2021-06-14

最新推荐文章于 2021-12-15 21:32:14 发布
最新推荐文章于 2021-12-15 21:32:14 发布
阅读量180 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZZZllllllxx/article/details/117906397
版权

2021/6/14
bugku
web21
1.301重定向
2.url,base64解码
3.php代码审计

一开始看到id=1以为是sql注入,后经多次尝试发现不是,经过提示在注释中找到 1p.html
访问后发现会直接转跳到bugku论坛,查看发现301重定向

ps(301转向(或叫301重定向,301跳转)是当用户或搜索引擎向网站服务器发出浏览请求时,服务器返回的HTTP数据流中头信息(header)中的状态码的一种,表示本网页永久性转移到另一个地址。301重定向主要是将需要转移的网址重定向另一个新的网址上,并且是永久性转移。)

然后尝试用burpsuite抓包访问,找到了一串乱码,先url解码再base64解码出现php代码如下
http://ctf.ssleye.com/url.html
http://ctf.ssleye.com/base64.html

if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.')) //a中不能有.
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r'); //读取a为名字的文件给data
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4) //重点语句
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

用到的函数含义:
1.stripos() 函数:查找字符串在另一字符串中第一次出现的位置(不区分大小写)
2.file_get_contents; readfile看到这两个可以想到伪协议
常用伪协议:
php://input写入文件, 数据在body那边传过去,可以用GET,也可以用 POST 传过去
php://filter读取文件
详见https://blog.csdn.net/fastergohome/article/details/102514264
3.strlen($b)>5 b的长度大于5

4.substr($b,0,1)就是取b参数的第一个字符
5.ereg() 函数或 eregi() 函数存在空字符截断漏洞,即参数中的正则表达式或待匹配字符串遇到空字符则截断丢弃后面的数据

if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4) //重点语句

这句含义大概
1.data内容要为bugku is a nice plateform!也就是a的文件内容为bugku is a nice plateform!可以用php伪协议php://input写入文件数据在body那边传过去
也就是==> a=php://input且在bp body处加上bugku is a nice plateform!
2.id==0 id弱等于0,但是看大佬博客说没有这么简单前边还规定了等0的话,!0=1,导致重定向,那么就不能是数字0可以是字符0或者另一种方法id参数为字符时,比较时会转为0 所以就有 id=a
3. strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4b长度大于5; 字符串1114要与字符串111连接变量 $b 的第一个字符构成的正则表达式匹配,但是b的第一个字符不可以为4;eregi可以用空字符来绕过,他匹配到空字符自动停止,url中的空字符自然是%00
构造
id=a&a=php://input&b=%0012345
bp下方加上bugku is a nice plateform!
即可得flag

