Bugku web——备份是个好习惯

最新推荐文章于 2022-01-30 13:37:29 发布
最新推荐文章于 2022-01-30 13:37:29 发布
阅读量197 收藏
点赞数 1
分类专栏: ctf总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40481505/article/details/100148179
版权

打开题目链接,没有发现什么线索,想到题目名称“备份”,考虑到一般备份的后缀为.bak,于是访问

http://123.206.87.240:8002/web16/index.php.pak

访问后获得网页源码:

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";
}
?>

接下来是阅读php代码,我们需要了解几个其中的函数来让我们更好的理解题目

strstr(string,search,before_search):
查找 "search" 在 "string" 中的第一次出现,并返回字符串的剩余部分:
before_search为可选,默认值为 "false" 的布尔值,如果设置为 "true",它将返回 search 参数第一次出现之前的字符串部分

subst
最低0.47元/天 解锁文章
彬彬逊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf解题-WEB
05-04
在CTF(Capture The Flag)比赛中,Web安全领域是一个重要的环节,它涵盖了各种网络安全技能,如漏洞挖掘、代码审计、Web应用渗透测试等。本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
bugku-web-备份是个好习惯
a3uRa的一个窝
08-25 305
源码泄露 index.php.bak 可以下载到源码 &lt;?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_once "flag.php"; ini_set("display_errors", 0); $str = strstr($_SERVER[...
Bugku web16 备份是个好习惯
weixin_46079186的博客
12-26 687
Bugku web16 备份是个好习惯 打开网页是怎么个玩意,看格式好像是md5先不管。 因为题目是讲的备份文件,那就用路径扫描工具扫一下 扫描出了一个index.php.bak 应该是这个没错了 果然是,下载下来后是一个index.php文件,代码如下 // 代码是我加上去的 <?php include_once "flag.php"; // include 文件包含 加_once 的意思是不区分大小写 ini_set("display_e
BugkuWeb备份是个好习惯
Pai_Space
01-30 468
打开的网页有一串字符,仔细看是两个相同字符串,没有什么用 d41d8cd98f00b204e9800998ecf8427e d41d8cd98f00b204e9800998ecf8427e 根据提示扫出备份网页文件 下载打开 parse_str 存储变量到一个数组中 <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_onc...
bugku web 备份是个好习惯
cuddlylm的博客
06-23 139
打开题目是这个样子的 查看源码后也没有获得线索 题目的名字是 备份是个好习惯 考虑从备份下手 dirsearch一下 可以看到确实是有备份文件的 愣着干啥,打开看啊 接下来就是代码审计 <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_once "flag.php"; //引入flag.php文件代码 ini
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
Bugku web:听说备份是个好习惯
wssmiss的博客
03-14 227
题目 连接:http://123.206.87.240:8002/web16/ 提示:备份 打开之后只有一段字符串 查看源代码后也没有其他发现 观察字符串应是加密过的,而且前后两段密文相同。 用MD5解密后是空密码,也就是NULL 抓包试了一下没有额外信息 上御剑扫扫看看,发现index.php.bak 打开下载文件 源码如下 分析代码,得到flag的条件是key1和key2的值不相同但是md...
Bugku WEB 备份是个好习惯
qq_41696858的博客
06-29 123
1.点进网页,发现是两个相同的MD5值,解密出来时两个空字符串 2.题目提示已经讲的很明确了,备份,找bak文件,第一个想到的就是index.php.bak,果然是,不行的话就直接用脚本扫吧 脚本下载链接:https://github.com/WangYihang/SourceLeakHacker.git 3.查看源码 发现是把uri中包含?往后的全截出来,然后再把?也去了,把后面的参数部分中所有key换成空格 最后解析各个参数值 输出key1和key2的值,由于默认不带参数,所以key1 key2都是nu
bugku CTF Web 备份是个好习惯
qq_43393023的博客
04-09 418
其实刚开始看到这个真的是一脸懵逼 因为自己是没啥基础来来学习Web安全的 就记录一下自己是怎么解决的吧 从这行东西可以看出来 这是采用md5解密的思路去做 然后就看提示嘛 备份是个好习惯 那么就用御剑扫描一下后台 或者如果你知道备份文件是.bak后缀 你也可以直接在后面添加index.php.bak 来访问 那么用sublim打开文件之后 就得到了一下源码 <?php /** * Cr...
Bugku-web-备份是个好习惯
Pz1o的博客
06-20 222
备份是个好习惯 点进去首先是下载备份文件 http://123.206.87.240:8002/web16/index.php.bak 点开后源码 <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ include_once "flag.php"; //包含文件 ini_set("display_errors", 0);//报错不显示 $str = strstr($_SERVE
BugkuCTF-web-备份是个好习惯 writeup
会下雪的晴天
07-11 844
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 个人收获:常用备份文件后缀:*.swp,*.bak md5函数漏洞 php弱判断 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 题目描述 题目传送门:http://123.206.87.240:...
bugkuCTF Writeup (Web)15-21
Troublor的博客
01-25 4776
Web4 看源代码,一大堆东西解码,发现eval执行的是: function checkSubmit() { var a = document.getElementById("password"); if ("undefined" != typeof a) { if ("67d709b2b54aa2aa648cf6e87a7114f1" == a.val
BUGKU_WEB_备份是个好习惯
308宿舍的鶸
08-12 1403
打开后发现是一串字符串,我:?????? 按照题目意思("备份"是个好习惯),大概是让我们找到一个.bak文件 使用了一款源码泄露工具,结果如下 发现了一个.bak文件,访问一下得到以下代码 分析一下代码,首先第11行的strstr()函数,返回url中'?'加上’?‘之后的字符串,之后第12行的substr()函数,返回从$str[1]开始的字符串,即去掉'?',再是第13行st...
BugkuCTF】Web--备份是个好习惯
VZZmieshenquan的博客
02-08 2809
Description: http://123.206.87.240:8002/web16/ 听说备份是个好习惯 Solution: 打开网页获得一段密文 d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e 不过现在没啥用,仔细看可以看出来是两个相同的MD5密文 d41d8cd98f00b204e9800998e...
BugkuCTF –备份是个好习惯
热门推荐
超人学飞的日子
06-05 2万+
在做到Bugku的一道题目时,感觉知识点有些多,这里总结一下。题目连接http://120.24.86.145:8002/web16/打开界面只有这一串字符串尝试各种解密解码格式都没有效果,可以观察到整个字符串是d41d8cd98f00b204e9800998ecf8427e的两段重复,其实是MD5加密,最后再揭晓。那现在怎么办呢,按照题目  备份是个好习惯,是让我们寻找  .bak文件的,也就是...
9-杂项题目练习(六)
最新发布
10-05
本次杂项题目练习(六)包含一系列针对IT安全和编程技能的挑战,涉及网络安全、漏洞利用、密码学、数据恢复以及图像处理等多个方面。以下是各题目的详细知识点解析: 1. **远控木马**:在应急响应场景中,分析远控...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值