Bugku never_give_up

最新推荐文章于 2024-05-21 21:44:07 发布
最新推荐文章于 2024-05-21 21:44:07 发布
阅读量597 收藏 2
点赞数 4
分类专栏: Bugku 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzu_lfl/article/details/127222689
版权

本题考查了:编码、文件包含、通配符绕过、若比较绕过

 

 打开题目发现只有这一句话,看到url通过GET传入id,尝试修改id的值发现怎么改回显都不变,所以看一下源代码

 

 发现这里貌似有个提示,我们访问一下这个页面

114.67.175.224:19072/1p.html

访问完发现直接跳转到bugku的首页,这里应该是被重定向到bugku了,那就直接看源码

view-source:http://114.67.175.224:19072/1p.html

 看到源码发现其中一行看起来像是url编码和base64编码混合得到的,所以我们尝试先url解码

 url解码完之后看到<!--  -->之间的是base64编码,然后进行base64解码

 base64解码之后还需要一次url解码,得到一段代码

<?php

if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

 这应该就是真正的源代码了,我们来分析一下

if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}

 这里只要有GET传参,!$_GET['id']就会返回false,if的内容就不会执行,成功绕过

$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];

 这里告诉我们需要通过GET传入三个参数id、a、b

if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}

 `stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)`

这里就是查找 '.' 在变量a中第一次出现的位置, 所以变量a中不能含有 '.' 这样stripos()就会返回false就能绕过这个if

$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}

`file_get_contents() 把整个文件读入一个字符串中`

该段代码, 第一行表示已读的方式读取变量a中的文件然后转化成字符串赋值给data, 然后需要满足if中的几个条件就能得到flag

$data=="bugku is a nice plateform!"

 data的内容要为"bugku is a nice plateform!" , 就是a里的文件的内容得是这个, 这里可以使用文件包含中的伪协议, data伪协议和input伪协议都可以绕过, 这里我使用data协议(稍微简单一点)

$id==0 and strlen($b)>5

 这里需要id=0, 但是这样相当于没有传入id, 这里是若比较让id=0a就能绕过, strlen()函数是返回字符串长度, 那么b的长度要大于5

eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4

 `eregi()函数在一个字符串搜索指定的模式的字符串,搜索不区分大小写,如果匹配成功返回true,否则,则返回false`

`substr($b,0,1) 返回从字符串b第一位开始的一个字符`

 这里是要在"111"拼接上变量b的第一个字符要为"1114", 那么这里需要b是一个以4开头的字符串, 但是下一个条件说b第一个字符不能是4, 这样就矛盾了, 这里可以用通配符进行绕过

`"?"作为通配符可以代表一个任意字符`

所以我们让b的第一位为"?"就可以绕过了,那么综上我们的payload为

 ?id=0a&a=data://text/plain,bugku is a nice plateform!&b=?12345

 

