【Bugku】秋名山老司机 详细题解 Writeup

最新推荐文章于 2023-11-16 23:00:24 发布
最新推荐文章于 2023-11-16 23:00:24 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: Web安全 文章标签: 正则表达式 字符串 python 经验分享 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vanarrow/article/details/110092472
版权 
import requests
import re
url = 'http://123.206.87.240:8002/qiumingshan/'
s = requests.Session()
req = s.get(url)
expression = re.search(r'(\d+[+\-*])+(\d+)', req.text).group()
# expression = req.text[req.text.find('<div>')+5:req.text.find('=?')]

result = eval(expression)
data = {'value': result}
#print(s.post(url).encoding)
#ISO-8859-1

#print(s.post(url, data=post).text)
#åŽŸæ¥ä½ ä¹Ÿæ˜¯è€å¸æœº Bugku{YOU_DID_IT_BY_SECOND}
#text中存的是Beautifulsoup根据猜测的编码方式将content内容编码成字符串text是。没有前面的b,对于纯ascii码,这两个可以说一模一样,对于其他的文字,需要正确编码才能正常显示

print(s.post(url, data=data).content.decode('utf-8'))
#中文转码
#原来你也是老司机 Bugku{YOU_DID_IT_BY_SECOND}
#content是字节码,直接输出会发现前面存在b'这样的标志,显示乱码,这时需要用.content.decode('utf-8'),中文常用utf-8和GBK,GB2312,.content进行手动编码
#resp.text返回的是Unicode型的数据。
#resp.content返回的是bytes型也就是二进制的数据。


'''

1081018835-1070311562*568188127-642812755+508283747-177925746*1428769176-1723352262*710685256-143853778*1404955122
计算响应内容中的表达式并用 POST 请求返回结果,实质还是快速反弹包含正确信息的 POST 请求,详情可参考详解 CTF Web 中的快速反弹 POST 请求
1、有关 requests 的部分此处不细讲,唯一要注意必须利用会话对象 Session(),否则提交结果的时候,页面又重新生成一个新的表达式,结果自然错误。
2、第 6 行是利用正则表达式截取响应内容中的算术表达式。首先引入 re 模块,其次用 search() 匹配算术表达式,匹配成功后用 group() 返回算术表达式的字符串。
3、第 7 行在获得算术表达式的字符串后,直接利用 Python 的內建方法 eval() 来计算出结果,简单、暴力、快捷。




import requests
url = "http://123.206.87.240:8002/qiumingshan/"
s = requests.Session()
req = s.get(url)
expression = req.text[req.text.find('<div>')+5:req.text.find('=?')]
result = eval(expression)
post = {'value': result}
print(s.post(url, data=post).text)

a = '''
<head>
<title>下面的表达式的值是秋名山的车速</title>
<meta charset="UTF-8">
</head>
<p>亲请在2så†
计算老司机的车速是多少</p>
<div>512141817+1892942738*546487160*2117517648*2119867596+787513764*573152593+1531645841-2069881943+1091647023+1264534072=?;</div>
<style>
div,p{
text-align: center;
margin: 0 auto;
}
</style>
'''
expression = a[a.find('<div>')+5:a.find('=?')]
# a[A:B]截取字符串,序列从A到B,<是0,+5是到5,直到=?的序列号




import requests
import re
s = requests.Session()
req = s.get("http://123.206.87.240:8002/qiumingshan/")
expression = re.search(r'^<div>(.+)=\?;</div>$', a, re.M | re.S) #re.M|re.S匹配多行或匹配一行
# (.+) 匹配所有 包括中文 换行后的也在 原样展示 (.+?) 匹配后的是竖着 一个一个展示
# re.M	多行匹配,影响 ^ 和 $
# re.S	使 . 匹配包括换行在内的所有字符

# <re.Match object; span=(155, 285), match='<div>512141817+1892942738*546487160*2117517648*21>

data = {
    "value": eval(expression.group(1)) #这里是value是从网页提示中得到的
}
flag = s.post("http://123.206.87.240:8002/qiumingshan/", data)
print(flag.text)



