bugku--never_give_up

最新推荐文章于 2024-04-24 13:26:33 发布
最新推荐文章于 2024-04-24 13:26:33 发布
阅读量2.7k 收藏 14
点赞数 19
文章标签: web安全 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/125617813
版权

考察知识点:

1.对编码的敏感度

2.php伪协议(以及POST流)

3.通配符

4.弱比较

初步工作

进入页面,是这个样子:

查看源代码,发现有提示:

 那我们访问

ip/1p.html        我这里就是http://114.67.175.224:10713/1p.html

但是我们访问后,发现网站似乎被重定向了,是一个公网地址,我们要做的题目肯定不在公网ip里面,那我们就可以访问一下

view-source:114.67.175.224:10713/1p.html

可以看到源代码

 有一串字符,我们看到有点像url解码,又像base解码,我们可以先试着拿去url解码一下

  

解码完之后发现是这样的:

"<script>window.location.href='http://www.bugku.com';</script> 
<!--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-->" 
 

这个<!--  .....  -->里面的内容就非常像base编码了,先试一下base64解码

%22%3Bif(!%24_GET%5B'id'%5D)%0A%7B%0A%09header('Location%3A%20hello.php%3Fid%3D1')%3B%0A%09exit()%3B%0A%7D%0A%24id%3D%24_GET%5B'id'%5D%3B%0A%24a%3D%24_GET%5B'a'%5D%3B%0A%24b%3D%24_GET%5B'b'%5D%3B%0Aif(stripos(%24a%2C'.'))%0A%7B%0A%09echo%20'no%20no%20no%20no%20no%20no%20no'%3B%0A%09return%20%3B%0A%7D%0A%24data%20%3D%20%40file_get_contents(%24a%2C'r')%3B%0Aif(%24data%3D%3D%22bugku%20is%20a%20nice%20plateform!%22%20and%20%24id%3D%3D0%20and%20strlen(%24b)%3E5%20and%20eregi(%22111%22.substr(%24b%2C0%2C1)%2C%221114%22)%20and%20substr(%24b%2C0%2C1)!%3D4)%0A%7B%0A%09%24flag%20%3D%20%22flag%7B***********%7D%22%0A%7D%0Aelse%0A%7B%0A%09print%20%22never%20never%20never%20give%20up%20!!!%22%3B%0A%7D%0A%0A%0A%3F%3E-->" 

可以隐约看到有一些字母,但还是%22%3b什么的很多东西,很像url再解码一下,得到大致代码如下(小修改过)

<?php
if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

代码分析: 

可以看到如此我们只要满足

if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

就可以得到flag,如何实现呢,一句句来分析

if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}

如果不存在GET传参的id就跳转到 hello.php?id=1并退出程序

这个简单,我们直接给id传参就可以绕过

 

$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))// $a no have .
{
	echo 'no no no no no no no';
	return ;
}

 分别三个GET传参,然后匹配$a 中是否含有符号.(点),绕过就是符号不含.就行

stripos就是匹配 $a 中第一次匹配到的 .

 

$data = @file_get_contents($a,'r');

 向变量$data写入$a的数据,就是$data=$a的意思,但是这里使用了file_get_contents这个函数,所以我们要利用地址的形式,形如http://  或者  php://

其中php://就是php的伪协议

伪协议就是小众协议的意思,比如php的伪协议只有php认识

这次就利用php伪协议的一种

php://input

他接受POST流传输的数据,而不是POST表单,什么意思?

我这里再仔细讲一遍:

关于POST流的问题

 这里使用BURP进行讲解

正常GET传参数据包:

 

POST传参数据包:

 

POST流传参数据包:

 

是不是觉得和POST传参数据包没有区别,注意看POST流数据包少了一句

 Content-Type: application/x-www-form-urlencoded

 这个就是表单,所以区别POST传参和传输POST流的主要区别就是有无表单

所以接下来看下一句代码

if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

只要满足这串代码就可以得到flag了

$data="bugku is a nice plateform!"

这里使用php伪协议就可以实现。 

$id==0 因为传入id=0会被认为没有传参,所以我们传入id=0a就可以满足

这里考到了弱比较

”0aaaa“=="0"是成立的,因为数字和字母不可比较,只要字母前面的数字全一样就可以

比如:

”768sfaf“ == "768"

"123as"  不等于  ”12asd“

strlen($b)>5     就是变量$b的长度大于5 

eregi("111".substr($b,0,1),"1114")   

eregi()匹配函数,匹配到则是True

"111".substr($b,0,1)  ->  拼接 “111”和  $b的第一个字符  (.是拼接字符串的意思)

比如$b=4321    那么  "111".substr($b,0,1) 就是1114

substr($b,0,1)  ->这就和上面一句矛盾了呀,第一个数字又要等于4又不能等于4怎么办?

方法一:

使用*通配符   只要传入$b=*12345就可以满足啦

*代表任意字符

最终payload:

 不要漏掉最下面的bugku is a nice plateform!

