Bugku 做题记录31~35

Bugku 题目 web 方向

web31

题目描述:好像需要管理员。
在这里插入图片描述
打开场景是这样的,单在页面上找的话找不到什么有用的信息。
在这里插入图片描述
用御剑扫描存在的后台,几秒钟就扫出了 robots.txt 。
在这里插入图片描述
访问 /robots.txt ,得到另一个地址:/resusl.php
在这里插入图片描述
访问 /resusl.php ,得到一些提示,把参数 password 传入 参数 x ,但是现在不知道 password 的值。
在这里插入图片描述
刚开始一直在找 password 的值,但是找不到。
然后回到页面传参语句上面还有一些信息说不是管理员。
就试了一下: ?x=admin ,真就出结果了,得到 flag 。
在这里插入图片描述
——
——

web32

题目方向明确,文件上传。
在这里插入图片描述
打开场景,就是一个文件上传的界面。
先尝试简单地上传包含一句话木马的文件。
发现回显错误,无法上传 .php 格式的文件,并且源代码中也无法绕过,文件是从后端检测的。
在这里插入图片描述
再尝试上传一个正常的图片,是可以上传成功的,并且可以回显出文件路径。
在这里插入图片描述
然后上传一句话木马通过 burp 修改请求。
一开始我只修改文件名后缀还有 Content-type (标明上传的文件类型)的值,结果就算得出 上传的文件地址也无法用蚁剑连接。

后来得知需要绕过 multipart/form-data 。
multipart/form-data 只支持小写字符,所以对其随便一个字符改为大写即可绕过。

multipart/form-data
通过表单对文件格式进行一次判断,是在后端进行判断。

所以总共有三项需要伪造的地方,改好后发送就可以得到可以连接的文件路径了。
在这里插入图片描述
在蚁剑中刚打开根目录是这样的,感觉找不到 flag 。
在这里插入图片描述
还要再往前面的目录找。点这个斜杆,看到目录里就得到 flag 了。
在这里插入图片描述
——
——

web33

这题不需要启动环境。
不过题目含有一条描述和一个附件。
在这里插入图片描述
用一个金币下载附件打开是一段 php 代码。

<?php
function encrypt($data,$key)
{
    $key = md5('ISCC');
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) {
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) {
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str);
}
?>

在这里插入图片描述
了解之后得知这是一道 php 可逆加密算法。
前面下载的是一个加密算法。
我们需要用解密算法得到 flag 。
解码算法:

<?php
$flag="fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
$str=base64_decode($flag);
$str1="";
echo $str;
$key = md5('ISCC');
$klen=strlen($key);
echo "key";
echo $key;
$x=0;
for($i=0;$i<strlen($str);$i++)
{
      if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
}
echo $char;
$data1="";
for ($j=0; $j < strlen($str); $j++)
{
    $data1.= chr((ord($str[$j]) + 128-ord($char[$j]))%128);
    }
    echo $data1;
?>

在 php 环境下运行得到 flag 。
在这里插入图片描述
——
——

web34

题目描述:hint:文件包含
在这里插入图片描述
打开场景,源代码注释中提示一个路径:/upload.php
并且在 url 中可以看到 file 参数,是使用文件包含的格式,后面应该可以用到。
在这里插入图片描述
进入此路径后,是一个文件上传的界面,只能上传规定后缀名的文件。
在这里插入图片描述
直接上传一句话木马用 burp 修改数据包中的文件名和 Content-Type 的值为 image/jpeg 。
上传成功后得到路径,但是无法直接访问这个路径,蚁剑也连不上。
想到前面刚打开场景时 url 的文件包含的格式:

http://114.67.246.176:11360/index.php?file=hello.php

把 file 的值改为我们得到的文件路径,再用蚁剑就能成功连接了,得到 flag 。
在这里插入图片描述
并且,经过测试,用普通的一句话木马没有作用,<? php 应该是会被过滤。

<?php @eval($_POST['attack']) ?>

所以使用如下 payload:

<script language="php">@eval($_POST[cmd])</script>

可成功上传 webshell 。

——
——

web35

题目描述:点了 login 咋没反应。
在这里插入图片描述
打开场景,是一个登录界面,发现输入 username 和 password 之后点 login 没有什么反应。
在这里插入图片描述
只能从其他地方寻找线索。
在源代码中看到有一个 .css 文件,
在这里插入图片描述
进入文件,提示请求 ?6041
在这里插入图片描述
GET 请求之后得到一段代码,
在这里插入图片描述
根据代码,要求发送 cookie 。

(unserialize($cookie) === "$KEY")

并且这里要求两边的值需相等,并且包含序列化的知识。
两边序列化得:

$cookie = serialize("$KEY") 

而 $KEY 原本的值为 ‘ctf.bugku.com’
解出后为:

s:13:“ctf.bugku.com”

在这里插入图片描述
构造请求:

Cookie: BUGKU=s:13:“ctf.bugku.com”

点击 send 发送得到 flag 。
在这里插入图片描述
这里要注意首行那里的 get 请求 ?6041 要去掉,检查请求头是否和下图一直。
一开始时我这里的请求头多了一项,导致无法 send 成功。
在这里插入图片描述

  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值