ctf php eregi,【Bugku CTF】 Web —— never give up

最新推荐文章于 2022-01-14 19:47:37 发布
最新推荐文章于 2022-01-14 19:47:37 发布
阅读量862 收藏
点赞数
文章标签: ctf php eregi

此题为 Web 基础题,难度中低,需要的基础知识有:HTML、PHP、HTTP 协议。

首先考查发现源码的能力,其次重点考查 PHP 黑魔法的使用,相关链接如下:

5dde15999d13a.png

0x01 拦截跳转

点开解题链接,除了一句 never never never give up !!! 之外空空如也,直接查看源码,发现一条注释中有线索:

5dde159a01d39.png

请求数据包如下:

5dde159a555f2.png

响应数据包如下:

5dde159abe1f0.png

0x02 三重解码

根据响应内容中变量 Words 的值,容易得出是一段 URL 编码后的数据:1%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--JTIyJTNCaWYlMjglMjElMjRfR0VUJTVCJTI3aWQlMjclNUQlMjklMEElN0IlMEElMDloZWFkZXIlMjglMjdMb2NhdGlvbiUzQSUyMGhlbGxvLnBocCUzRmlkJTNEMSUyNyUyOSUzQiUwQSUwOWV4aXQlMjglMjklM0IlMEElN0QlMEElMjRpZCUzRCUyNF9HRVQlNUIlMjdpZCUyNyU1RCUzQiUwQSUyNGElM0QlMjRfR0VUJTVCJTI3YSUyNyU1RCUzQiUwQSUyNGIlM0QlMjRfR0VUJTVCJTI3YiUyNyU1RCUzQiUwQWlmJTI4c3RyaXBvcyUyOCUyNGElMkMlMjcuJTI3JTI5JTI5JTBBJTdCJTBBJTA5ZWNobyUyMCUyN25vJTIwbm8lMjBubyUyMG5vJTIwbm8lMjBubyUyMG5vJTI3JTNCJTBBJTA5cmV0dXJuJTIwJTNCJTBBJTdEJTBBJTI0ZGF0YSUyMCUzRCUyMEBmaWxlX2dldF9jb250ZW50cyUyOCUyNGElMkMlMjdyJTI3JTI5JTNCJTBBaWYlMjglMjRkYXRhJTNEJTNEJTIyYnVna3UlMjBpcyUyMGElMjBuaWNlJTIwcGxhdGVmb3JtJTIxJTIyJTIwYW5kJTIwJTI0aWQlM0QlM0QwJTIwYW5kJTIwc3RybGVuJTI4JTI0YiUyOSUzRTUlMjBhbmQlMjBlcmVnaSUyOCUyMjExMSUyMi5zdWJzdHIlMjglMjRiJTJDMCUyQzElMjklMkMlMjIxMTE0JTIyJTI5JTIwYW5kJTIwc3Vic3RyJTI4JTI0YiUyQzAlMkMxJTI5JTIxJTNENCUyOSUwQSU3QiUwQSUwOXJlcXVpcmUlMjglMjJmNGwyYTNnLnR4dCUyMiUyOSUzQiUwQSU3RCUwQWVsc2UlMEElN0IlMEElMDlwcmludCUyMCUyMm5ldmVyJTIwbmV2ZXIlMjBuZXZlciUyMGdpdmUlMjB1cCUyMCUyMSUyMSUyMSUyMiUzQiUwQSU3RCUwQSUwQSUwQSUzRiUzRQ%3D%3D--%3E

对其进行解码,得到一条 Javascript 语句与一大段注释,易看出注释中的内容是一段 Base64 编码后的数据:1

2

将注释中的内容进行解码,发现又是一大段 URL 编码后的数据:1%22%3Bif%28%21%24_GET%5B%27id%27%5D%29%0A%7B%0A%09header%28%27Location%3A%20hello.php%3Fid%3D1%27%29%3B%0A%09exit%28%29%3B%0A%7D%0A%24id%3D%24_GET%5B%27id%27%5D%3B%0A%24a%3D%24_GET%5B%27a%27%5D%3B%0A%24b%3D%24_GET%5B%27b%27%5D%3B%0Aif%28stripos%28%24a%2C%27.%27%29%29%0A%7B%0A%09echo%20%27no%20no%20no%20no%20no%20no%20no%27%3B%0A%09return%20%3B%0A%7D%0A%24data%20%3D%[email protected]_get_contents%28%24a%2C%27r%27%29%3B%0Aif%28%24data%3D%3D%22bugku%20is%20a%20nice%20plateform%21%22%20and%20%24id%3D%3D0%20and%20strlen%28%24b%29%3E5%20and%20eregi%28%22111%22.substr%28%24b%2C0%2C1%29%2C%221114%22%29%20and%20substr%28%24b%2C0%2C1%29%21%3D4%29%0A%7B%0A%09require%28%22f4l2a3g.txt%22%29%3B%0A%7D%0Aelse%0A%7B%0A%09print%20%22never%20never%20never%20give%20up%20%21%21%21%22%3B%0A%7D%0A%0A%0A%3F%3E

进行 URL 解码后,终于得到一段不完整的 PHP 核心源码:1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25";if(!$_GET['id'])

{

header('Location: hello.php?id=1');

exit();

}

$id=$_GET['id'];

$a=$_GET['a'];

$b=$_GET['b'];

if(stripos($a,'.'))

