[BJDCTF2020]Mark loves cat

最新推荐文章于 2022-08-13 17:16:49 发布
最新推荐文章于 2022-08-13 17:16:49 发布
阅读量139 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stantic/article/details/125265008
版权

什么都找不到,扫一下目录发现.git,用githack下下来,

<?php
 
include 'flag.php';
print_r($flag);
 
$yds = "dog";
$is = "cat";
$handsome = 'yds';
 
foreach($_POST as $x => $y){  
    $$x = $y;  
    
}
 
foreach($_GET as $x => $y){
    $$x = $$y;
}
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){  
        exit($handsome);
    }
}
 
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}
 
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}
 
echo "the flag is: ".$flag;

有一个post和get的变量覆盖漏洞,开始不知道怎么搞,看了wp,说一下原理,

exit也是一种输出,可以利用变量覆盖来把exit里面的变量变成flag变量,

第一个handsome

用get方式来传handsome=flag&flag=handsome

在foreach($_GET as $x => $y){
    $$x = $$y;
}

里$handsome=$flag&$flag=$handsome

然后foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){  
        exit($handsome);
    }

$_GET['flag']=$handsome;两个$x:$handsome和$flag都不等于'flag',所以进入exit($handsome)

$handsome有等于$flag,所以拿到flag

第二个yds

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

get和post都不能传flag这个参数,才能进入exit($yds)

用get传yds=flag;经过foreach($_GET as $x => $y){
    $$x = $$y;
}

变为$yds=$flag,然后get和post方式都没有传flag参数,所以进入exit($yds),且$yds=$flag

第三个is

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

第三个post或者get方式传flag参数,有一个与'flag'相等就行

get传is=flag&flag=flag

变量覆盖变为$is=$flag&$flag=$flag

之后if判断时get的flag=flag通过判断,从而进入exit(is)