#!coding:utf-8
import requests,re

s = requests.session()
url = 'http://123.206.87.240:8002/qiumingshan/'
request = s.get(url)
spon = request.text
vul = re.findall('>(\d+.+)\=',spon)
result = {'value':str(eval(vul[0]))}
data = s.post(url,data=result)
flag = data.text
print(flag)








import requests
import re
 
mysession = requests.Session()
myrequests1 = mysession.get("http://123.206.87.240:8002/qiumingshan/")
mystr = re.findall(r'<div>.*</div>', myrequests1.text)  # 第一个参数是正则,第二个参数是要截取的字符串
str_calculate = mystr[0].strip('=?;</div>')
result = {                            # 这个result也可以是字符串
    "value": eval(str_calculate)
}
#print(result)
myrequests2 = mysession.post("http://123.206.87.240:8002/qiumingshan/", data=result)
print(myrequests2.text)






#! /usr/bin/env python3
# -*- coding: utf-8 -*-

import requests
from bs4 import BeautifulSoup
 
url = "http://123.206.87.240:8002/qiumingshan/"
s = requests.session()
r = s.get(url)
# 将编码设置为 utf8
r.encoding = 'utf-8'
# bs解析网页内容
soup = BeautifulSoup(r.text, 'html.parser')
#提取div里的内容
num = soup.div.text 
# 赋值 post 参数
final = {'value': eval(num.replace('=?;', ''))}
print(final)
r = s.post(url, data=final)
r.encoding = 'utf-8'
print(r.text)


'''









import requests
import re
url = 'http://123.206.87.240:8002/qiumingshan/'
r = requests.session()
requestpage = r.get(url)
ans = re.findall('<div>(.*?)=?;</div>', requestpage.text) #获取表达式
ans = "".join(ans) #列表转为字符串
ans = ans[:-2] #去掉最后的=?
post = eval(ans) #计算表达式的值
data = {'value': post} #构造post的data部分
flag = r.post(url, data=data)
print(flag.text)



'''

所得知识点:
1、python的requests库
在这道题中我们用了requests中的session()函数、get()函数、post()函数、下面一一说明:
session对象可以使我们跨请求保持某些参数,也可以在同一个session实例发出的所有请求之间保持cookies
——创建一个session对象可以拥有以上的作用(但并没有实例化);
然后get()函数,用来进行模拟发送,获得相应url站点的信息,可分为有参和无参两种情况:

无参:
如以上代码,括号内是一个url,表示获取这个url内的信息。

有参:
payload = {'key1': 'value1', 'key2': 'value2'}
r = requests.get("http://123.206.87.240:8002/qiumingshan/
post 类似

2、re库
re库的主要用途就是进行字符串匹配(看着就会有很多我记不住的各种函数嘤嘤嘤)wuling这个博客很详细
说到字符串匹配,正则表达式完全是绕不过的啊2333,在re库中,几乎所有的函数参数都有正则表达式,re库中正则表达式有两种表示方式:
①raw string类型
表示为:r'text',例如:r'[1-9]\d{5}',raw string是指不包含转义符的字符串;
如果正则表达式里含有转义字符之类的敏感字符,最好用这种方法。
②string类型
例如:'[1-9]\\d{5}';'\\d{3}-\\d{8}|\\d{4}-\\d{7}'

3、用到的python的其他函数
join()函数,用法:例如ex.join(str)
参数说明
ex:分隔符。可以为空(如本题)
str:要连接的元素序列、字符串、元组、字典
上面的语法即:以ex作为分隔符,将str所有的元素合并成一个新的字符串
返回值:返回一个以分隔符ex连接各个元素后生成的字符串







<?php
session_start();

$table = array('+', '-', '*');

function initial($table)
{
    // 设置值
    $formula = (string) mt_rand();

    for ($i = 0; $i < 10; $i++) {
        $formula .= $table[mt_rand(0, 2)] . (string) mt_rand();
    }

    $value = eval('return ' . $formula . ';');
    $_SESSION['value'] = $value;
    $_SESSION['formula'] = $formula;
    $_SESSION['time'] = date_timestamp_get(date_create());
    echo '<p style="text-align:center">亲请在2s内计算老司机的车速是多少</p>' . PHP_EOL;
    echo '<div>' . $formula . '=?;</div>' . PHP_EOL;
}

if (!isset($_SESSION['value'])) {
    initial($table);
} else {
    $diff = date_timestamp_get(date_create()) - $_SESSION['time'];

    if ($diff <= 2) {
        if (isset($_POST['value'])) {
            if ($_POST['value'] === (string) $_SESSION['value']) {
                echo 'You get the flag';
            }
        } else {
            echo 'Give me value post about ' . $_SESSION['formula'] . '=?';
        }
    } else {
        initial($table);
    }
}
?>