{

echo 'no no no no no no no';

return ;

}

$data = @file_get_contents($a,'r');

if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

{

require("f4l2a3g.txt");

}

else

{

print "never never never give up !!!";

}

?>

其中各条核心语句的作用如下:第 1 行:限制 URL 查询字符串中必须有非空非零变量 id

第 9 行:限制变量 $a 中不能含有字符 .

第 15 行:要满足以下 5 条表达式才会爆 flag:变量 $data 弱等于字符串 bugku is a nice plateform!

变量 $id 弱等于整型数 0

变量 $b 的长度大于 5

字符串 1114 要与字符串 111 连接变量 $b 的第一个字符构成的正则表达式匹配

变量 $b 的第一个字符弱不等于整型数 4

注意,源码中已暴露出 flag 文件,有可能是出题人的失误,也有可能是出题人故意用第 15 行复杂的语句迷惑你,实际上可以绕过。因此,直接访问链接 http://120.24.86.145:8006/test/f4l2a3g.txt 即可获得 flag。

不过,第 15 行的语句也是可解的(应该也是此题的本意),请继续往下看。

0x03 PHP 黑魔法

本节分别针对源码中 $id、$a、$b 三个变量需要满足的条件进行讲解。

PHP 弱类型比较

5dde159b38831.png

由上图可知,变量 $id 若想满足非空非零且弱等于整型数 0,则 $id 的值只能为非空非零字符串,这里假设 $id = "asd"。有关 PHP 类型比较的详情可参考:PHP 类型比较表

PHP 伪协议

源码中变量 $data 是由 file_get_contents() 函数读取变量 $a 的值而得,所以 $a 的值必须为数据流。

在服务器中自定义一个内容为 bugku is a nice plateform! 文件,再把此文件路径赋值给 $a,显然不太现实。因此这里用伪协议 php:// 来访问输入输出的数据流,其中 php://input 可以访问原始请求数据中的只读流。这里令 $a = "php://input",并在请求主体中提交字符串 bugku is a nice plateform!。有关 PHP 伪协议的详情可参考:支持的协议和封装协议

eregi() 截断漏洞

CTF 题做多了就知道 ereg() 函数或 eregi() 函数存在空字符截断漏洞,即参数中的正则表达式或待匹配字符串遇到空字符则截断丢弃后面的数据。

源码中待匹配字符串(第二个参数)已确定为 "1114",正则表达式(第一个参数)由 "111" 连接 $b 的第一个字符组成,若令 substr($b,0,1) = "x00",即满足 "1114" 与 "111" 匹配。因此,这里假设 $b = "x0012345",才能满足以上三个条件。

有关 PHP 的各种黑魔法可参考:

0x04 构造 payload 爆 flag

分析出以上三个变量应该等于什么值后,接下来构造出对应的 payload 自然就 get flag 了。之所以将构造 payload 单独拿出来讲,是想分享笔者在构造 payload 过程中踩过的坑。

在构造变量 b 中的空字符时,过早将空字符 x00 放入,在提交请求时导致请求头截断,继而请求失败,得不到响应。

5dde159b956b2.png

因为 b 是 URL 查询字符串中的变量,不应该在此放入空字符 x00,而应该为空字符的 URL 编码 %00。注意,虽然 b=%0012345 实际字符串长度为 8 字节,但在后台脚本读入数据时,会将 URL 编码 %00 转换成 1 字节。所以说,空字符应该在后台脚本的变量中出现,而不是在 URL 查询字符串变量中出现。

构造出正确的 payload 后,完成此题常规思路的做法:

