练[MRCTF2020]套娃

最新推荐文章于 2024-05-20 17:20:00 发布
最新推荐文章于 2024-05-20 17:20:00 发布
阅读量410 收藏 1
点赞数 1
分类专栏: buuctf刷题 文章标签: web安全 php 网络安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/133647529
版权

[MRCTF2020]套娃

文章目录


在这里插入图片描述

掌握知识

​ 参数的_符号的替换,正则和强等于联合绕过,jsfuck编码,bp请求方式的转变,本地ip的请求头,代码审计,简单的字符串解密和加密函数之间的逆推构造,file_get_contents函数的绕过

解题思路

  1. 打开题目链接,发现界面没什么内容,查看源码发现了一串代码,代码还算简单,获取参数不能有_,下面传参的内容不能等于23333,但还要以23333开头和结尾,经典矛盾

image-20231007164434488

代码分析1
  1. 对于第一个判断,因为参数是b_u_p_t,肯定是有_的,但是php解析中,可以把.和空格都当做_解析,所以构建参数为b.u.p.t。第二个矛盾的判断,很明显肯定是23333结尾加一点特殊字符满足前后两个条件。这里可以使用换行符%0a,正则匹配不会把该符号当作内容进行匹配,所以并不会影响23333开头结尾的匹配,而接受参数的变量会把整体内容都保存,所以就不会和23333相等了,即可通过判断

image-20231007165139458

  1. 通过判断后提示flag在一个文件中,访问之后提示需要被登录,查看了一下源码发现了一串被注释的jsfuck编码,将其在线网站解密后得到需要进行post传参Merak

image-20231007165132244

image-20231007165401288

image-20231007165355727

  1. 抓包之后,右键切换请求方式,进行post传参,查看相应界面发现了一串代码,根据代码内容很明显这是套娃的最后一步了

image-20231007165525710

include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
代码分析2
  1. 对代码进行分析,post传参merak就会显示源代码,但是代码也就终止了。第一个判断是要求ip地址为127.0.0.1,这个使用XFF头就能通过,但是这里对XFF进行了过滤,使用其他的请求头功能也一样,client-ip:127.0.0.1。第二个判断是需要绕过file_get_contents函数,只需要使用data协议或者phpinput协议将后面的内容输出传递即可绕过
if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 
if($ip!='127.0.0.1')
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' )
  1. 通过判断就能进行文件读取了,但是还要经过change函数,该函数先对字符串进行base64解密,再对每一位字符进行特殊运算。这种也很好解决,只需要写个代码将解密代码顺序进行颠倒,即可还原加密后的字符串,通过该解密函数后就能得到正常的文件名了
# 解密
function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}

# 加密
str1="flag.php"
str2=''
for i in range(len(str1)):
    str2+=chr(ord(str1[i])-i*2)
print(str2)
# fj]a&f\b
  1. 将逆推得到的文件名进行base64编码,即可完成加密文件名过程,接下来就是进行GET传参了,将2333file赋予分析得到的paylaod,传参之后即可拿下flag

image-20231007170531947

image-20231007170554036

关键paylaod

b.u.p.t=23333%0a

Merak=   # post传参

client-ip:127.0.0.1

str1="flag.php"
str2=''
for i in range(len(str1)):
    str2+=chr(ord(str1[i])-i*2)
print(str2)
# fj]a&f\b

