中的一种,它的含义是当前方法不能在事务中运行,如果当前存在事务,则会抛出异常。 下面是一个简单的代码示例: ``` @Service public class UserServiceImpl implements UserService { @Autowired private UserDao userDao; @Transactional(propagation = Propagation.NEVER) public void updateUser(User user) { userDao.update(user); } } ``` 在上面的示例中,updateUser方法被标记为PROPAGATION_NEVER传播行为,意味着该方法不能在事务中运行。如果当前存在事务,调用该方法时会抛出异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值