5dde159bed7d9.png

若有不足或错误之处劳烦指出,欢迎有其他解法的朋友前来讨论交流。

涛说精彩历史
关注
实验吧 CTF
Risk2S的小博客
07-09 1235
登录一下好吗 ->运算符叫做“指向结构体成员运算符”,是C语言和C++语言的一个运算符,用处是使用一个指向结构体或对象的指针访问其内成员。 登录 用户名-> ‘=’ 密码-> ‘=’ 那么正常执行的SQL语句就是 select * from 表 where username = “$_POST[‘userneme’]” and password = “$_POST[‘passwo
云演CTF Web题型 021 php黑魔法
cadandme的博客
01-20 2126
php黑魔法 代码审计题型 ord() 函数返回字符串的首个字符的 ASCII 值。 知道以上函数的使用方法,就可以知道这道题应该怎么解 要传入一个没有1到9数字的字符串,但值要等于54975581388,可以使用进制转换来代替 将得到的十六进制GET传入得flag ...
CTF bugku never give up】关于URL/Base64解码、eregi()z截断、文件包含利用
zw05011的博客
01-14 426
转:https://ciphersaw.me/2017/12/26/【Bugku CTFWeb —— never give up/ 0x00 前言 此题为 Web 基础题,难度中低,需要的基础知识有:HTML、PHP、HTTP 协议。 首先考查发现源码的能力,其次重点考查 PHP 黑魔法的使用,相关链接如下: 0x01 拦截跳转 点开解题链接,除了一句 never never never give up !!! 之外空空如也,直接查看源码,发现一条注释中有线索: 根据提示打开链接:htt
CTF-入门九
realstarstarli的博客
07-19 1224
CTF-入门九 这里继续bugku web的题解记录. 秋名山老司机 拿到这道题,告诉你们在两秒之内提交答案,手动肯定是不行的。 两秒内刷新是这样的页面,这里也可以知道是post方法传值 这里给出脚本,网上的脚本大同小异,这里按照惯例优化了一下代码并给出完整的代码注释 import requests from bs4 import BeautifulSoup #获取网页内容,并且提取<div>内容 ''' 通过我们对于题目的源代码的分析可知,在两秒内刷新页面会得到不一样的结果 这里其实是会话
php 5.4漏洞,PHP 5.4/5.3弃用函数eregi() memory_limit绕过漏洞
weixin_42261068的博客
03-17 252
PoC:127# cat sym.php<?phpsymlink("/etc/passwd", "./symlink");?>127# php sym.phpPHP Warning: symlink(): open_basedir restriction in effect. File(/etc/passwd) is not \within the allowed path(s): (...
BugkuCTF web 输入密码查看flag——never give up
the_world_go的博客
04-06 956
输入密码查看flag 看到要输入密码(爆破爆破爆破)。 打开bp抓包。爆破(果然弱密码) 输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。 备份是个好习惯 打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现 拿御剑扫下后台吧 找到了 可以看到我要提交key1和key2,他们不相等但是md5处理以后相等 参考php漏洞...
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6579
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3779
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugkuCTF:never give up(web
s0il的博客
04-04 981
题目描述: 查看源码之后发现有个1p.html,访问一下,转到这??? view-source方式进行访问,这什么操作???(知识点view-source协议) "%3Cscript%3Ewindow.location.href%3D%27http%3...
[Bugku][Web][CTF] 16-29 write up
dadongwudi的博客
12-26 349
web16 备份是个好习惯 /index.php.bak 查看php代码 1.因为md5()函数加密不能处理数组,则key1和key2的返回值为空,即可获得flag http://123.206.87.240:8002/web16/?kkeyey1[]=1&kkeyey2[]=4 2.利用==比较漏洞 如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。 下列的字符串的MD5值都是0e开头的: QNKCDZO 2406
CTF代码审计
weixin_43749601的博客
10-20 2255
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 1、extract()函数使用数组键名作为变量名,使用数组键值作为变量的值,当变量中有
CTFweb)中的常见php函数意义与用法
qq_52907838的博客
04-05 1447
is_numeric()函数用于检测变量是否为数字或数字字符串, 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回空值,即 FALSE var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 看到eval(),想到可以用命令执行漏洞 strpos() 函数用于在字符串内查找一个字符或一段指定的文本,如果在字符串中找到匹配,该函数会返回第一个匹配的字符位置。如果未找到匹配,则返回 FALSE。 strlen函...
CTF中常见的php函数绕过(保持更新)
热门推荐
csu_vc的博客
11-03 1万+
is_numeric()用于判断是否是数字,通常配合数值判断is_numeric(@$a["param1"])?exit:NULL; if(@$a["param1"]){ ($a["param1"]>2017)?$v1=1:NULL; } //param1不能是数字,但又要比2017大,利用数组$pos = array_search("nudt",$a["param2"]); $pos ==
CTFPHP常见漏洞及利用(未完待续)
qq_34106499的博客
01-25 5240
总结ctf中出现的php漏洞及利用
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2558
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
php中ereg函数的截断漏洞
qq_25987491的博客
04-15 6534
.ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。int ereg(string pattern, string originalstring, [array regs]);例,$email_id = "admin@tutorialspoint.com";    $retval = ereg("(\.)(co...
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 8010
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术3 PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
PHP的ereg()与eregi()的不同及相同点。对比
phphot
11-06 2062
ereg()字符串比对解析。语法: int ereg(string pattern, string string, array [regs]);返回值: 整数/数组函数种类: 资料处理内容说明本函数以 pattern 的规则来解析比对字符串 string。比对结果返回的值放在数组参数 regs 之中,regs[0] 内容就是原字符串 string、regs[1] 为第一个合乎规则的字符串、regs
CTF挑战:Web安全漏洞——任意文件上传与下载实战
CTF(Capture The Flag)竞赛中,特别是在Web安全领域,"任意文件上传+任意文件下载"是一个常见的挑战,涉及到黑客技术的运用和Web应用程序的安全漏洞利用。这类题目通常要求参赛者通过精心构造的HTTP请求,上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值