bugku web21 never never never give up

最新推荐文章于 2024-05-21 21:44:07 发布
最新推荐文章于 2024-05-21 21:44:07 发布
阅读量247 收藏
点赞数
分类专栏: ctf 文章标签: ctf web php代码审计 伪协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42263820/article/details/114030243
版权

Bugku CTF web菜鸡刷题

web21

http://114.67.246.176:19678/hello.php?id=1

id=1 尝试注入,无果
F12提示1p.html
输入试试
???直接跳到bugku主界面
用burpsuite看看

Host: www.bugku.com
Referer: http://114.67.246.176:19678/1p.html

感觉是重定向
再提交一次
结果在F12-网络-响应载荷发现了异样

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--


var Words ="%3Cscript%3Ewindow.location.href%3D'http%3A%2F%2Fwww.bugku.com'%3B%3C%2Fscript%3E%20%0A%3C!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQSUwOWhlYWRlcignTG9jYXRpb24lM0ElMjBoZWxsby5waHAlM0ZpZCUzRDEnKSUzQiUwQSUwOWV4aXQoKSUzQiUwQSU3RCUwQSUyNGlkJTNEJTI0X0dFVCU1QidpZCclNUQlM0IlMEElMjRhJTNEJTI0X0dFVCU1QidhJyU1RCUzQiUwQSUyNGIlM0QlMjRfR0VUJTVCJ2InJTVEJTNCJTBBaWYoc3RyaXBvcyglMjRhJTJDJy4nKSklMEElN0IlMEElMDllY2hvJTIwJ25vJTIwbm8lMjBubyUyMG5vJTIwbm8lMjBubyUyMG5vJyUzQiUwQSUwOXJldHVybiUyMCUzQiUwQSU3RCUwQSUyNGRhdGElMjAlM0QlMjAlNDBmaWxlX2dldF9jb250ZW50cyglMjRhJTJDJ3InKSUzQiUwQWlmKCUyNGRhdGElM0QlM0QlMjJidWdrdSUyMGlzJTIwYSUyMG5pY2UlMjBwbGF0ZWZvcm0hJTIyJTIwYW5kJTIwJTI0aWQlM0QlM0QwJTIwYW5kJTIwc3RybGVuKCUyNGIpJTNFNSUyMGFuZCUyMGVyZWdpKCUyMjExMSUyMi5zdWJzdHIoJTI0YiUyQzAlMkMxKSUyQyUyMjExMTQlMjIpJTIwYW5kJTIwc3Vic3RyKCUyNGIlMkMwJTJDMSkhJTNENCklMEElN0IlMEElMDklMjRmbGFnJTIwJTNEJTIwJTIyZmxhZyU3QioqKioqKioqKioqJTdEJTIyJTBBJTdEJTBBZWxzZSUwQSU3QiUwQSUwOXByaW50JTIwJTIybmV2ZXIlMjBuZXZlciUyMG5ldmVyJTIwZ2l2ZSUyMHVwJTIwISEhJTIyJTNCJTBBJTdEJTBBJTBBJTBBJTNGJTNF--%3E" 
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
} 
OutWord();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

URL解码一次

<script>window.location.href='http://www.bugku.com';</script> 
<!--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-->

base64解密一次

";if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

代码审计ing
1.判断是否GET了id参,没有就执行exit
2.a参数不能出现.(stripos函数查找出现位置)
3.把a参写到data参中
4.id弱等于0
5.eregi函数:一个参数里寻找另一个参数,没有返回false
6.substr($b,0,1) 玩过sql注入应该都知道,不多讲

substr($b,0,1)!=4
这个估计就是限制你b不能取4,得另谋他路
id不能为0否则跳入exit
但是id弱等于0
php中’‘0==php’'这个是成立的,所以写字母就行

目前看来
a=bugku is a nice plateform!
id=q
b未知

到这里没思路了,看了下大佬博客
发现
Strlen检测长度时遇到%00不会被截断,而eregi会被截断
那就截断漏洞呗?
则b=%00123456
发现不对
再看解析,发现file_get_contents也有问题