stantic
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[BJDCTF2020]Mark loves cat 1
weixin_45577185的博客
09-06 504
用dirb扫一下,发现源码泄露 dirb http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/ 脚本获得源码 python GitHack.py http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/ <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach(
CTF-web做题记录(狼组/BUUCTF)【一】
weixin_39664643的博客
10-16 2711
CTF-web做题记录(狼组/BUUCTF)【一】 WEB 1、ctf.wgpsec 你可能需要一部iphone 题目如下 考察点:user-agent,burp改为iphone的user-agent,发包得到flag 2、ctf.wgpsec baby php 坑:代码理解错误,淦 考察点:代码理解,根据代码本身绕过 <?php highlight_file('source.txt'); echo "<br><br>"; $flag = 'xxxxxxxx'; $ms
[BUUCTF] 集训第二天
Dannie01的博客
09-29 404
补题 [GXYCTF2019]BabyUpload1 正常开端一句话木马 <?php eval($_POST[cmd]);?> php文件不许上传, 尝试上传jpg 换个姿势改一下内容 <script language='php'>eval($_POST[cmd]);</script> 上传成功,记得这个路径 因为是jpg文件,无法解析php,观察是Apache server,上传.htaccess文件来将其他文件解析成PHP文件 .htaccess文件是Apa
BUU刷题Day7
姜小孩的博客
03-30 1770
[BJDCTF2020]Mark loves cat [安洵杯 2019]easy_web [NCTF2019]Fake XML cookbook MD5强碰撞 XXE
BUUCTF刷题记录(4)
bmth666的博客
04-12 1353
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
qq_43622442的博客
05-04 8070
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞) 这几天被学生机折磨死了,第一次用好多不熟练,刷个题压压惊。 1.拿到网站,发现所有的超链接都是指向自己的:(两种答案都在最后) 2.扫描目录找到 .git 泄露: (做ctf题要习惯用dirsearch,而且要调低线程): dirsearch.py -u url -e * --timeout=2 -t 1 ...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
在题目【BJDCTF2020]Mark loves cat】中,我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本,他们找到了`flag.php`和`index.php`。在`index.php`中,代码检查了`GET`和`POST`中是否都有`...
marktext的中文包
07-21
标签“marktext的中文包”进一步确认了该压缩文件的内容,是针对MarkText的中文本地化版本,用于在非英文环境下正常使用MarkText的界面和功能。 **压缩包子文件解析** 1. **v8_context_snapshot.bin**: 这个文件是...
MarkText.zip
08-04
MarkText是一个MIT许可的开源项目,最新的版本可以从GitHub发布页面免费下载。MarkText还在发展中,它的发展离不开所有的赞助商。 特点: 实时预览(所见即所得)和一个干净和简单的界面。 支持CommonMark Spec, ...
coremark 源代码
08-23
coremark 源代码 移植后,即可测试目标MCU的coremark评分 注意:该评分与编译器版本密切相关。
markText安装包
最新发布
02-19
标题“markText安装包”所指的是一款名为markText的应用程序的安装文件,它是一个广受程序员喜爱的开源笔记软件。markText的主要特点是其简洁的用户界面和强大的Markdown支持,使得编写和预览代码注释变得既简单又...
[BJDCTF2020]Mark loves cat(3种解法)
m0_64118193的博客
07-12 2418
练习靶场:BUUCTF 题目搜索:[BJDCTF2020]Mark loves cat靶机启动后的界面 步骤1:我们使用工具dirsearch扫描目录,观察是否有信息泄露 结论存在Git泄露,我们使用工具GitHack获取信息,得到一个index.php 相关知识点 exit函数的作用是输出一则消息并且终止当前脚本。 如果一段文本中包括多个以 ?>结束的脚本,则exit退出当前所在脚本,exit()函数这里存在一个突破点 foreach()函数这里存在了变量覆盖第二个if语句中可以看到这里是
web buuctf [BJDCTF2020]Mark loves cat1
weixin_44214568的博客
03-30 881
考点: 1.git泄露 2.变量覆盖 1.打开靶机,先看robots.txt,并用dirsearch进行扫描 py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429 (使用dirsearch时,一定要设置好线程,不然扫不出来) 扫描发现错在.git泄露 2.利用githack把git文件抓下来 python2 GitHack.py http://f190
BUUCTF web(六)
m0_46616663的博客
11-25 2816
[BJDCTF2020]ZJCTF,不过如此 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br
Mark loves cat
m0_62094846的博客
04-04 1665
扫描目录(但是我用御剑扫不出来),然后用.git下载文件 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){    //很明显的有变量覆写漏洞 $$x = $y ; } foreach($_GET as $x => $y){    //如果传入$x=flag&$y=flag 则$flag=$flag就可以.
buuctf web mark loves cat
qq_41696858的博客
12-15 730
打开场景,是一个主页,先审计源码,发现很多a链接,但都是指向本页面的死链,没啥用 扫目录,python3 dirmap.py -i http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/ -lcf 扫出来一堆.git,那么就考虑git源码泄露 githacker --url http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/.git --folder result1
buuctf(探险3)
qq_62046696的博客
08-13 938
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
[BJDCTF2020]Mark loves cat变量覆盖
sGanYu
10-18 989
首先用dirsearch扫描下目录 由于BUUCTF限制发包量,更改扫描线程 命令:python dirsearch .py -u [url] -e * -t 3 -s 0.2, 扫除/.git泄露 得到两个php文件,kali内githack扫出来但是下载失败了 flag.php <?php $flag = file_get_contents('/flag'); ?> index.php <?php include 'flag.php'; $yds = ..
EOS 5D MARKIII 数码单反相机详细指南
"EOS 5D MARKIII中文说明书" 佳能EOS 5D MARKIII是一款专业级的数码单反相机,以其出色的性能和丰富的功能而备受摄影爱好者和专业摄影师的青睐。该相机搭载了一块约2230万有效像素的全画幅(36x24毫米)CMOS图像...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值