#! /usr/bin/python3
# -*- coding: utf-8 -*-

import requests
import re

# 打印信息
def print_response(res):
    for v in res.headers:
        print(v+': '+res.headers[v])

    print()
    print(res.content.decode())

url = 'http://123.206.87.240:8002/qiumingshan/'

s = requests.Session()

response = s.get(url)
print("The first response:")
print_response(response)

# 匹配formula(公式)
result = (re.search('(?<=<div>).+(?==)',response.content.decode()).group())

# 解析公式
result = eval(result)
print(result)

html = s.post(url,{'value':str(result)})

print("The second response:")
print_response(html)





###
The first response:
Server: nginx
Date: Wed, 25 Nov 2020 12:12:36 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=60
Set-Cookie: PHPSESSID=c076a1rj4gs4p75vs0hvslqf5ehccj99; path=/; HttpOnly, Timeout=alive; expires=Wed, 25-Nov-2020 12:12:38 GMT
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Encoding: gzip

<head>
<title>下面的表达式的值是秋名山的车速</title>
<meta charset="UTF-8">
</head>
<p>亲请在2s内计算老司机的车速是多少</p>
<div>1310615970-1188642998*717630350+1859300341+539949424-1157666960*1524438752-1832476037*279122508-1343317687-288438169=?;</div>
<style>
div,p{
text-align: center;
margin: 0 auto;
}
</style>
-3129283971633054137
The second response:
Server: nginx
Date: Wed, 25 Nov 2020 12:12:36 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=60
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Encoding: gzip

