Bugku-CTF之never give up

最新推荐文章于 2024-05-21 21:44:07 发布
最新推荐文章于 2024-05-21 21:44:07 发布
阅读量339 收藏 1
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/0yst3r-2046/p/10766897.html
版权

Day23

 

never give up

 

http://123.206.87.240:8006/test/hello.php

 

 
本题要点:url编码,base64编码,代码审计,php函数
 
 
 查看源码~
 
访问1p.html
http://123.206.87.240:8006/test/1p.html
 
发现时bugku主页 
查看一下源码
view-source:http://123.206.87.240:8006/test/1p.html
 
url解码得到:
 
 
<script>window.location.href=' http://www.bugku.com';</script>
<!--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-->
 
 
发现还有一层base64
 
解密
 
 
 
又是一层url~
继续解密
发现是这样的一段代码
 
<!--";if(!$_GET['id'])          #限制 URL 查询字符串中必须有非空非零变量 id
{
    header('Location: hello.php?id=1');
    exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))               #限制变量 $a 中不能含有字符 .
{
    echo 'no no no no no no no';
    return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)             
#要满足以下 5 条表达式才会爆 flag(见代码后面)
#变量 $data 弱等于字符串 bugku is a nice plateform!  
{
    require("f4l2a3g.txt");
}
else
{
    print "never never never give up !!!";
}
 
 
?>-->
 
 
 
5条表达式~
  • 变量 $id 弱等于整型数 0
  • 变量 $b 的长度大于 5
  • 字符串 1114 要与字符串 111 连接变量 $b 的第一个字符构成的正则表达式匹配
  • 变量 $b 的第一个字符弱不等于整型数 4
  • 变量 $data 弱等于字符串 bugku is a nice plateform! 

 

 

查一下php的手册,https://php.net/manual/zh/types.comparisons.php

 
 
 
 
PHP 伪协议
php:// - 访问各种I / O流
 
查一下php的手册~~~
参考:https://www.php.net/manual/en/wrappers.php.php
 
源码中变量 $data 是由 file_get_contents() 函数读取变量 $a 的值而得,所以 $a 的值必须为数据流。
 
在服务器中自定义一个内容为 bugku is a nice plateform! 文件,再把此文件路径赋值给 $a,显然不太靠谱。
 
因此这里用伪协议 php:// 来访问输入输出的数据流,其中 php://input可以访问原始请求数据中的只读流。
这里令 $a = "php://input",并在请求主体中提交字符串 bugku is a nice plateform!。
 
 
 
再次需要查查php手册了~~
 
参考:https://php.net/manual/en/function.eregi.php
 
eregi() 截断漏洞
 
ereg() 函数或 eregi() 函数存在空字符截断漏洞,即参数中的正则表达式或待匹配字符串遇到空字符则截断丢弃后面的数据。
 
源码中待匹配字符串(第二个参数)已确定为 "1114",正则表达式(第一个参数)由 "111" 连接 $b 的第一个字符组成,若令 substr($b,0,1) = "\x00",即满足 "1114" 与 "111"匹配。因此,这里假设 $b = "\x0012345",才能满足条件。
 
 
 
回到题目中
 
构造 payload
 
分析出以上三个变量应该等于什么值之后
接下来构造出对应的 payload 去 拿flag 了。
 
注意一点~
在构造变量 b 中的空字符时,过早将空字符 \x00 放入,在提交请求时导致请求头截断,继而请求失败,得不到响应。
 
因为
 

 

所以构造下面语句
 
 
 
 
或者有一种投机取巧的方法,直接访问~
 
 
 
 
 
完成!
 
 
参考资料:
https://php.net/manual/zh/types.comparisons.php
https://www.php.net/manual/en/wrappers.php.php
https://php.net/manual/en/function.eregi.php
 

