Bugku 题目 web 方向
web31
题目描述:好像需要管理员。
打开场景是这样的,单在页面上找的话找不到什么有用的信息。
用御剑扫描存在的后台,几秒钟就扫出了 robots.txt 。
访问 /robots.txt ,得到另一个地址:/resusl.php
访问 /resusl.php ,得到一些提示,把参数 password 传入 参数 x ,但是现在不知道 password 的值。
刚开始一直在找 password 的值,但是找不到。
然后回到页面传参语句上面还有一些信息说不是管理员。
就试了一下: ?x=admin ,真就出结果了,得到 flag 。
——
——
web32
题目方向明确,文件上传。
打开场景,就是一个文件上传的界面。
先尝试简单地上传包含一句话木马的文件。
发现回显错误,无法上传 .php 格式的文件,并且源代码中也无法绕过,文件是从后端检测的。
再尝试上传一个正常的图片,是可以上传成功的,并且可以回显出文件路径。
然后上传一句话木马通过 burp 修改请求。
一开始我只修改文件名后缀还有 Content-type (标明上传的文件类型)的值,结果就算得出 上传的文件地址也无法用蚁剑连接。
后来得知需要绕过 multipart/form-data 。
multipart/form-data 只支持小写字符,所以对其随便一个字符改为大写即可绕过。
multipart/form-data:
通过表单对文件格式进行一次判断,是在后端进行判断。
所以总共有三项需要伪造的地方,改好后发送就可以得到可以连接的文件路径了。
在蚁剑中刚打开根目录是这样的,感觉找不到 flag 。
还要再往前面的目录找。点这个斜杆,看到目录里就得到 flag 了。
——
——
web33
这题不需要启动环境。
不过题目含有一条描述和一个附件。
用一个金币下载附件打开是一段 php 代码。
<?php
function encrypt($data,$key)
{
$key = md5('ISCC');
$x = 0;
$len = strlen($data);
$klen = strlen($key);
for ($i=0; $i < $len; $i++) {
if ($x == $klen)
{
$x = 0;
}
$char .= $key[$x];
$x+=1;
}
for ($i=0; $i < $len; $i++) {
$str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
}
return base64_encode($str);
}
?>
了解之后得知这是一道 php 可逆加密算法。
前面下载的是一个加密算法。
我们需要用解密算法得到 flag 。
解码算法:
<?php
$flag="fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
$str=base64_decode($flag);
$str1="";
echo $str;
$key = md5('ISCC');
$klen=strlen($key);
echo "key";
echo $key;
$x=0;
for($i=0;$i<strlen($str);$i++)
{
if ($x == $klen)
{
$x = 0;
}
$char .= $key[$x];
$x+=1;
}
echo $char;
$data1="";
for ($j=0; $j < strlen($str); $j++)
{
$data1.= chr((ord($str[$j]) + 128-ord($char[$j]))%128);
}
echo $data1;
?>
在 php 环境下运行得到 flag 。
——
——
web34
题目描述:hint:文件包含
打开场景,源代码注释中提示一个路径:/upload.php
并且在 url 中可以看到 file 参数,是使用文件包含的格式,后面应该可以用到。
进入此路径后,是一个文件上传的界面,只能上传规定后缀名的文件。
直接上传一句话木马用 burp 修改数据包中的文件名和 Content-Type 的值为 image/jpeg 。
上传成功后得到路径,但是无法直接访问这个路径,蚁剑也连不上。
想到前面刚打开场景时 url 的文件包含的格式:
http://114.67.246.176:11360/index.php?file=hello.php
把 file 的值改为我们得到的文件路径,再用蚁剑就能成功连接了,得到 flag 。
并且,经过测试,用普通的一句话木马没有作用,<? php 应该是会被过滤。
<?php @eval($_POST['attack']) ?>
所以使用如下 payload:
<script language="php">@eval($_POST[cmd])</script>
可成功上传 webshell 。
——
——
web35
题目描述:点了 login 咋没反应。
打开场景,是一个登录界面,发现输入 username 和 password 之后点 login 没有什么反应。
只能从其他地方寻找线索。
在源代码中看到有一个 .css 文件,
进入文件,提示请求 ?6041
GET 请求之后得到一段代码,
根据代码,要求发送 cookie 。
(unserialize($cookie) === "$KEY")
并且这里要求两边的值需相等,并且包含序列化的知识。
两边序列化得:
$cookie = serialize("$KEY")
而 $KEY 原本的值为 ‘ctf.bugku.com’
解出后为:
s:13:“ctf.bugku.com”
构造请求:
Cookie: BUGKU=s:13:“ctf.bugku.com”
点击 send 发送得到 flag 。
这里要注意首行那里的 get 请求 ?6041 要去掉,检查请求头是否和下图一直。
一开始时我这里的请求头多了一项,导致无法 send 成功。