Fox_light
关注
专栏目录
Bugku-web之never_give_up
weixin_42939822的博客
03-13 2272
Bugku-web之never_give_up
bugku never_give_up
weixin_63810302的博客
09-29 321
bugku never_give_up
Bugku web21 never give up
weixin_44522540的博客
02-23 322
十七、web21 never give up view-source:http://114.67.246.176:15306/1p.html <script>window.location.href='http://www.bugku.com';</script> <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQSUwOWhlYWRlcignTG9jYXRpb24lM0ElMjBoZWxsby5waHAlM0ZpZCU
bugku--never_give_up
qq_64201116的博客
07-05 2928
超细保姆级别教学,从0到1,做黑客?你也可以
bugku never give up
rommel的博客
08-26 7446
never give up 100 http://120.24.86.145:8006/test/hello.php 作者:御结冰城 进入后我们查看源代码 发现了 于是我们访问view-source:http://120.24.86.145:8006/test/1p.html 发现了一串url编码 解密后得到 window.location.href='htt
Bugku-never_give_up
kaixinXQ的博客
08-08 269
点击链接,查看题目 右键查看源码,发现存在1p.html文件, 查看文件发现被跳转到论坛首页,查看1p.html的源码,发现如下:view-source:http://114.67.246.176:18086/1p.html 将下面的代码,分别进行url和base64解码:得到提示 <?php" if(!$_GET['id']) { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id'];.
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 ...R2D2基地是从通过
bugku ctf never give up
qq_42777804的博客
05-18 879
先打开网站 就这么一句话 never never never give up !!! 查看源码 发现 这个 1p.html 那我们构造 http://123.206.87.240:8006/test/1p.html 进行访问 发现 发现跳转回Bugku的主站 那么接下来用burp 抓包(这个抓包工具一定要会用呀 !!!) "%3Cscri...
BugkuCTF:never give up(web)
s0il的博客
04-04 1004
题目描述: 查看源码之后发现有个1p.html,访问一下,转到这??? view-source方式进行访问,这什么操作???(知识点view-source协议) "%3Cscript%3Ewindow.location.href%3D%27http%3...
BugKu_never_give_up
Kobalos的博客
08-11 727
直接访问目标地址 因为没有什么明显的提示,所以尝试看源码! 可以看到源码中是提示了一个1p.html的,尝试访问这个文件 发现他直接跳转到了bugku的一个论坛,所以判断1p.html是存在跳转设置的,抓包看下 看到这堆字符串的开头是%3C,应该是url编码,尝试解码 解出来看格式,应该是base64,继续解码! 成功得到代码! ";if(!$_GET['id']) { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id'.
Bugku WEB never give up
qq_41696858的博客
07-02 266
1.打开环境,neer never never give up 审计源码,发现1p.html 2.尝试访问1p.html,跳转到bugku首页,抓包分析,发现js代码 3.利用burpsuite解码模块得到源码,应该是PHP代码 ———————————————————————————— <script>window.location.href='http://www.bugku.com';</script> <!--";if(!$_GET['id']) //id为0或空,进入
Bugku_never give up
weixin_43749601的博客
10-21 497
打开题目,只显示一行never never never give up !!! 没有其他任何信息 抓包又重放了一下,然后有一个HTML的注释 接着访问一下1p.html,查看网页源代码,发现了一个URL编码的字符串,解码后得到 <!--JTIyJTNCaWYlMjglMjElMjRfR0VUJTVCJTI3aWQlMjclNUQlMjklMEElN0IlMEElMDloZWFkZXIlMjglMjdMb2NhdGlvbiUzQSUyMGhlbGxvLnBocCUzRmlkJTNEMSUyNyUyO.
bugku---never give up
LuckySec
11-17 634
题目 http://123.206.87.240:8006/test/hello.php 查看源码发现有个1p.html 尝试访问 得到一串url编码 %3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21–JTIyJTNCaWYlMjglMjElMjRfR0VUJ...
Bugku-CTF之never give up
weixin_34262482的博客
04-25 359
Day23 never give up http://123.206.87.240:8006/test/hello.php 本题要点:url编码,base64编码,代码审计,php函数 查看源码~ 访问1p.html http://123.206.87.240:8006/test/1p.html 发现时bugku主页 ...
Bugku---web---never_give_up
weixin_47450099的博客
05-21 1481
内有弱类型比较,通配符*,伪协议等概念
Bugku CTF-web21 never give up
weixin_44023403的博客
05-26 540
Bugku CTF-web21 never give up解题遇到的问题 解题 打开网址,查看源码,发现提示1p.html; 试着打开url+1p.html,发现有跳转,用burp抓包查看源码,得到一串字符; 开头推测是被url编码了,用在线工具( UrlEncode编码/UrlDecode解码 - 站长工具 (chinaz.com))解码; 忽略注释内容,根据下面字符串特征,试着用base64解码; JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQ
[bugku]never_give_up
qq_51979295的博客
09-22 348
never give up!!!!
BugKu - never_give_up
shawdow_bug的博客
09-15 591
玩玩吧
Retryer.NEVER_RETRY怎么用
最新发布
09-24
`Retryer.NEVER_RETRY` 是一个常见的策略常量,在一些需要处理异常并选择是否重试的场景下,它表示永不重试的情况。这个值通常用于 `Retryer` 或者错误处理库中的 `retryPolicy` 配置,当设置为 `NEVER_RETRY`,意味...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值