源码中变量 $data 是由 file_get_contents() 函数读取变量 $a 的值而得,所以 $a 的值必须为数据流。

所以取值的话传不到data变量,从而导致判断不成立。
所以大佬给出的方法是用伪协议php://input

最终答案
id=test&a=php://input&b=%0012345
post传个bugku is a nice plateform!即可

彼岸花苏陌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugKu Web21 never never never give up
m0_49762339的博客
12-26 170
never never never give up ①打开F12:发现1p.html 发现访问后一片空白。 ②通过BP抓包该页面发现一大串编码,经过一次base64和一次url解码后得到如下php代码 <?PHP if(!$_GET['id'])//GET方法获得id的值 { header('Location: hello.php?id=1'); exit(); } $id=$_GET['id']; $a=$_GET['a']; $b=$_GET['b']; if(stripos($a,'.')
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 ...R2D2基地是从通过
Bugku---web---never_give_up
最新发布
weixin_47450099的博客
05-21 1378
内有弱类型比较,通配符*,伪协议等概念
BUGKU-WEB never_give_up
天泽岁月
03-13 1186
BUGKU-WEB never_give_up,eregi函数漏洞,%00截断
bugku--never_give_up
qq_64201116的博客
07-05 2808
超细保姆级别教学,从0到1,做黑客?你也可以
Bugku web21 never give up
weixin_44522540的博客
02-23 293
十七、web21 never give up view-source:http://114.67.246.176:15306/1p.html <script>window.location.href='http://www.bugku.com';</script> <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQSUwOWhlYWRlcignTG9jYXRpb24lM0ElMjBoZWxsby5waHAlM0ZpZCU
Bugku WEB never give up
qq_41696858的博客
07-02 227
1.打开环境,neer never never give up 审计源码,发现1p.html 2.尝试访问1p.html,跳转到bugku首页,抓包分析,发现js代码 3.利用burpsuite解码模块得到源码,应该是PHP代码 ———————————————————————————— <script>window.location.href='http://www.bugku.com';</script> <!--";if(!$_GET['id']) //id为0或空,进入
Bugku web——never give up
qq_40481505的博客
09-16 271
打开题目链接,发现什么也没有,抓个包 提示查看1p.html,查看后发现发现页面跳转,变成了https://www.bugku.com/ 抓包看源码 <HTML> <HEAD> <SCRIPT LANGUAGE="Javascript"> <!-- var Words ="%3Cscript%3Ewindow.location.href%3D%27h...
Bugku-web-never give up
Pz1o的博客
06-24 199
never give up 看源码之后发现有一个 1p.html 访问一下,总是会跳转,于是抓包 将里面的字符串先url解码一下 <script>window.location.href='http://www.bugku.com';</script> <!--JTIyJTNCaWYlMjglMjElMjRfR0VUJTVCJTI3aWQlMjclNUQlMjklMEElN0IlMEElMDloZWFkZXIlMjglMjdMb2NhdGlvbiUzQSUyMGhlbGx
bugku never give up
qq_39448455的博客
09-29 268
BUGKU never give up
BUGKUweb-never give up
dfhjlll的博客
12-23 154
进入网站,右键源码,发现1p.html 首先要知道源码页面的网址的前边的一部分时view-source. 直接在URL输入view-source://123.206.87.240:8006/test/1p.html,进入源码,一看就发现一大堆代码,解码去吧, 先base64解,在url解,发现f412a3g.txt,访问即可 ...
rick_never_gonna_GIVE_UP_zip_
09-30
标题 "rick_never_give_up_zip_" 暗示了我们正在处理一个与"Rick Astley"的知名歌曲《Never Gonna Give You Up》相关的压缩文件。这首歌在互联网上广泛用于“Rickrolling”恶作剧,即通过链接将用户引导至该音乐视频...
never-give-up:不要减肥的github
05-15
标题“never-give-up:不要减肥的github”看似与减肥有关,实际上更可能是一个寓意深远的项目名称,暗示着开发者在编程领域的坚持与毅力。项目名称中的"never-give-up"表达了开发者对技术的热情和不屈不挠的精神,这...
【模板1】Never Give up 快闪PPT模板.pptx
09-25
【模板1】"Never Give up" 快闪PPT模板是一种设计独特的演示文稿,适合初入社会的毕业生、学生会成员以及任何需要快速、引人注目地展示信息的场合。这种模板以其动态和激励人心的主题“Never Give up”为特点,鼓励...
Never-Give-Up-Learning-Directed-Exploration-Strategies:塞克斯
03-16
本文将深入探讨一种名为“永不放弃学习指导的探索策略”(Never-Give-Up-Learning-Directed-Exploration-Strategies,简称NGU),这是一种旨在在复杂环境中实现高效学习和决策的策略。 NGU策略的核心理念是不断学习...
攻防世界题目:weak-auth
热门推荐
彼岸花苏陌的博客
04-10 1万+
题目:小宁写了一个登陆验证页面,随手就设了一个密码。 进入题目,不要急着点场景,注意到题目标题是weak_auth,扔进翻译中 意思是弱密码咯 进入场景,习惯看下f12,没看到啥 不知道账号密码,先随便输入,看会出现什么 发现跳转了,再按下f12,发现这个 需要字典?再加上前面提到的弱密码,应该是要破解密码了 打开burpsuite,根据网上的汉语翻译发现可以用lntruder(破解模块) ...
攻防世界题目:simple_php 详细思路
彼岸花苏陌的博客
04-11 8697
题目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 点开,发现如下代码 没学过php怎么办… 不着急,一行一行分析<?php ?>百度得知是构成完整php语句,跳过 下一行:show_source(FILE);通过百度得知是个函数 就是让图中的代码五颜六色嘛(瞎猜的,意思差不多),按f12也体现出来了 下一行:include(“confi...
Bugku CTF 每日一题 想蹭网先解开密码
彼岸花苏陌的博客
02-03 3960
想蹭网先解开密码 学到了新知识和新工具 下载下来是个cap文件 用wireshark打开 由题目得知是wifi的文件,上网学习了一下 wifi的四次握手协议 用eapol搜索wireshark中的文件 确实存在四个包 题目中又有提示要我们猜后面四位 所以了解wifi破解方法后 可以用cap文件加密码文件组合的方式暴力破解 于是有两种方式,一种是kali下的aircrack,第二种是windows下的EWSA 1.aircrack 首先得构建出11位的手机号码密码 因为只用猜后面四位,所以可以用python
Private field 'sqlSessionFactory' is never used
04-01
As an AI language model, I cannot see your code, but I can give you some general advice on how to handle this warning. The warning "Private field 'sqlSessionFactory' is never used" means that you ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值