bugku.welcome to the bugkuctf

最新推荐文章于 2020-08-05 12:36:49 发布
最新推荐文章于 2020-08-05 12:36:49 发布
阅读量302 收藏
点赞数
分类专栏: bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44598397/article/details/101380317
版权

这里记录我花了一整天才理清题目意思的题目,因为接触CTF时间还不长,水平还停留在各个方面都稍有了解,但是涉及的知识稍微深入一些就没有思路了,这道题目涉及了php的代码审计,php的伪协议,php的序列化,php魔术方法。

因为我是小白一个,所以这道题目稍微把一些细节的地方说多一点,万一有些朋友看到其他writeup没看懂,看到我说的一些地方有可能就懂了。。。。
在这里插入图片描述
首先打开题目查看源代码以后:

从上面的代码可以看出以下信息:

通过get方法传递三个值:txt,file,password

读取$user文件的内容,并且文件内容要与‘welcome to the bugkuctf’相同

$file经提示应该为hint.php

因为file_get_contents( u s e r , ′ r ′ ) 这 个 函 数 的 意 思 是 将 user,'r')这个函数的意思是将 user,r)user这个文件的内容写到字符串里去,就是说

最低0.47元/天 解锁文章
林夕林@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF中套路满满的题-------Welcome to the bugku
qq_42133828的博客
01-24 1811
这套题目主要涉及到的知识是php伪协议,若是不了解这个的话,这道题目基本就out了。。。 当然,不了解的小伙伴,可以到这位大佬的博客去瞅瞅https://www.freebuf.com/column/148886.html 其实总结之后,最常所用到的不过是php://input(将文件的内容读出)以及php://filter/read=convert.base64-encode/resourc...
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
welcome to bugkuctf
小白的劝退之路
05-22 338
打开后,查看源码 很显然想让我们利用源码去得到flag。这里我们稍微解释下这个源码的意思。 开始有三个变量:user,file,pass,但是我们发现这里的pass也就是password没有什么用,所以我们重点关注前两个变量。看下面的条件 (1)这里isset的意思是查看变量是否存在,即user不能为空。 (2)file_get_contents是把整个文件读入字符串中,这里也就是把user这个变量(user显然要是一个文件)的内容以字符串的方式读出来并且要和“welcome to the bugkuctf
bugku-web-welcome to bugkuctf
a3uRa的一个窝
08-14 566
查看源代码 you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome t...
Bugkuctf web题---------welcome to bugkuctf
Amire0x的小乐园
05-04 705
今天做到了一道比较有收获的题,所以呢就打算记下来,涉及到了文件包含的知识,复习复习,对于目前滴俺来说,确实有难度! 题目链接 首先打开题目,如图 查看源码 好的!注释成功引起了我们的注意,第一个线索找到了! 好吧,让我们来分析一下源码 开始来了仨变量,user,file,pass。(跟踪变量有肉吃!) 部分陌生的函数理解: isset——判断变量是否声明,即user补位空 file_get_c...
bugku-welcome to bugkuctf(PHP伪协议&PHP反序列化综合运用)
烟敛寒林的博客
04-26 1256
1.通过php://input对变量输入内容,让file_get_contents能够读取变量的内容 2.通过php://filter/read=convert.base64-encode/resource=xxx.php得到其他PHP文件的源代码 3.通过反序列化,对echo的魔术方法__tostring()里面的参数进行赋值 题目地址:http://123.206.87.240...
Welcome to beifang ethnic university.
06-11
北方民族大学欢迎你。这所位于银川的学府成立于1984年,虽相对较年轻,但在教学方面已积累了丰富的经验。学校以其强大的艺术项目为特色,其他学科也正向着更好的未来发展。占地约30公顷的校园,拥有42个教学科目,...
pcb.rar_The Last_android_biggest486_welcome22p
09-24
【标题】"pcb.rar_The Last_android_biggest486_welcome22p" 提供的信息暗示这可能是一个关于PCB设计、Android系统或者与编号“486”相关的技术问题,而“welcome22p”可能指的是某种版本或者特定的欢迎界面。...
bugku题的web类解析
01-29