转载于:https://www.cnblogs.com/0yst3r-2046/p/10766897.html

weixin_34262482
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugku ctf never give up
qq_42777804的博客
05-18 844
先打开网站 就这么一句话 never never never give up !!! 查看源码 发现 这个 1p.html 那我们构造 http://123.206.87.240:8006/test/1p.html 进行访问 发现 发现跳转回Bugku的主站 那么接下来用burp 抓包(这个抓包工具一定要会用呀 !!!) "%3Cscri...
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
bugku--never_give_up
qq_64201116的博客
07-05 2806
超细保姆级别教学,从0到1,做黑客?你也可以
Bugku never_give_up
lzu_lfl的博客
10-09 554
编码、文件包含、通配符绕过、若比较绕过
Bugku---web---never_give_up
最新发布
weixin_47450099的博客
05-21 1371
内有弱类型比较,通配符*,伪协议等概念
【转】bugku never give up 详解
qq_41333578的博客
06-18 3438
0x00 前言 此题为 Web 基础题,难度中低,需要的基础知识有:HTML、PHP、HTTP 协议。 首先考查发现源码的能力,其次重点考查 PHP 黑魔法的使用,相关链接如下: 题目链接:http://123.206.31.85/challenges#never give up 解题链接:http://120.24.86.145:8006/test/hello.php 0x01 拦截跳转 点开...
never_give_up——bugku
m0_46607055的博客
10-30 686
前言 一个很老的题目了。两前年有个投机取巧的题解。 直接访问f4l2a3g.txt 得到flag。 现在修复了,必须按部就班的做。 那、来吧。 解题过程 访问靶场、查看源码,发现有1p.html 访问会跳转到https://www.bugku.com/ 用burp拦截一下试试 (写笔记复现的时候没有拦截成功。但是第一遍确实是没问题的。) 在p1.html的源码里发现有注释 <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3...
[bugku]never_give_up
qq_51979295的博客
09-22 306
never give up!!!!
google-ctf:Google CTF
02-04
Google CTF 该存储库列出了2017-2019 Google CTF中使用的大多数挑战以及可用于运行这些挑战的大多数基础结构。 重要信息-2017、2018、2019和2020文件夹中的代码具有未修复的安全漏洞。 这些是故意存在的,并且在...
网络安全培训-CTF之隐写
12-16
网络安全培训-CTF之隐写 网络安全培训-CTF之隐写是指在CTF(Capture The Flag)比赛中的一种隐写挑战,旨在培养参与者的安全技能和思维能力。隐写是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的...
saigar-ctf:Saigar CTF 平台
05-29
赛加尔CTF世界上第一个众包调查的 CTF 平台介绍Saigar CTF 是一个开源 CTF 平台,用于促进众包调查,可以扩展到数百个具有实时数据的并发用户。 Saigar CTF 平台促成的最大事件有500 多个用户,在6 小时内提交了8,...
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 5x5结果 学分 R2D2基地是从通过
SQLi-CTF-master.zip
04-09
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种安全挑战来获取积分,而SQLi-CTF通常是指在CTF比赛中涉及SQL注入的特定类型挑战。 在SQL注入攻击中,攻击者可以向应用程序输入恶意的SQL代码,以...
bugku never_give_up
qq_51796436的博客
12-13 2309
打开题目f12有提示,打开后跳转到bugku首页,直接view-source查看源码 view-source:http://114.67.175.224:11378/1p.html php源码在-- --之间,前面可以看到一个javascript的bugku.com的跳转。 源码被base64+urlencode过,先base64在urldecode 得到源码如下: if(!$_GET['id']) { header('Location: hello.php?id=1');//id为空则重定向至hell
BUGKU——秋名山/never give up
qq_44832048的博客
11-10 431
** 秋名山老司机 ** 先上链接:http://123.206.87.240:8002/qiumingshan/ 打开之后是这样一串数字,使用burpsuite抓包但是没用, 只能通过写一个脚本通过post请求`` import re import requests url='http://123.206.87.240:8002/qiumingshan/' s = requests.Sessio...
BUGKU-WEB never_give_up
天泽岁月
03-13 1147
BUGKU-WEB never_give_up,eregi函数漏洞,%00截断
bugku never_give_up file_get_contents()有php://input漏洞 eregi \x00绕过
YouthBelief的博客
03-07 3016
bugku never_give_up0x00 never_give_up0x01 解题流程1.1查看首页 及源码1.2 访问1p.html1.3解码1.4 分析代码1.5 payload 0x00 never_give_up 0x01 解题流程 1.1查看首页 及源码 发现一个页面 访问 1.2 访问1p.html 自动跳转到主页 直接查看源码 得到JS代码 其中申明 words变量 和OutWord()方法 将 escape解码后的words变量写入页面中。 words 变量 经过 url编码
Bugku-CTF never give up
qtL0ng的博客
03-27 3688
Bugku-CTF之never give up 首先查看源码: 访问1p.html http://123.206.87.240:8006/test/1p.html 发现直接跳转到了bugku主页 应该是有重定向的代码,那直接看源代码就行,输入view-source:http://114.67.175.224:17070/1p.html 得到源码: <HTML> <HEAD> <SCRIPT LANGUAGE="Javascript"> <!-- var Words
never_give_up--CTF--Bugku
逆旅行人的博客
05-07 958
never_give_up–CTFBugku做了一道非常典型的题目
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值