HaHazzzlll
关注
专栏目录
CVE-2021-41773 && CVE-2021-42013 Apache HTTPd最新RCE漏洞复现 && 目录穿越漏洞
weixin_45694388的博客
10-16 3462
漏洞描述: Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制
直观演示SQL注入
qq_43128070的博客
03-30 267
数据库中的数据:所有的密码都是123456 后台: 页面:我输入任意密码,用户名拼接or 单击“登录”按钮:跳转到了主页
sql注入,页面跳转到外部链接原理
qq_40591332的博客
09-27 435
需要在回显得地方才能看到效果 如果回显是用:value="${xxx}" 可直接 "><script>window.open("http://www.baidu.com");</script> 如果回显是用: <span>${xxx}</span>或其他<x>${xxx}</x> 可直接 <script>window.open("http://www.baidu.com");</scri...
MYSQL通过SQL语句提取表中URL数据的域名
willgon的专栏
01-15 3110
MYSQL通过SQL语句提取表中URL数据的域名: select SUBSTR((REPLACE(REPLACE(url,'https://',''),'http://','')), 1, INSTR((REPLACE(REPLACE(url,'https://',''),'http://','')),'/')-1) host1, count(1) from dbo.table1 group by SUBSTR((REPLACE(REPLACE(url,'https://',''),'http://..
SQL的连接URL
weixin_33922672的博客
10-23 1344
Java数据库连接(JDBC)由一组用 Java 编程语言编写的类和接口组成。JDBC 为工具/数据库开发人员提供了一个标准的 API,使他们能够用纯Java API 来编写数据库应用程序。然而各个开发商的接口并不完全相同,所以开发环境的变化会带来一定的配置变化。本文主要集合了不同数据库的连接方式。   一、连接各种数据库方式速查表   下面罗列了各种数据库使用JDB...
sql server 2012 报表开发(3) Reporting Service 如何在数据列上添加超链接跳转
专注sharepoint,O365,BI大数据设计与开发
09-03 3223
我们接着前面学习的sql server 2012 报表开发(2) reporting service 中制作分组折叠式报表 ,以这个列表为例,我们给其中一个列UserID,添加一个一个超链接。 1. 选中在需要添加超链接的列UserID,右键,点击文本框属性 点击操作,启动为操作,选择"转到URL(U)",选择URL(S), 输入我们需要跳转的超链接地址,以及Url参数 ="htt
BvSshClient-Inst__8.48.exe(2021-06-14)
06-14
Bitvise SSH Client是款window上不错的免费的ssh客户端,支持SFTP, tunneling, terminal, FTP­to­SFTP bridge。除了支持比较重要的动态端口转发外,还支持多帐号登录、图形界面的SFTP、远程桌面等。...
2021-06-06 15点142021.6高一数学 课堂号55321786听课统计.csv
06-06
2021-06-06 15点142021.6高一数学 课堂号55321786听课统计.csv
all-in-one-wp-migration-file-extension-2021-06-21-14-33.tar.gz
06-21
《全面解析WordPress插件All-in-One WP Migration File Extension》 在WordPress的世界里,插件扮演着至关重要的角色,它们能够极大地扩展网站的功能,使用户无需深入编程就能实现各种复杂的需求。...
bugku(php://input)
a3320315的博客
08-13 299
<?php if(!$_GET['id']) { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id']; $a=$_GET['a']; $b=$_GET['b']; if(stripos($a,'.')) { echo 'no no no no no no no'; return ; } $data = @file_get...
CTF_WEB(习题)
若比邻的博客
12-15 5190
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
CTF-练习平台 writeup web
heySister
12-20 2万+
bugku Web WriteUp 刚刚接触ctf没多久,做ctf-练习平台上的题目,有些新的题目,在网上没有找到对应的writeup,所以做了之后就想自己写一个,也顺便理理自己的思路。(没有太多经验…可能对有些题目的理解还不深刻…) 签到题 加群在公告里就可以看到flag值了。 Web2 F12,立马就看到flag的值了。 文件上传测试 题目说是...
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 7万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
【bugku】web21 (ereg函数绕过)
EC_Carrot的博客
12-17 958
题目 进入题目,源代码里面提示了p1.html,进入该文件,源代码里面会发现script代码里面定义了一串字符,怀疑是base64,解密出来果不其然,上核心代码! if(!$_GET['id']) { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id']; $a=$_GET['a']; $b=$_GET['b']; if(stripos($a,'.')) { echo 'no no no no no no no'; return
2021-10-17
ZZZllllllxx的博客
10-17 1330
陇剑杯wp 记得住的一些题目 1. 打开之后发现基本都是404 寻找200的发现www.zip 2. 这题当时先注意到题目为jwt,去网上搜索发现他就是一种认证方式,所以答案就是jwt 插一段知识点 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询
2021-09-15
ZZZllllllxx的博客
09-22 1233
[RoarCTF 2019]Easy Calc 1 打开之后先看了眼源码 发现一句注释 还有calc.php 去查了一下WAF 英文:Web Application Firewall,简称: WAF 通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品 与传统防火墙不同,WAF工作在应用层 WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。 然后访问calc.php发现了源码 &lt
2021-06-15
ZZZllllllxx的博客
06-19 1014
2021/6/15 bugku web30 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!</p>"; } } ?> 这题也有关php伪协议看到了file_get_contents这
.var amout = { '2021-10-01': 0, '2021-10-02': 0, '2021-10-03': 0, '2021-10-04': 0, '2021-10-05': 0, '2021-10-06': 0, '2021-10-07': 0, '2021-10-08': 2.2, '2021-10-09': 2.5, '2021-10-10': 0, '2021-10-11': 0, '2021-10-12': 0, '2021-10-13': 0, '2021-10-14': 0, '2021-10-15': 0, '2021-10-16': 0, '2021-10-17': 0 }; 将对象转换为 var arr = [ { '2021-10-01': 0 }, { '2021-10-02': 0 }, { '2021-10-03': 0 }, { '2021-10-04': 0 }, { '2021-10-05': 0 }, { '2021-10-06': 0 }, { '2021-10-07': 0 }, { '2021-10-08': 2.2 }, { '2021-10-09': 2.5 }, { '2021-10-10': 0 }, { '2021-10-11': 0 }, { '2021-10-12': 0 }, { '2021-10-13': 0 }, { '2021-10-14': 0 }, { '2021-10-15': 0 }, { '2021-10-16': 0 }, { '2021-10-17': 0 } ]
最新发布
03-14
我可以回答这个问题。您可以使用 Object.entries() 方法将对象转换为数组,然后使用 Array.map() 方法将每个键值对转换为一个对象。以下是代码示例: ``` var arr = Object.entries(amout).map(([key, value]) => ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值