BugkuCTF web21_never give up writeup

最新推荐文章于 2024-08-10 02:34:02 发布
最新推荐文章于 2024-08-10 02:34:02 发布
阅读量512 收藏 2
点赞数 1
分类专栏: CTF 文章标签: unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mitchell_Donovan/article/details/112626281
版权

web21_never give up

原题链接

key:URL解码+php黑魔法

 

①打开环境后只有一串英文never give up

F12查看源码后得到提示👇

 

②尝试访问1p.html,然而跳转到了bugku论坛

不妨查看一下源码

值得注意的是,因为有自动跳转,所以只能view-source来查看源码

在地址栏输入view-source:http://123.206.87.240:8006/test/1p.html

得到了源码👇

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--


var Words ="%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--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%3D%3D--%3E" 
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
} 
OutWord();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 

③发现中间有URL编码,拿去URL解码👇

<script>window.location.href='http://www.bugku.com';</script> 
<!--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-->

发现仍然存在base64加密,拿去base64解密👇

%22%3Bif%28%21%24_GET%5B%27id%27%5D%29%0A%7B%0A%09header%28%27Location%3A%20hello.php%3Fid%3D1%27%29%3B%0A%09exit%28%29%3B%0A%7D%0A%24id%3D%24_GET%5B%27id%27%5D%3B%0A%24a%3D%24_GET%5B%27a%27%5D%3B%0A%24b%3D%24_GET%5B%27b%27%5D%3B%0Aif%28stripos%28%24a%2C%27.%27%29%29%0A%7B%0A%09echo%20%27no%20no%20no%20no%20no%20no%20no%27%3B%0A%09return%20%3B%0A%7D%0A%24data%20%3D%20@file_get_contents%28%24a%2C%27r%27%29%3B%0Aif%28%24data%3D%3D%22bugku%20is%20a%20nice%20plateform%21%22%20and%20%24id%3D%3D0%20and%20strlen%28%24b%29%3E5%20and%20eregi%28%22111%22.substr%28%24b%2C0%2C1%29%2C%221114%22%29%20and%20substr%28%24b%2C0%2C1%29%21%3D4%29%0A%7B%0A%09require%28%22f4l2a3g.txt%22%29%3B%0A%7D%0Aelse%0A%7B%0A%09print%20%22never%20never%20never%20give%20up%20%21%21%21%22%3B%0A%7D%0A%0A%0A%3F%3E

解密结果还是URL编码,再拿去URL解码,得到PHP代码👇

if(!$_GET['id'])    //限制URL查询字符串中必须有非空非零变量id
    {
    	header('Location: hello.php?id=1');
    	exit();		//exit() 函数输出一条消息,并退出当前脚本
    }
 $id=$_GET['id'];
 $a=$_GET['a'];
 $b=$_GET['b'];
 if(stripos($a,'.'))   //变量a中不能出现.字符
    {
    	echo 'no no no no no no no';
    	return ;
    }
 $data = @file_get_contents($a,'r');
 if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
//要满足以下5条表达式
//变量 $data 弱等于字符串 bugku is a nice plateform!
//变量 $id 弱等于整型数 0
//变量 $b 的长度大于 5
//字符串 1114 要与字符串 111 连接变量 $b 的第一个字符构成的正则表达式匹配
//变量 $b 的第一个字符弱不等于整型数 4
    {
    	require("f4l2a3g.txt");
    }
 else
    {
    	print "never never never give up !!!";
    }

 

④进行代码审计👇

…………thousands of years later…………

源码中已暴露出flag文件,有可能是出题人的失误,也有可能是出题人故意用复杂的语句迷惑你,实际上可以直接绕过

因此,可以直接访问链接http://123.206.87.240:8006/test/f4l2a3g.txt获得flag

 

⑤不过也可以进行常规的绕过👇

由下图可知,变量 $id 若想满足非空非零且弱等于整型数 0,则 $id 的值只能为非空非零字符串,这里假设 $id = mitchell

PHP 弱类型比较表

有关 PHP 类型比较的详情可参考:PHP 类型比较表

源码中变量 $data 是由 file_get_contents() 函数读取变量 $a 的值而得,所以 $a 的值必须为数据流

在服务器中自定义一个内容为 bugku is a nice plateform! 文件,再把此文件路径赋值给 $a,显然不太现实

因此这里用伪协议 php:// 来访问输入输出的数据流,其中 php://input 可以访问原始请求数据中的只读流

这里令 $a = php://input,并在请求主体中提交字符串 bugku is a nice plateform!