原来你也是老司机 Bugku{YOU_DID_IT_BY_SECOND}

'''
你们这样一点都不可耐
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
bugku 名山老司机
爱党人士
07-15 957
bugku名山老司机   题目连接:http://123.206.87.240:8002/qiumingshan/      一点进去是这样的    请在两秒内计算这个式子。。。怎么可能算的出来 查看源码,无果。。 burp抓包 无果 再次点进这个题目发现式子会变,于是多刷新几次,出现了这个界面    ...
爬虫笔记-Bugku名山老司机(入门)
12-21
题目:bugku-名山老司机 题目要求:两秒内提交一道很长的计算题答案,并且式子每次刷新都会变动 如: 多刷新几次可见题目提示,需要用post传入值,变量名为value 创建py文件,导入 requests 库和 re 库 并且创建...
Bugku web19&名山车神
qq_46540840的博客
02-20 1561
Bugku web18名山车神文章目录前言一、知识补充1.正则表达试补充2.re 函数介绍二、web 19 解题过程三 .名山车神总结 文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录文章目录前言一、知识补充1.正则表达试补充2.re 函数介绍二、web 19 解题过程三 .名山车神总结 前言 题目设计到正则表达试的运用 提示:以下
Bugku-Web-名山老司机
weixin_48972359的博客
11-03 1225
的协议,无状态是指一次HTTP请求结束之后,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的,所以HTTP协议没有。于是多刷新几下,发现每次的计算的算式都不一样,于是又刷新了几下,果然出现了提示,应该是让我们用post方法,参数为value。想到这里,让我用两秒钟计算如此大的数据,手工应该是不可能,且又提示让用post方法,这里只能写Python脚本来完成。但是还是没有得出flag来,于是想到可能是会话控制的原因,因为发送了两次请求,HTTP是。http协议,Session会话控制。
CTFBugku 名山老司机+python脚本代码解析
weixin_41607190的博客
02-26 1164
第一次写python脚本,之前完全不懂脚本运行的原理,寒假学了javaWEB才有点明白,有些脚本的题也可以做了。 先贴上这道题的脚本: import requests import re url='http://123.206.87.240:8002/qiumingshan/' r = requests.session() requestpage = r.get(url) ans = re.fin...
bagku名山老司机
土拨鼠挖洞中的博客
10-14 999
看题目,要求两秒内计算数值,发回去,获得flag,于是写脚本实现   import requests import re url = "http://120.24.86.145:8002/qiumingshan/" s = requests.Session()#必须利用会话对象 Session(),否则提交结果的时候,页面又重新生成一个新的表达式, source = s.get(u...
TrollInstallerX_1.0.1_名山.ipa
最新发布
04-08
TrollInstallerX_1.0.1_名山.ipa
名山租车系统,采用SpringBoot+MyBatisPlus+Sa-token+Vue的基本技术栈.zip
05-30
下面将详细介绍这些技术栈在系统中的应用及其重要性。 1. **SpringBoot**: SpringBoot是Spring框架的一个扩展,它简化了创建独立的、生产级别的基于Spring的应用程序的过程。在"名山租车系统"中,SpringBoot...
蓝奏云资源搜索器可用
09-01
蓝奏云资源网盘是现在最好用的网盘了,分享文件地址永久有效,不必担心过期而经常更换链接,帮您节省繁琐步骤,把时间用到有价值的地方去。下载无任何限制,无验证码等影响用户体验限制比可恶限速的某度云良心的多。...
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
2. **bugku-ctf 第二题:名山老司机** 可能与文件包含漏洞有关,参赛者需要了解如何利用文件路径控制或者远程文件包含来读取服务器上的特定文件,通常包括flag信息。 3. **bugku-ctf 第三题:速度要快** 这个...
Bugku web——名山老司机
qq_40481505的博客
09-10 576
打开题目链接,有下面信息: 此题为反向post题,需要先发起一次get请求,获取计算式,然后再将计算结果post回去,我们可以通过些python脚本实现上述步骤 import requests from bs4 import BeautifulSoup import re import time url = "http://123.206.87.240:8002/qiumingshan/" ...
CTFWeb——Bugku名山老司机 详细题解
日熙的博客
08-19 3268
1
eval-Bugku CTF
m0_56859693的博客
09-05 1434
今天在bugku刷到了一道基础题,感觉考察的很全面。 源代码如下 第一行 include是将flag.php包含在页面代码中,也不难推测flag在flag.php中 第二行 $_REQUEST可以将用户传入的hello传给服务器 第三行分两个部分:eval和var_dump var_dump即把输入的hello作为字符串string输出 eval则可以把字符串当作php代码执行 把hello赋值为system("ls") 发现包含flag.php和index.php ...
Bugku-Nostring 题解
Apricity_L的博客
11-16 79
根据题目格式要求,实际上flag为:flag{4564aOIJJNY}3.双击变量 aOehnl3rHfCcgpt 可以查看字符串是什么。4.根据两次异或同一个数字,字符串不变原理,还原flag。得到:flage:{4564aOIJJNY}1.用软件判断得知无壳。
Bugku,Reverse:NoString
Pai_Space
01-15 335
测试输入 显示 查壳 32位拖进 IDA 查看结构和 main 伪代码 找到对应地址储存的值 分析代码 int wmain() { signed int v0; // ecx signed int i; // eax signed int v2; // ecx signed int j; // eax signed int v4; // eax int v5; // eax signed int v6; // ecx signed int k; // eax signed ..
BugkuCTF-Reverse题NoString
am_03的博客
08-27 598
知识点 我们需要知道异或(^)操作 举例:11001001^00110001=11111000 10=1;01=1;11=0;00=0异真同假 当我们得到11111000和00110001,我们怎么得到11001001?当然也是异或 11111000^00110001=11001001 C语言的9u即异或9 c语言数字后面带个U是表示无符号类型的数据。U是unsigned的首字母。如:unsigned int a = 32, b; b = 32 + 12U; // 12是一个无符号类型的数据。 U表示该常数
BugKu逆向之13-NoString
ACGeny的博客
09-26 836
BugKu逆向之13-NoString一、文件分析二、解题思路 BugKu原程序NoString.exe 一、文件分析 二、解题思路
CTF题目记录8
kkzzjx
06-24 911
(还有坑没填好) 最近在刷bugku 感觉对新手还是挺友好的,同时也能学到不少东西,每日更新几题准备记录的吧 名山老司机 亲请在2s内计算老司机的车速是多少(最基本的脚本题???) 这题很多平台上都有,脚本必练:request库,re库 一开始不知道哪里传值,但是post一个数据后就会有提示的,发现要post一个value参数 import requests import re url='http://123.206.87.240:8002/qiumingshan/' s=requests.Sessio
Hadoop详细介绍500字
03-21
Hadoop是一个开源的分布式计算框架,它可以处理大规模数据集并将其分布式存储在多个计算机节点上。Hadoop的核心组件包括Hadoop Distributed File System(HDFS)和MapReduce计算模型。 HDFS是一个分布式文件系统,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值