buu做题(7)

最新推荐文章于 2024-08-06 00:04:17 发布
最新推荐文章于 2024-08-06 00:04:17 发布
阅读量443 收藏 9
点赞数 3
文章标签: ctf web buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80472909/article/details/140593087
版权

[BJDCTF2020]Mark loves cat

开始的界面没啥东西, 看了下源码好像也没啥东西
用dirsearch扫描一下
有git 泄露
用工具githack下载源码
 

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

echo "the flag is: ".$flag;

$$的变量覆盖
看第一个 exit($handsome)
 

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

看起来这是矛盾的, 但是可以传两个参数 , 一个是flag 一个是handsome
?handsome=flag&flag=handsome

经过一次get的变量覆盖
$handsome=$flag
$flag=$flag

然后进入到判断那里面
开始进入遍历 $_GET
第一个 $x --> handsome
可以满足 $_GET['flag']==$x 而且 $x==handsome 也满足  !==flag
然后 exit($handsome) 输出 $handsome , 经过前面的GET的变量覆盖
$handsome=$flag  , 所以就可以输出flag的值了

当然也可以构造出其他的, 利用后面的  exit($yds); exit($is);
来输出flag

?yds=flag

或者
?is=flag&flag=flag

[BJDCTF2020]Cookie is so stable

题目很明显的提示了 Cookie有问题

多尝试几遍, 可以发现无论输入什么都会登进去

所以应该不会是sql注入啥的
而且这个 形式感觉挺像 ssti注入的
尝试一下 {{3*3}}

也确实能够执行 输出 9
当然前面提示说看 cookie
登录后就会发现 cookie多出一行 user ,  他的值经过url解码就会发现就是我们输入的东西

直接修改里面的值 , 相应的内容也会变化

需要注意到这个ssti注入是php, 而不是python的

抓个包, 也可以看到

修改里面的user的值
通用的payload就可以打出来

https://www.cnblogs.com/bmjoker/p/13508538.html

pwfortune
关注
buu做题(8)
pwfortune的博客
07-27 946
然后继续查看源码, 可以发现有一行base64的编码, 将其解密, 可以发现就是index.php的代码。, 很多都用不了了, 代码里可以看到 flag 在 config里面 , 不需要去构造一些命令执行啥的。参数过滤了很多命令, 绕过过滤, 最后能够依靠 反引号 `` 执行命令。然后尝试将index.php 按照这样的方式编码, 看看能不能包含到。能够访问到 需要的append()方法, 构造相应的值进行文件包含。的, 理论上应该用不了, 可能哪里没做好, 导致放出来了,查看根目录, 可以发现flag
buu做题(5)
pwfortune的博客
07-19 1063
current(localeconv())永远都是个点 " . " 配合 scandir(current(localeconv())) 读取当前的目录。在使用 session_id()的时候 需要使用session_start()来开启session会话。不晓得为啥总是读取不了 , file:///etc/passwd 也读不了, 也不晓得是啥原因。那么可以用这个函数来获取cookie中的。可以看到需要的flag.php文件 , 要想办法读到这个文件。(这一块的内容也还不是很了解, 后面还得继续学习一下)
buu做题(6)
pwfortune的博客
07-20 533
在index.php 也没有一个 文件包含漏洞, 可以目录遍历。什么都没有, 尝试用dirsearch扫一下目录。可以看到它的版本不是最新的, 搜一下相关的漏洞。扫一下目录 可以发现 robots.txt。网上挺多这样满足这样的表达式的数字 ,可以扫到一个 /phpmyadmin。抓个包 可以发现 /fl4g.php。使用 e 绕过 (本地测试一下就行)全是乱码的, 不过不影响做题。似乎有个header头跳转。可以直接进入到数据库里面。过滤了空格 和 cat。tac 代替 cat。$IFS$9代替空格。
buu做题(12)
pwfortune的博客
08-03 542
首先, 限制了传入的参数的长度 小于80然后是有一个黑名单,不允许出现这些字符最后就是一个白名单, 必须要出现那些函数php可以通过变量动态调用函数在限定了字符数的情况下可以通过$_GET[]逃过字符的限制即在这里就是所以还需要构造出可以将16进制转换成字符串又需要构造出hex2bin36进制存在数字和小写字母在线网站: https://tool.lu/hexconvert/函数能够在任意进制之间转换数字--> 可以得到hex2bin然后就是要得到_GET的十六进制。
buu做题(9)
pwfortune的博客
07-28 553
不过看后面, 应该会显示, 只需要把后面img 的值改一下相应的base64编码就是, 数字好像都没变。下载源码, 里面有几千个php文件, 有很多shell, 但很多都没用, 需要写脚本辨别。感觉构造的也没毛病啊, 怎么显示这个啊, 直接用网上的payload。函数从数组中将变量导入到当前的符号表, 存在变量覆盖的作用。经过 filter()过滤, 会存在一个反序列化的逃逸。会将匹配到的数组里面的内容替换为空 ,赋值不用的值进行不同的操作,可以指向相应的路径, 读取文件。存在一个反序列化的操作,
buu做题(14)
pwfortune的博客
08-06 419
