MRCTF web套娃 write up

最新推荐文章于 2024-08-07 12:07:44 发布
最新推荐文章于 2024-08-07 12:07:44 发布
阅读量677 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freerats/article/details/105218840
版权

在这里插入图片描述打开环境查看源代码,发现让我们传b_u_p_t,但是url里不能出现_和%5f,%5f和%5F是一样的,所以直接用%5F绕过

&nbsp &nbsp23333$ 在正则表达式里$可以表示结束位置,但也可以匹配换行符,因此这里可以用23333%0a来绕过

&nbsp&nbsp之后可以看到提示信息,说flag在secrettw.php里,打开页面
在这里插入图片描述在源码处发现一段JSFUCK,解码提示post一个Merak参数,传入一个值后出现源码

在这里插入图片描述要求ip为127.0.0.1, 用client-ip绕过
file_get_contents($_GET[‘aaa’])===‘ss ss’ 可以使用data:// 绕过
data://text/plain,ss%20ss (字符串)(在bp里注意不能出现空格否则无法全部解析,用%20)
接下来还需要绕过change
在这里插入图片描述flag.php 转为ZmpdYSZmXGI=
最后构造payload:?2333=data://text/plain,todat%20…&file=ZmpdYSZmXGI=
在这里插入图片描述

冰可乐不加可乐
关注
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 493
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
【BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3047
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
[MRCTF2020]套娃
pakho_C的博客
09-09 630
查看源码: $_SERVER[‘QUERY_STRING’]用于获取url中的参数,例如www.xxx.com/?a=1 获取到的就是a=1substr_count用于获取字符串中包含子串的个数 第一个if 要求参数中不包含_ 和%5f 绕过:利用PHP的字符串解析特性Bypass 可以使用,,绕过,也就是说我们参数如果是?b u p t的话 变量名会被解析为为b_u_p_t第二个if 要求传入的b_u_p_t参数不能为23333 但是正则又必须匹配以23333为开头和结尾 /^23333$/这里的正则匹
[MRCTF2020]套娃 php字符串解析绕过,jsfuck编码
最新发布
weixin_73399382的博客
08-07 661
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' )老办法伪造ip,然后利用data伪协议写入数据传给2333即可。b%20u%20p%20t=23333%0A //%20为空格url编码,%0A为回车url编码。乘以2的结果,再将得到的新的ASCII码转换回字符,并将其拼接到一个结果字符串。b%2eu%2ep%2et=23333%0A //%2e为.第二种去这个网站解析。
BUUCTF WEB 套娃
qq_41696858的博客
01-28 3111
前面的几题攻防世界也有,而且buuctf换成k8s管理以后和纯原生的docker环境又不一样了,有些地方我百度了也没百度到。。。。 打开场景,看见一段被注释掉的源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p
BUUCTF [MRCTF2020]套娃
qq_43774856的博客
11-30 232
BUUCTF [MRCTF2020]套娃 打开链接,查看源码,如图所示 关于$_SERVER[‘QUERY_STRING’]取值, 例如: http://localhost/aaa/?p=222 $_SERVER[‘QUERY_STRING’] = “p=222”; substr_count()函数计算子串在字符串中出现的次数 PS:子串区分大小写 上述代码不能出现’_’和’%5f’,可以用‘ ’或‘.’或‘ %5F’绕过 通过get取得的参数b_u_p_t不等于23333但是正则,匹配需要匹配到2333
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 759
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
MRCTF web部分复现wp
xlcvv的博客
04-05 709
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
[MRCTF2020]套娃 1
shinygod的博客
04-01 789
知识点:Client-ip,data://, $_SERVER总结 <!-- //1st $query = $_SERVER['QUERY_STRING'];//获取参数 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ //参数中不能有_和%5f die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
审计练习16——[MRCTF2020]套娃
qq_43756333的博客
06-12 448
平台:buuoj.cn 打开靶机源码处php代码 第一个if如果传入的参数出现_和它的url编码%5f,则打印Y0u are So cutE! 绕过:用.或空格代替_ 第二个if要b_u_r_t的值为23333但添加了正则匹配,用^和$来界定23333的首尾,代表了“行的开头和结尾”,只匹配一行,因此%0a换行绕过 打开secrettw.php 提示本地,xff不行,用client-ip 下面的jsfuck代码直接控制台输出 那么就post一个Merak随便传个值 回显php,代码如下 <?
web服务程序设计探索(1)——俄罗斯套娃模型
蜗牛的专栏
06-17 1150
一、模型图“service/logic/dao/db”是一种非常常见的分层架构,从代码层次上看,同一层次代码可以放在同一个package,或以…Logic, …Dao等类名来区分;在程序实现处理过程中,都严格遵循上层调用下层函数的方式进行,不会出现跨层、反向调用,一直调用到最底层。二、优点在使用过程中,感觉到这种模型的好处就是比较简单,对于每一个请求,都是一层一层代码往下写,如果下层代码可复用,就直
如何在linux脚本里面套娃运行脚本
liu2548253579的博客
08-30 283
linux脚本shell
CTF套娃一样的上传
看世界的小gui的博客
05-09 984
合天网安第六周实验解题思路
ctf练习之套娃一样的上传
SDM_JH的博客
08-08 795
一、进入目标站点,查看网页源码,发现白名单限制。试着上传一张图片。 二、打开burp suite,设置代理。修改上传名绕过白名单,随便把cookie值删了。 三、然后发现上传文件的后缀得是黑名单中的,但又要上传后缀为php的???禁止套娃啊,喂。试着把后缀改为PHP大写的。nice又回来了,不过 四、让我们理清一下思路,首先第一层防御应该是一个暂时只知道有php后缀的白名单,第二层是文件格式也就是content-Type,第三层是一个暂时只知道有php后缀的黑名单。 五、在多次尝试后,发现phtml
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 290
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值