[MRCTF2020]套娃 字符串解析特性bypass及ascii移位

最新推荐文章于 2022-09-10 17:18:02 发布
最新推荐文章于 2022-09-10 17:18:02 发布
阅读量541 收藏 2
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/123669529
版权 

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

了解一下$_SERVER['QUERY_STRING']详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别 - 忘忧般若汤 - 博客园

sbustr_count函数返回_在$query中的次数,%5f是_的url编码,第一个if语句意思就是:如果$query中有_则会die

第二个if语句,用get方法传b_u_p_t参数的值不能等于23333,对该值正则表达式/^2333$/意思是首尾都是2333,要同时成立

明显这里要用到字符串解析的特性了利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

_可以用空格来代替,绕过正则的话就要用到%0a了,因为在字符串中换行符默认为结尾,因此构造b%20u%20p%20t=23333%0a

继续进入

注释了一大串不懂得字符,经过查明是用来装逼的js字符,直接控制台运行即可 

叫我们用post方法传Merak进去 

error_reporting(0);  
include 'takeip.php'; 
ini_set('open_basedir','.');  
include 'flag.php'; 

if(isset($_POST['Merak'])){  
    highlight_file(__FILE__);  
    die();  
}  


function change($v){  
    $v = base64_decode($v);  
    $re = '';  
    for($i=0;$i<strlen($v);$i++){  
        $re .= chr ( ord ($v[$i]) + $i*2 );  
    }  
    return $re;  
} 
echo 'Local access only!'."<br/>"; 
$ip = getIp(); 
if($ip!='127.0.0.1') 
echo "Sorry,you don't have permission!  Your ip is :".$ip; 
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){ 
echo "Your REQUEST is:".change($_GET['file']); 
echo file_get_contents(change($_GET['file'])); }

发现了一个flag.php文件,以及最后面有个file_get_contents(change($_GET['file'])); } ,肯定是绕过中间的阻碍,将flag.php传入进去

先不看函数,直接看下面,一个if语句叫我们用本地登录,用Client-ip=127.0.0.1即可绕过(但我不清楚为什么X-Forwarded-For为什么不行,问了一下别人是说要看服务器的判断机制)

当你本地登陆成功的同时file_get_contents($_GET['2333']) === 'todat is a happy day',明显利用伪协议data即可2333=data://text/plain,todat is a happy day

现在就要看change函数了,因为file参数是传到change函数里面去的

function change($v){  
    $v = base64_decode($v);  
    $re = '';  
    for($i=0;$i<strlen($v);$i++){  
        $re .= chr ( ord ($v[$i]) + $i*2 );  
    }  
    return $re;  
}

