[MRCTF2020]套娃1

最新推荐文章于 2024-05-31 11:03:01 发布
最新推荐文章于 2024-05-31 11:03:01 发布
阅读量1.1k 收藏 11
点赞数 40
文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daimakunnanhu/article/details/136151131
版权

好像MRCTF难度要比其他的低那么些。这题做起来还是很舒服的。

右键源代码,有发现

 

$_SERVER['QUERY_STRING']是什么?举个例子即可

http://www.xxx.com/?p=222 (附带查询)

结果:

$_SERVER["QUERY_STRING"] = "p=222″

有两层过滤

1.过滤"_"与"%5f" 。

这里要求的参数必须是"b_u_p_t"但是不能检测出"_"。这里看着很作弄人。其实这里要用到php里非法参数名的问题。可以参考一下博客

https://blog.csdn.net/mochu7777777/article/details/115050295

简单来说会把参数名里的"."等非法符号替换为"_" 

2.绕过preg_match

因为preg_match只匹配第一行,所以%0a即可绕过。

?b.u.p.t=23333%0a

 

提示:访问secrettw.php

 

ip不对,需要127.0.0.1。抓包

数据包传递ip我知道有两种。

X-Forwarded-For:127.0.0.1

Client-Ip:127.0.0.1

都试一下,第二个正确

看见右下角一堆堆外星语,其实这是JavaScript代码。复制找个网站运行一下

 

哦,原来你小子要post请求。

 

终于看到最后的flag源码了

1.判断是否存在post请求,参数名Merak,存在即显示源码并且结束运行。所以一会构造payload的时候一定要去掉Merak参数,不然不会执行后边的代码(我在这个地方被困了10分钟:)

2.change函数,先进行base64解码,在对每一位的ascii码加上i*2。很简单写一个逆函数就行

//逆向代码
<?php
$v="flag.php";
$re='';
for($i=0;$i<strlen($v);$i++)
{
    $re.=chr(ord($v[$i])-$i*2);
}
$v1=base64_encode($re);
echo $v1;
?>

//v1=ZmpdYSZmXGI=

 

3.有个2333参数在file_get_contents函数里边,读取出来要等于"todat is a happy day"。需要用到data伪协议

data://text/plain,"todat is a happy day"

构造最终的数据包

 

