bugku web21 WriteUp

最新推荐文章于 2024-05-06 20:15:00 发布
最新推荐文章于 2024-05-06 20:15:00 发布
阅读量690 收藏 1
点赞数 3
分类专栏: ctf 文章标签: bugku bugku web21 作者:御结冰城 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casuall/article/details/112393548
版权

bugku平台更新后的web21,作者:御结冰城

点开链接发现进行了跳转

在这里插入图片描述

查看源代码,发现注释中有一个1p.html页面,尝试打开发现自动跳转到了bugku首页,用burpsuite抓包或者用view-source查看源码。

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words ="%3Cscript%3Ewindow.location.href%3D'http%3A%2F%2Fwww.bugku.com'%3B%3C%2Fscript%3E%20%0A%3C!--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--%3E" 
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
} 
OutWord();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

发现执行了一个函数,url解码(可以用浏览器自带的控制台直接把语句执行一遍,也可以用burpsuite自带的decoder)查看函数内容。

"<script>window.location.href='http://www.bugku.com';</script> 
<!--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-->"

里面有个注释,base64解码后再通过url解码,得到源码

";if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}
?>

根据源码我们得到以下几个条件:

  1. !$_GET['id'] 应该为true,否则会跳转到hello.php?id=1这个页面

  2. $a中不能含有"."

  3. $a文件通过file_get_contents读入到$data,并且$a文件到内容为"bugku is a nice plateform!"

  4. $id==0,这似乎与第一点相矛盾

  5. $b的长度大于5

  6. $b的第一个字符提取出来,与"111"进行拼接后,满足正则匹配

  7. $b的第一个字符不能是4

首先来看第1点第4点,这个是对$id进行限制,$id如果为0的话第1个条件就不满足了,但是注意在比较$id的时候用的是而不是=

==在比较的时候,会将两个变量转换为相同的类型,再比较

===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较

这里可以让$id可以为0e123(会当成科学计数法进行转换),可以为0abc,或者就直接为abc,可以自行百度一下php弱类型

第2第3点条件是针对于$a的, 读取的文件名中不能包含".",并且$a表示的文件中的内容为"bugku is a nice plateform!"。我们可以看到该题目是通过file_get_contents函数进行读取的文件内容,这个函数可以通过php伪协议(php://input)去绕过。

php://input 是个可以访问请求的原始数据的只读流.CTF中经常使用file_get_contents获取php://input内容(通过POST数据),需要开启allow_url_include,并且当enctype="multipart/form-data"的时候 php://input是无效的。
我们令$a=php://input,然后将"bugku is a nice plateform!"通过POST方法进行传递。

接下来看最后三点约束,首先$b的长度大于5,然后通过eregi函数进行正则匹配,这个函数作用是:不区分大小写的正则表达式匹配。此函数在PHP 5.3.0中已弃用,在PHP 7.0.0中已删除。
函数原型为eregi ( string $pattern , string $string , array &$regs = ? ) : int。第一个参数是匹配模式,根据第7点条件,$b的第一个字符不能是4,但是还得满足eregi的正则匹配,所以这里用一个通配符来绕过,可以让$b.12345(“111”.substr( b , 0 , 1 ) 拼 接 后 为 " 111. " , " . " 表 示 任 意 单 个 字 符 , 匹 配 成 功 ) , 或 者 ‘ ∗ 12345 ‘ ( " 111 " . s u b s t r ( b,0,1)拼接后为"111.","."表示任意单个字符,匹配成功),或者`*12345`("111".substr( b,0,1)"111."".")12345"111".substr(b,0,1)拼接后为"111*","*“表示前面可以出现0个或者多个"111”,更多细节请百度正则表达式)。

最后的payload为?id=0e123&a=php://input&b=.12345, 并将"bugku is a nice plateform!"通过POST方法传递。