这个是我自习写的bugku的web的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
welcome to bugkuctf(详解)——Bugku
weixin_33728268的博客
07-17 911
刚刚做了bugku的题目现在整理一下 写出解题思路希望能够帮助到那些需要帮助的人 所有的wp都是以一题一篇的形式写出 主要是为了能够让读者更好的阅读以及查找 希望你们不要责怪共勉 Challenge 388 Solves welcome to bugkuctf 100 http://120.24.86.145:8006/test1/作者...
Bugku——welcome to bugkuctf
weixin_30609287的博客
10-25 186
题目链接:http://123.206.87.240:8006/test1/ 打开题目看到:you are not the number of bugku ! 先看看源码: 分析一下:通过get传参得到txt,file,password三个变量的值。如果读取出user的内容为 welcome to the bugkuctf 则输出 hello admin (然而好像并没有什么...
bugku---welcome to bugkuctf
LuckySec
11-22 241
题目 http://123.206.87.240:8006/test1/ 查看源码 代码大概讲的是 需要get传递三个值:txt,file,password 并且 $user的文件内容为welcome to the bugkuctf $file为hint.php password暂时还没用到 file_get_contents(user,′r′)函数作用是将user,'r&am...
CTF-Bugku-welcome to bugkuctf
fzykn06的博客
03-23 563
题目:http://123.206.87.240:8006/test1/ 初识这种题,被坑了挺久,有点难受啊。 打开这个网址得到这样一句话,习惯性的查看源码: 然后发现get方式传递了三个参数:txt、file和password,然后要继续解,就要$user存在,读取的 $user文件内容===welcome to the bugkuctf $flie要求为hint.php,这边就要用到一个p...
Bugku ---- web--- welcome to bugkuctf
L1ni01
08-05 178
https://blog.csdn.net/qq_43271194/article/details/89809969?utm_medium=distribute.pc_relevant.none-task-blog-baidulandingword-8&spm=1001.2101.3001.4242
BUGKU - welcome to bugkuctf
酉酉的博客
02-28 346
前言 这道题挺有意思,记录一下 它涉及了php://input,php://filiter,_tostring魔法方法,php序列化 welcome to bugkuctf http://123.206.87.240:8006/test1/ 查看源代码发现提示 $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["passw...
CTF之Bugku welcome to bugkuctf
weixin_41607190的博客
08-06 412
这道题又拖了好几天- -,各位不要学我。。。 日常抓包 抓到后在proxy中,点击右键发送到这里。 点击Go 分析一波,user、file、pass都是GET方式获取 然后读取的user的内容要和“welcome to bugkuctf”相同 include()是动态获取文件名,也就是这个文件名是hint.php 接着我们要让user的值和我们预想的一样,那就要我们手动传值了 这里用到的是php...
Bugku 杂项 隐写2 Welcome_.jpg
qq_39368007的博客
06-07 866
题目: 直接Foremost提取看看 发现有个zip文件,解压后得到一个rar文件和提示 方法:直接rar爆破吧反正才3个数 得到密码871,解压出来这样一张图 扔到Winhex看看,发现了flag f1@g{eTB1IEFyZSBhIGhAY2tlciE=} 但是一提交又不对,猜测是因为需要Base64解码里面的内容 Flag: f1@g{y0u A...
BugkuCTF welcome to bugkuctf
3tu6b0rn的博客
04-22 357
查看源代码 $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")) // $user必须存在 $user为文件且读出来...
welcome to use wechat.core api
最新发布
07-31
欢迎使用微信核心API!微信核心API是一个强大的工具,提供了许多功能,可以帮助您更好地管理和扩展您的微信公众号或小程序。 使用微信核心API,您可以实现以下功能: 1. 身份验证和授权:您可以使用微信核心API来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值