有关 PHP 伪协议的详情可参考:支持的协议和封装协议

先来了解一下eregi()截断漏洞👇

ereg()函数或eregi()函数存在空字符截断漏洞,即参数中的正则表达式或待匹配字符串遇到空字符则截断丢弃后面的数据

源码中待匹配字符串(第二个参数)已确定"1114",正则表达式(第一个参数)由"111"连接b的第一个字符组成,若令substr(b,0,1) = "\x00",即满足 "1114" 与 "111”"匹配

\x00即0x00,是一个十六进制转义符,用来表示空字符

因为$b是URL查询字符串中的变量,所以不应该在此放入空字符\x00,而应该为空字符的URL编码%00

注意,虽然$b=%0012345实际字符串长度为8字节,但在后台脚本读入数据时,会将URL 编码%00转换成1字节

有关PHP的各种黑魔法可参考:PHP函数黑魔法小总结

 

⑥用burpsuite抓一下包,放到repeater

用构造好的payload去go一下,得到flag👇

值得注意的是,请求主体中bugku is a nice plateform!后面不要加回车或者空格

虽然看不出来毛病,然而a的值天差地别!!!

 

 

 

Mitch311
关注
专栏目录
BugKu CTF(杂项篇MISC)—split_all
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
12-24 2107
BugKu CTF(杂项篇MISC)—split_all 文章目录BugKu CTF(解密篇Crypto)—split_allfile 010 打开常用文件头把前面png文件头删去,补全gif文件头,另存为gif文件stegsolve打开python 拼接flag file 010 打开 常用文件头 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 ZIP Archive (zip),文件头:504B
bugkuctf web基础部分 writeup
river
03-20 2907
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
Bugku CTF web21Web
ChaoYue_miku的博客
03-04 608
0、打开网页,查看源代码 注释中的1p.html有些可疑 1、访问http://114.67.246.176:16508/1p.html,并查看源代码 view-source:http://114.67.246.176:16508/1p.html %3Cscript%3Ewindow.location.href%3D'http%3A%2F%2Fwww.bugku.com'%3B%3C%2Fscript%3E%20%0A%3C!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQ
Bugku CTF-web21 never give up
weixin_44023403的博客
05-26 509
Bugku CTF-web21 never give up解题遇到的问题 解题 打开网址,查看源码,发现提示1p.html; 试着打开url+1p.html,发现有跳转,用burp抓包查看源码,得到一串字符; 开头推测是被url编码了,用在线工具( UrlEncode编码/UrlDecode解码 - 站长工具 (chinaz.com))解码; 忽略注释内容,根据下面字符串特征,试着用base64解码; JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQ
BugKu CTF Misc:眼见非实 & 啊哒 & ping & Snowfall
最新发布
Flag少侠的博客
08-10 8839
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
BugkuCTF web_21-30
H4ppyD0g的博客
08-10 655
21 秋名山老司机 多刷新几次网页发现说让用post提交value值来获取flag。 注意要用session请求方式,否则网页信息时是一次连接,post提交时又是一次连接,内容不一样。 import requests import re s = requests.Session() r = s.get("http://120.24.86.145:8002/qiumingshan/") searc...
Never give up
wcp88888888的专栏
09-16 459
丘吉尔最精彩的演讲,也是最后一次演讲。      在剑桥大学毕业典礼上万人齐聚一起等待丘的到来。一会儿,丘慢慢走上台,脱下大衣,摘下帽子,默默的注视所有听众。过了一分钟,他讲道:“永不放弃!”接着他穿上大衣戴上帽子,离开了,这时会场鸦雀无声,又一分钟后,掌声雷动。永不放弃的两个原则:第一,永不放弃;第二,当你想放弃时,回头看第一个原则。丘吉尔身为总统,他却说:人民能够在广场
Never give up!!
473687880
10-03 112
最近开学了,事情一下子多了起来,要上课,老板给的任务也做的不好,需要做个自我检讨了,这几天身体状况太差了,总感觉身体不舒服,昨晚还发烧了,完全没有好好学习,没学进去,但是这些都是自己给自己不想学习找的借口,很多时候,时间都浪费在无聊的水98,看视频,看小说以及对未来的YY中了,太痛恨现在这种状态了!!每周每天时间都这么的过去了,自己没有一个很好地规划总结,很少反省自己,我需要做出一些改变了,我一定...