在这里插入图片描述

Casuall
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku杂项题writeup
11-22
bugku杂项题writeup
最详细bugku杂项小白解法(1~24已完结)
qq_42906381的博客
03-30 3259
bugku杂项!安排本文持续更新!1签到题2这是一张单纯的图片3隐写4telnet5眼见非实6啊哒复杂方法简单方法7又是一张图片,还单纯吗?8猜9宽带信息泄露10隐写211多种解决方法12闪的好快 本文持续更新! 这是我第一次使用 Markdown编辑器 。我将用他来写出自己的第一篇CSDN博客! 1签到题 只需简简单单的关注公众号就能拿到flag 白给白给 2这是一张单纯的图片 右键查看属性无果...
bugku多种方法解决 解析
qq_73722777的博客
03-09 417
打开文件发现是一个exe文件,我们点击运行后会报错。首先使用010editor打开查看。看见前面有一个image/jpg后,推测后面的内容为图片转base64码,尝试进行转换。扫描二维码后获得flag,此题结束。
2024年网络安全最全CTF BugKu平台———(Web篇②)_buktu攻防平台(1),互联网寒冬公司倒闭后
最新发布
2401_84267585的博客
05-06 844
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。大概的意思就是v1不等于v2,v1和v2的md5相等,strcmp是比较字符串(区分大小写),v3不等于flag。方法2 :根据if($ac === $f),构造?fn=flag.txt,&ac=bugku,最后得到flag。大概就是使uname的sha1和值与passwd的sha1的值相等即可,但是同时他们两个的值又不能相等。(考的MD5碰撞,网上有很多随便找一个即可。
BUGKU-CTF入门笔记
Emooooor的博客
11-29 2289
CTFBUGKU,入门
bugku数据包流量分析题目总结
Alexhirchi的博客
03-11 1747
因为内容有点多,文章还没写完,请谅解,后期会将内容更新补全 文章目录1.flag被盗2.中国菜刀3.这么多数据包4.手机热点5.抓到一只苍蝇6.日志审计7.weblogic8.信息提取9.特殊后门底部 1.flag被盗 ​ 提示:flag被盗,赶紧溯源! ​ 下载数据包进行分析 ​ 1.先大致看一遍数据包(IP地址,协议,数据包长度),然后大概能认出两类访问,一个是虚拟机间的访问,一个是网页的...
web渗透writeup
09-11
总结,这个案例涵盖了Web安全中的关键知识点,包括SQL注入的防范、PHP函数的运用以及会话管理的安全性。对于开发者来说,了解这些攻击手段并采取相应的防护措施至关重要,如使用预编译的SQL语句、防止URL编码攻击...
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1 本资源摘要信息聚焦于Web安全和网络协议相关知识点,涵盖了HTML、PHP、网络协议和Windows操作系统等多个方面。 一、网络协议 在Web开发中,网络协议扮演着重要角色。HTTP/1.1是目前最...
2023 强网杯 Writeup
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
bugku(小山丘的秘密)
qq_41492160的博客
02-01 418
bugku wp
bugku解题思路
tainqiuer123的博客
08-17 856
神奇的代码世界,和漏洞。。。
2024年2024网络安全技术自学路线图及职业选择方向_网安学习路线图(4),2024年最新高级网络安全面试答案
2401_84254418的博客
05-05 625
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。伴随国家新基建战略的推行,人工智能、大数据、云计算、物联网、5G 等新兴技术的高速发展,层出不穷的新型黑客攻击手法也随之而来,无数政府单位被定向攻击、企业核心数据被盗、个人敏感信息泄露。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。
bugku渗透测试 1 writeup(无需VPS)
没事我溜达
11-22 3843
BugKu该靶场只需要20金币就可以开启两小时,算的上非常良心实惠了,趁着有空赶紧刷一刷题目。
bugku——分析(流量分析)题解
小锤队长的博客
10-19 4256
目录 1,flag被盗 2,中国菜刀 3,这么多数据包 4,手机热点 5,抓到一只苍蝇 6,日志审计 7,weblogic 8,信息提取(超详细) 9,特殊后门 1,flag被盗 ctrl + f 打开搜索框,搜flag ,找到 93 个数据包里有 flag.txt字样, 右键,追踪 TCP数据流,在其中看到了 flag: flag{This_is_a_f10g}...
bugku - Web
UP's blog
09-03 2060
刚刚入门CTF,如有错误,望大佬指教
初次接触的bugku 既束手无策又好玩
m0_61364659的博客
10-04 455
开始接触的时候吧,可以说我是小白中的小白,打开bugku的页面,以为和之前学习c语言时,做的练习题一样,直接在里面敲代码好了,可这个却与我平时见到的不一样,许是我见识太狭窄,初次的时候,怎么也找不到打开题目的方式,怎么也找不到题目的地址,通过各种网络的搜索,才发现自己憨憨的,哈哈哈哈,直接拿金币启动场景就好了。可以说没有动手就不会与任何的发现,这次我以一道题来讲述我初次接触时的感受。 下面的这道题,我初次做的时候很懵,通过搜索知道,原来要打开页面的源代码来找出flag,当...
GKCTF2021-官方WriteUp.pdf
07-06
"GKCTF2021官方WriteUp包含了两个主要的Web安全挑战:ezcms和eznode。在ezcms中,利用模板注入和目录穿越漏洞获取flag;在eznode中,通过绕过严格过滤的WAF并利用原型链污染实现远程代码执行(RCE)" 在ezcms挑战中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值