/secrettw.php?2333=data://text/plain,todat%20is%20a%20happy%20day&file=ZmpdYSZmXGI=
生而逢时
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
俄罗斯套程序及设计
06-09
2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套总重(score_now)。 3.走过的没有套的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score...
[MRCTF2020]套
Sk1y的博客
07-20 2075
[MRCTF2020]套 考查知识点:本题三重套,考查的知识包括绕过过滤,空格代替_,传值方式,写代码的能力等等。 文章目录[MRCTF2020]套第一层套第二层套第三层套参考链接 第一层套 在f12中可以发现这个线索 <?php $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){//即不能存在_,这里用%5f url
[MRCTF2020]套 1
shinygod的博客
04-01 753
知识点:Client-ip,data://, $_SERVER总结 <!-- //1st $query = $_SERVER['QUERY_STRING'];//获取参数 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ //参数中不能有_和%5f die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
BUUCTF web [MRCTF2020]套 1 wp
Whaocai的博客
08-06 416
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUUCTF [MRCTF2020]套
4pri1
07-22 304
BUUCTF [MRCTF2020]套 != 与!== 和== ===对应 1,http://localhost/aaa/ (打开aaa中的index.php) 结果: $_SERVER['QUERY_STRING'] = ""; $_SERVER['REQUEST_URI']= "/aaa/"; $_SERVER['SCRIPT_NAME']= "/aaa/index.php"; $_SERVER['PHP_SELF']= "/aaa/in...
buuctf [MRCTF2020]套
m0_65766842的博客
04-08 208
第二个if要求get传的参不能等于2333且传的参结尾开头中间都是2333,在23333结尾加个换行符url编码为%0a 即可绕过。第一个if过滤了_和url编码的%5f 解码后也是_ ,PHP会将传参中的空格( )、小数点(.)自动替换成下划线。通过查询资料和对比,知道了这是一个jQuery事件,并且使用change()的办法来做题。简而言之就是变量改变会有提醒,因为我们绕过不能有提醒所以上传的v和file相同。通过查询资料,我们可以知道被注释的是一串jsfuck的的编码。我们进行传参之后得到以下代码。
俄罗斯套奖品Java程序
08-12
网上有套的VC程序,c程序,这是我改写的Java版本。
俄罗斯套奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
俄罗斯套
04-17
俄罗斯套动作数据
俄罗斯套问题 回溯法
08-01
俄罗斯套问题 采用递归、回溯法解决俄罗斯套问题
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 581
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
最新发布
qq_18209847的博客
05-20 137
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 359
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
m0_67844671的博客
05-17 680
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
【网络安全】【Frida实战案例】某图xx付费功能逆向分析(一)
IT痴者
05-13 336
本次主要是日志分析,查看日志对应执行流程。查看关键信息。
DDoS攻击揭秘与网站防护策略
网络安全服务提供商
05-14 757
DDoS攻击(分布式拒绝服务攻击)是一种利用大量被控制的计算机或智能设备(如僵尸网络)对目标网站或服务器发起大量无效请求或数据流量,从而导致目标系统资源耗尽、服务崩溃或无法处理正常请求的攻击方式。这种攻击通常是由一个或多个攻击者发起,他们通过控制大量被感染的计算机或设备,向目标系统发送大量看似正常的请求或数据,但实际上是为了消耗目标系统的资源,使其无法为正常用户提供服务。同时,还需要注意定期更新和修补系统漏洞、限制对敏感数据的访问以及加强员工安全意识培训等方面的工作。
CTF网络安全大赛简单的web题目:baby lfi
Pythonit教程网
05-17 484
这个HTML页面是一个简单的网页,标题为“Say Hello to our Gentlemen | LFI Warmups”,并包含了一些基本的Bootstrap样式和自定义的。题目 描  述: What about making things a bit harder?这个页面似乎是一个挑战或学习任务的起点,专注于一个名为“LFI Warmups”的主题。红客网:blog.hongkewang.cn。题目来源于:bugku。
网络安全行业的革命:AI大模型提示词的实战指
junge_sys的博客
05-17 516
网络安全与国家安全紧密相连,涵盖了政府治理、民生福祉、金融稳定和工业发展的核心领域。自《网络安全法》实施以来,网络安全已成为维护国家安全、推动经济社会发展的关键战略。面对2023年市场的挑战,网络安全行业仍蓬勃发展。在这个竞争激烈的环境中,AI技术成为提升工作效率的利器。Kimi、文心一言、通义千问、ChatGPT等大模型AI工具,如同战场上的AK47,但如何精准运用是关键。因此,网络安全从业者需掌握AI技术,并精选提示词,以高效应对咨询、查询、决策支持等多样化需求,为构建网络强国贡献力量。
网络安全中等保,风险评估,安全测评都是什么意思,有哪些联系
dexun123的博客
05-17 635
它的实施体现了国家在网络安全领域的坚定意志和决心。它摒弃了传统技术驱动的安全体系设计思路,转而以成本-效益平衡的原则为指导,全面审视用户关心的关键资产(如信息、硬件、软件、文档、服务、设备等)的分级,深入剖析安全威胁的可能性及严重性,并对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理及运行措施等多个方面的安全脆弱性进行分析。具体来说,风险评估侧重于从广泛的、战略性的角度,对被评估用户的各类重要资产进行风险级别的判断,为系统明确安全需求,并确定符合成本-效益原则的安全控制措施;
俄罗斯套c语言程序
02-15
俄罗斯套是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套程序,你可以使用结构体和指针来表示套的层次结构。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值