将传来的参数进行base64解码,先将字符ord转化为ascii并进行加$i*2,再用chr转化为字符返回,

我想不到如何一次性将这个函数反过来写,我只能自己手工代码了

通过自己修改$i的值和下面的字符来将flag.php移位前的字符给换算出来 

换算出来结果fj]a&f\b,经过base64编码后ZmpdYSZmXGI=

 这样我们进行传参即可

 很有意思的一个自己反写代码,以及了解到装逼的js代码

-栀蓝-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Bypass学习基础
KHOST的博客
10-01 2310
一、网站防护分类 1.源码防护: 使用过滤函数对恶意攻击进行过滤,绕过思路: ①大小写替换 ②变换提交方式:如get请求变post/cookie请求绕过 ③编码绕过:url编码、基于语句重叠、注释符等 2.软件WAF: 通过访问速度、指纹识别等特征进行拦截;常见软件WAF如安全狗、D盾、云锁、云盾等,软件WAF侧重拦截web漏洞。通过访问阈值的大小判断为CC攻击,进行IP封锁; 3.硬件WAF: 主要防御流量和部分web攻击。常见硬件WAF如天融信、深信服等厂商的防火墙。硬件WAF基于T..
CTF中的Bypass命令执行
D.MIND 的博客
08-03 2478
linux命令敏感字符绕过 反斜杠: ca\t 1.txt 连接符——单引号: ca''t 1.txt 变量拼接字符: a=ca;b=t;$a$b 1.txt base64编码绕过: `echo 'Y2F0Cg==' | base64 -d` 1.txt 命令提示符$: ca$@t 1.txt //$@ 是传给脚本的所有参数的列表 ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数 ...
我的WafBypass之道(SQL注入篇)
weixin_34197488的博客
03-19 420
原帖地址:https://xianzhi.aliyun.com/forum/read/349.html 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的。 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵。 但是积累姿势的过程也是迭代的,那么就有了此文,用来总 结一些学习和培养突破waf的思想。 可能总结的...
实战 | Bypass云锁MySQL注入总结
yggcwhat
12-26 1857
MySQL特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin 位置① 可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0 可以利用注释符号替换空格:/**/、%23test%0d%0a、 —+a%0d%0a 可以利用数学运算以及数据类型:news_id=1.0,news
9-1freebuf学习
weixin_44897902的博客
09-01 635
摘要: sql注入的绕过技巧,关于/!/解除注释和/!50000/混淆绕过,用于360webscan的伪造白名单特殊目录,复参数绕过,过滤select空格可用select’name’绕过,from{x 表名}语法(过滤from空格),文件上传的后缀名绕过:filename="shell’;.php" 新的一个月,从freebuf开始呢 来自freebuf上的一篇与waf斗智斗勇的每一天 https://www.freebuf.com/articles/web/247655.html 首先从sqlma
俄罗斯套娃程序及设计
06-09
2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score...
俄罗斯套娃
04-17
俄罗斯套娃动作数据
俄罗斯套娃奖品Java程序
08-12
网上有套娃的VC程序,c程序,这是我改写的Java版本。
俄罗斯套娃奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
别致的俄罗斯套娃广场.ppt
03-13
别致的俄罗斯套娃广场.ppt
CTF古典密码:移位密码
博客地址 www.sec0nd.top
02-22 3833
CTF古典密码:移位密码 前言 密码和编码都是加密,但是有着本质区别:那个密码比编码多一个密钥(key)。这里的密码,不是指平常用来登陆奇安信的密码,而是指加密字符串。我们将数据(明文)通过一定规则(秘钥)进行打乱混编(加密)得到字符串(密文),这就是密码的基本流程。密码学中,一般将明文用m表示,将密文用c表示,将秘钥k表示。 移位密码是最简单的密码形式之一,也是最容易理解的密码形式。上述加密基本流程就是针对这种密码形式的最大白话的描述。 简单例子 这里有一个明文“qianxinshequ”,有一个秘钥“4
codeforces:A. Nephren gives a riddle【字符串套娃 + 递归or迭代 + 记忆化搜索预处理提速】
小楼一夜听春雨
09-10 160
递归迭代套娃记忆化搜索预处理py递归爆栈,可以迭代。
[MRCTF2020]套娃
pakho_C的博客
09-09 594
查看源码: $_SERVER[‘QUERY_STRING’]用于获取url中的参数,例如www.xxx.com/?a=1 获取到的就是a=1substr_count用于获取字符串中包含子串的个数 第一个if 要求参数中不包含_ 和%5f 绕过:利用PHP字符串解析特性Bypass 可以使用,,绕过,也就是说我们参数如果是?b u p t的话 变量名会被解析为为b_u_p_t第二个if 要求传入的b_u_p_t参数不能为23333 但是正则又必须匹配以23333为开头和结尾 /^23333$/这里的正则匹
[MRCTF2020] - Web
qtL0ng的博客
07-01 1038
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 2998
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
【BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 2978
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
ctfshow套娃shell
最新发布
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套娃shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套娃shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套娃shell来执行命令并获取所需的结果了。请注意,使用套娃shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值