这套娃,还算有趣。 

不会编程的崽
关注
  • 40
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 417
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
俄罗斯套娃
04-17
俄罗斯套娃动作数据
俄罗斯套娃奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
俄罗斯套娃问题 回溯法
08-01
俄罗斯套娃问题 采用递归、回溯法解决俄罗斯套娃问题
中兴捧月俄罗斯套娃程序代码
05-23
第二届中兴“捧月杯”预赛俄罗斯套娃源程序
俄罗斯套娃奖品Java程序
08-12
网上有套娃的VC程序,c程序,这是我改写的Java版本。
俄罗斯套娃程序及设计
06-09
1.递归函数遍历可达路径。 2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score_now,并将当前函数所标记的HPZD(如果有)去除,即把该路口的值由HPZD改为0。 5.当一条路径走到死胡同时,比较score_now和score_best(此前的最大重量)。 如果score_now比score_best大,说明当前路径是目前为止最好的。把当前的路径替代之前最好的路径(path_best=path_now),并替换相应的套娃总重(score_best=score_now)。
[MRCTF2020]套娃 1
shinygod的博客
04-01 754
知识点:Client-ip,data://, $_SERVER总结 <!-- //1st $query = $_SERVER['QUERY_STRING'];//获取参数 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ //参数中不能有_和%5f die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
[MRCTF2020]套娃
Sk1y的博客
07-20 2106
[MRCTF2020]套娃 考查知识点:本题三重套娃,考查的知识包括绕过过滤,空格代替_,传值方式,写代码的能力等等。 文章目录[MRCTF2020]套娃第一层套娃第二层套娃第三层套娃参考链接 第一层套娃 在f12中可以发现这个线索 <?php $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){//即不能存在_,这里用%5f url
BUUCTF [MRCTF2020]套娃
4pri1
07-22 309
BUUCTF [MRCTF2020]套娃 != 与!== 和== ===对应 1,http://localhost/aaa/ (打开aaa中的index.php) 结果: $_SERVER['QUERY_STRING'] = ""; $_SERVER['REQUEST_URI']= "/aaa/"; $_SERVER['SCRIPT_NAME']= "/aaa/index.php"; $_SERVER['PHP_SELF']= "/aaa/in...
buuctf [MRCTF2020]套娃
m0_65766842的博客
04-08 212
第二个if要求get传的参不能等于2333且传的参结尾开头中间都是2333,在23333结尾加个换行符url编码为%0a 即可绕过。第一个if过滤了_和url编码的%5f 解码后也是_ ,PHP会将传参中的空格( )、小数点(.)自动替换成下划线。通过查询资料和对比,知道了这是一个jQuery事件,并且使用change()的办法来做题。简而言之就是变量改变会有提醒,因为我们绕过不能有提醒所以上传的v和file相同。通过查询资料,我们可以知道被注释的是一串jsfuck的的编码。我们进行传参之后得到以下代码。
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 719
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1079
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
[MRCTF2020]:千层套路
qq_47875210的博客
07-12 1731
opencv+pil解析像素点,zip套娃
网络安全的神秘世界】docker搭建pikachu靶场
weixin_54750312的博客
05-31 458
再访问80端口,因为默认端口就是80,所以80可省略。可以通过下面命令进入pikachu网站根目录。虽然是404,但实际已经启动好了。点击红色部分,进行安装/初始化。复制命令后,去kali安装。访问本地地址8080端口。
网络安全的神秘世界】在win11搭建pikachu靶场
最新发布
weixin_54750312的博客
05-31 747
这个错误发生在mysql 5.7 版本及以上版本会出现的问题,在mysql5.7版本默认的sql配置是:sql_mode=“ONLY_FULL_GROUP_BY”,这个配置严格执行了"SQL92标准",很多从5.6升级到5.7时,为了语法兼容,大部分都会选择调整sql_mode,使其保持跟5.6一致,为了尽量兼容程序。访问http://pikachu/install.php,这是pikachu自带的初始化数据库的php文件。ok,重新访问首页(index.php),进行测试,成功解决。点击“安装/初始化”
HFish蜜罐管理端搭建:构建网络安全的主动防御系统
weixin_43822401的博客
05-29 930
HFish是一款开源的蜜罐系统,它通过模拟各种网络服务和应用,吸引攻击者进行攻击,从而实现对攻击行为的捕获、分析和溯源。欺骗防御:通过模拟各种服务和应用,欺骗攻击者,转移攻击者的视线。主动防御:主动诱捕攻击者,收集攻击信息,为安全防护提供决策支持。溯源反制:通过技术手段,追踪攻击者的身份和来源,为反制提供依据。灵活部署:支持多种部署方式,包括单机部署、分布式部署等。
HFish蜜罐实践:网络安全防御的主动出击
weixin_43822401的博客
05-29 724
HFish蜜罐作为一种主动防御工具,通过模拟易受攻击的服务,吸引攻击者,不仅能有效捕获攻击行为,还能为安全分析和溯源提供宝贵信息。HFish蜜罐作为一种先进的网络安全防御工具,不仅能够有效地捕获和分析攻击行为,还能为安全专家提供攻击溯源的重要线索。为每个节点配置蜜罐服务,如FTP、SSH、Telnet等,这些服务作为诱饵,用于吸引并捕获攻击者的行为。收集所有连接和攻击节点的IP信息,通过分析这些信息,刻画攻击者画像,构建私有情报库。利用攻击者使用的工具漏洞,进行信息提取和溯源,确定攻击者的身份和来源。
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,你可以定义一个结构体来表示一个套娃人偶,其中包含一个指向更小人偶的指针。例如: ```c struct Doll { int size; struct Doll* smaller_doll; }; ``` 然后,你可以创建一组套娃人偶对象,并将它们连接起来形成套娃的层次结构。例如: ```c struct Doll doll1 = { 1, NULL }; struct Doll doll2 = { 2, &doll1 }; struct Doll doll3 = { 3, &doll2 }; // 依此类推... ``` 在这个例子中,doll3 是最外层的人偶,它包含了指向 doll2 的指针,而 doll2 又包含了指向 doll1 的指针。 最后,你可以通过遍历套娃的层次结构来打印出每个人偶的大小。例如: ```c struct Doll* current_doll = &doll3; while (current_doll != NULL) { printf("Doll size: %d\n", current_doll->size); current_doll = current_doll->smaller_doll; } ``` 这样,你就可以按照从外到内的顺序打印出每个人偶的大小。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值