dirsearch扫描, 字典里面明明有,扫描的时候就是没扫出来, 有点奇怪直接访问也访问不了, 不理解直接看一下源码吧需要满足password的md5值的前六位等于6d0bc1写个python脚本爆破一下登录之后可以看到生成的.shtml文件或者抓包访问文件用户名是可控的, 根据源码也可以知道, 会被写入到这个.shtml文件中搜索一下shtml文件ssi注入写入一些命令执行2020666访问相应的shtml文件。
buu做题(10)
pwfortune的博客
07-29 269
尝试购买, 操作失败, 根据题目, 跟Unicode有关, 只能输入一个字符搜索一个比千大的输入4 和 ፼直接得到flag (直接用万也可以)
buu做题(11)
pwfortune的博客
07-31 131
抓个包可以发现是 Smarty框架在页面可以观察到 一个 XFF头, 可以猜测注入点就在这通过if标签执行命令 ,读取flag
buu做题(13)
pwfortune的博客
08-03 241
给了一个账户: cookie / monster根据提示, 我们需要以admin的身份登录抓个包 , 可以发现一个奇怪的地方,以这样的方式确定登录的用户, 尝试伪造一下就可以得到flag也可以直接在浏览器上面登录之后 , 修改一下cookie的值为admin ,刷新一下就可以直接出现flag
buu做题笔记——[安洵杯 2019]easy_web
weixin_46330722的博客
11-30 1367
BUU[安洵杯 2019]easy_web [安洵杯 2019]easy_web 进入题目就是这样一个页面,先看下源码 这里有一个提示,这题应该跟md5有关,这时我注意到了URL http://60c3d800-d438-4c23-87c2-dbee32a9e363.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 这个img参数后面应该是个编码后的文件名,然后源码里就会出现base64编码的文件内容 将img参数的值解码
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 685
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
buu做题笔记——[网鼎杯 2020 朱雀组]phpweb&[SWPU2019]Web1
weixin_46330722的博客
11-06 1523
BUU[网鼎杯 2020 朱雀组]phpweb [网鼎杯 2020 朱雀组]phpweb 页面看不出啥,抓个包看看。 从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件 回显Hacker,应该是被waf拦了,用highlight_file()看一下源码 <?php $disable_fun = arr
关于我做buu题的一些复盘笔记和经验(看了好多的wp)
m0_67767650的博客
05-14 247
一ACTF 新生赛 文件包含 filter php:// — 访问各个输⼊/输出流(I/O streams) php://input 是个可以访问请求的原始数据的只读流。 php://filter 是⼀种设计⽤来允许过滤器程序在打开时成为流的封装协议。这对于单独具有完整功能的⽂件函数⾮常有⽤,否则就没有机会在 读取内容之前将过滤器应⽤于流之上。 该协议语法为:php://filter:/<action>=<name> php://filter 的参数列表 参数 功能 read 读取
buu 水题记录(二)
pwnyuan's blog
11-08 1455
buuctf 刷题记录(二)BeforeCrypto还原大师传感器CipherrotUnencode密码学的心声这是什么一张谍报RSARSA2RSA3rsa 2RSA5RSAROLLDangerous RSASameMod[AFCTF2018]Morse[NCTF2019]Keyboard[GXYCTF2019]CheckIn[HDCTF2019]basic_rsa[HDCTF2019]bbbbbbrsa Before Crypto 还原大师 TASC?O3RJMV?WDJKX?ZM E903???4D
文件转换为Base64形式(可来回转换,带加密功能)
最新发布
10-09
文件转换为Base64形式(可来回转换,带加密功能) 使用说明 === https://blog.csdn.net/sxzlc/article/details/139076076 ====
基于粒子群算法的配电网日前优化调度 采用IEEE33节点配电网搭建含风光,储能,柴油发电机和燃气轮机的经济调度模型 以运行成本
10-09
基于粒子群算法的配电网日前优化调度 采用IEEE33节点配电网搭建含风光,储能,柴油发电机和燃气轮机的经济调度模型。 以运行成本和环境成本最小为目标,考虑储能以及潮流等约束,采用粒子群算法对模型进行求解,得到电源的每小时出力情况。
ECU ccp协议上位机测试与标定源码,C#源码上位机ECU标定与测量程序 - ASAM MCD -1MC的 ccp 标定与测
10-09
ECU ccp协议上位机测试与标定源码,C#源码上位机ECU标定与测量程序。 - ASAM MCD -1MC的 ccp 标定与测量上位机软件,短上传和DAQ功能,支持一维二维等测量和标定,显示控件丰富,具有仪表盘,进度条,二维map等。 - ASAM MCD-2MC 的文件读取(a2l文件读取) - 在解析的同时提供了文件结构检查 - 读取和导出ECU 测量数据为excel文件 - 支持多个设备 ,包括 ETAs, Vector, Peak, 8Devices, Kvaser, usbcan兼容设备 等等CAN设备的支持,同时有一个简单的接口,用于实现其他设备支持,接口dll函数替即可。 .Net 目标框架为 4.0,需要引用Excel程序,默认版本为 office 2019,也可在源码中修改。
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值