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 3800
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1509
Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
CTF_Competitions_Writeup:周大福比赛作品集
04-13
CTF_Competitions_Writeup 这是我解决的一些CTF竞赛挑战文章的集合。
BUGKU_CTF WEB(21-35) writeUP
热门推荐
单核CPU的小朋友的博客
10-31 4万+
21题:秋名山老司机 根据题目要求可以看出题目要求在两秒内计算出div标签中给出的值。这里采用py传递value参数。通过post传递参数。session保持会话,从而拿到flag。 第22题:速度要快。 burp抓包发现一个response请求头。里面有一个flag属性。第一次判断是base64加密的。 观察注释。传post传margin,控制session保持flag不变。写python。...
bugku web21 never never never give up
彼岸花苏陌的博客
02-25 278
Bugku CTF web菜鸡刷题web22 web22 http://114.67.246.176:19678/hello.php?id=1 id=1 尝试注入,无果 F12提示1p.html 输入试试 ???直接跳到bugku主界面 用burpsuite看看 Host: www.bugku.com Referer: http://114.67.246.176:19678/1p.html 感觉是重定向 再提交一次 结果在F12-网络-响应载荷发现了异样 <HTML> <HEAD&gt
web-never give up
diemozao8175的博客
08-19 308
打开题目连接 ?id=1 ,疑是注入点 但是输入其他数字无果 打开源码,发现注释有网页链接 打开连接 123.206.87.240:8006/test/1p.html 发现回到了bugku的论坛首页,应该是重定向出问题 观察在连接前面添加 view-source 用来查看源码 用url解码得到中间一串base64编码 1 JTIyJTNCaWY...
Bugku-never_give_up
kaixinXQ的博客
08-08 260
点击链接,查看题目 右键查看源码,发现存在1p.html文件, 查看文件发现被跳转到论坛首页,查看1p.html的源码,发现如下:view-source:http://114.67.246.176:18086/1p.html 将下面的代码,分别进行url和base64解码:得到提示 <?php" if(!$_GET['id']) { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id'];.
BugKu_never_give_up
Kobalos的博客
08-11 711
直接访问目标地址 因为没有什么明显的提示,所以尝试看源码! 可以看到源码中是提示了一个1p.html的,尝试访问这个文件 发现他直接跳转到了bugku的一个论坛,所以判断1p.html是存在跳转设置的,抓包看下 看到这堆字符串的开头是%3C,应该是url编码,尝试解码 解出来看格式,应该是base64,继续解码! 成功得到代码! ";if(!$_GET['id']) { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id'.
Bugku-never_give_up-ctf练习
lshandel的博客
07-14 1202
题目解析 题目知识点:php以及伪协议、正则、自己还用了py(因为mac上没装burp等 )、编码 个人感觉是挺难的,用的知识点不少 题目描述:作者:御结冰城 题目链接:https://ctf.bugku.com/challenges/detail/id/88.html?page=4 首先分析一波 打开网页之后得到,只有一行字 说实话,结合url我以为是把id试出来 ,于是py写了个脚本,id从1到999试了一遍。。。由于过程缓慢,到三百多的时候,我决定先换个思路 先看看源码吧,只有两行,但是给了提示说有
bugku 部分web wp
IM_222的博客
02-13 264
打开网页弹出的全是滑稽脸,检查源代码,可以直接找到flag
BugKu Web21-25)
kid的博客
06-06 1956
BugKu Web21-25) 前言 bugku刷题,本来想每10道写一篇的,但水平有限,发现到这里题目难度已经有点大了,所以每5道题整合一篇吧… 题目 秋名山老司机 登陆可以看到如上提示,然后快速刷新可以看到要求是post提交,键名为value 这肯定是人工没法完成的,必须写脚本 py脚本写起来的时候,没有用过eval函数,是真的痛苦,不断字符串处理,条件判断… 最后还不对,最后看...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ... error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] .... echo "Upload: " .... echo "Type: " .... echo "Size: " ....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mitch311

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值