如果哪里写的不好,或者哪里不明白的欢迎评论区留言

 

 

清风--
关注
  • 19
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 5x5结果 学分 R2D2基地是从通过
holbertonschool-higher_level_programming
04-11
Holbertonschool-higher_level_programming :snake: 蒂姆·彼得斯(Tim Peters)撰写的Python ZEN Beautiful is better than ugly. Explicit is better than implicit. Simple is better than complex. Complex is better than complicated. Flat is better than nested. Sparse is better than dense. Readability counts. Special cases aren't special enough to break the rules. Although practicality beats purity. Errors should never pa
BugKu never_give_up 文件包含1,2
wwwwyyyrre的博客
06-03 119
进入题目没什么信息 打开源代码看看发现有一个1p.html 打开这个网页看看 发现到了bugku的论坛在这里可以发现网站好象是被重定向了 但是我们做的题肯定不在公网ip里边访问一下 view-source:http://114.67.175.224:14207/1p.html 即在源代码页面访问1p.html发现了源代码 在这里可以看到输入网址就会被定向到论坛页面 后面有一串代码 复制下来看看是什么不知道是什么解码 用url和base解码试试用base解码发现是url编码进行url解码。
BUGKU-WEB never_give_up
天泽岁月
03-13 1001
BUGKU-WEB never_give_up,eregi函数漏洞,%00截断
bugku never_give_up
qq_51796436的博客
12-13 2292
打开题目f12有提示,打开后跳转到bugku首页,直接view-source查看源码 view-source:http://114.67.175.224:11378/1p.html php源码在-- --之间,前面可以看到一个javascript的bugku.com的跳转。 源码被base64+urlencode过,先base64在urldecode 得到源码如下: if(!$_GET['id']) { header('Location: hello.php?id=1');//id为空则重定向至hell
never_give_up——bugku
m0_46607055的博客
10-30 606
前言 一个很老的题目了。两前年有个投机取巧的题解。 直接访问f4l2a3g.txt 得到flag。 现在修复了,必须按部就班的做。 那、来吧。 解题过程 访问靶场、查看源码,发现有1p.html 访问会跳转到https://www.bugku.com/ 用burp拦截一下试试 (写笔记复现的时候没有拦截成功。但是第一遍确实是没问题的。) 在p1.html的源码里发现有注释 <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3...
[bugku]never_give_up
qq_51979295的博客
09-22 276
never give up!!!!
Bugku never_give_up
lzu_lfl的博客
10-09 539
编码、文件包含、通配符绕过、若比较绕过
【转】bugku never give up 详解
qq_41333578的博客
06-18 3393
0x00 前言 此题为 Web 基础题,难度中低,需要的基础知识有:HTML、PHP、HTTP 协议。 首先考查发现源码的能力,其次重点考查 PHP 黑魔法的使用,相关链接如下: 题目链接:http://123.206.31.85/challenges#never give up 解题链接:http://120.24.86.145:8006/test/hello.php 0x01 拦截跳转 点开...
never_give_up--CTF--Bugku
逆旅行人的博客
05-07 940
never_give_up–CTF–Bugku做了一道非常典型的题目
BugKu:never give up
wssmiss的博客
04-16 335
题目 查看源代码: 根据提示打开lp.html 中间有一段base64编码和url编码 var Words =" < !–JTIyJTNCaWYlMjglMjElMjRfR0VUJTVCJTI3aWQlMjclNUQlMjklMEElN0IlMEElMDloZWFkZXIlMjglMjdMb2NhdGlvbiUzQSUyMGhlbGxvLnBocCUzRmlkJTNEMSUyNyUyO...
138---Street-Numbers.rar_Never Never
09-24
Holy another good problem ill never got tired =3
rick_never_gonna_GIVE_UP_zip_
09-30
never gonna give you up.
NeverSink-Filter-master_game_
10-02
Never sink item filter for POE
网络安全(黑客技术)—2024自学手册
Dasdwer的博客
04-17 1040
很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。(文末有福利~)
网络安全之反弹Shell
小飞的博客
04-12 1483
在网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
智能驾驶+网络安全
最新发布
SAAS666的博客
04-24 163
智能驾驶场景下,安全问题相关的讨论是一个持续热点;关于车机模块如何不会被黑客利用Linux的漏洞攻击?不会被APP应用截获?OTA 服务器如何保护?这三个核心场景的安全风险均不同忽视。本篇文章从有人驾驶(家庭用车)和无人驾驶(公共交通、封闭园区车辆)两个维护,讨论以上三个核心场景的安全风险问题。
用python实现,['Ch00-02_标记 02_Good morning mom and dad.mp3', "Ch01-01_标记 53_I'm awake.mp3", "Ch01-01_标记 54_You don't have to wake me up.mp3", "Ch01-01_标记 55_I'm already up.mp3", "Ch01-02_标记 08_You're already awake.mp3", "Ch01-02_标记 10_Wow I'VE never seen this before.mp3"] 变成 ['Good morning mom and dad.', "I'm awake.", "You don't have to wake me up.mp3", "I'm already up.", "You're already awake.", "Wow I'VE never seen this before."]
06-03
可以使用Python中的字符串方法和正则表达式来实现。具体步骤如下: 1. 遍历原始列表中的每个字符串,使用正则表达式提取文件名中的文本部分,并添加到新列表中。 2. 对于第三个字符串中的".mp3"后缀,使用字符串方法`replace()`去除。 下面是实现代码: ```python import re original_list = ['Ch00-02_标记 02_Good morning mom and dad.mp3', "Ch01-01_标记 53_I'm awake.mp3", "Ch01-01_标记 54_You don't have to wake me up.mp3", "Ch01-01_标记 55_I'm already up.mp3", "Ch01-02_标记 08_You're already awake.mp3", "Ch01-02_标记 10_Wow I'VE never seen this before.mp3"] new_list = [] for s in original_list: text = re.findall(r'_(.*?)\.', s)[0] # 使用正则表达式提取文本部分 if ".mp3" in text: text = text.replace(".mp3", "") # 去除".mp3"后缀 new_list.append(text) print(new_list) ``` 输出结果为: ``` ['Good morning mom and dad', "I'm awake", "You don't have to wake me up", "I'm already up", "You're already awake", "Wow I'VE never seen this before"] ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值