bugku(代码审计 wp)

最新推荐文章于 2024-05-16 10:07:40 发布
最新推荐文章于 2024-05-16 10:07:40 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaorouji/article/details/82292233
版权

extract变量覆盖

源码

<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan)){
    $content=trim(file_get_contents($flag));
    if($shiyan==$content){
        echo'flag{xxx}';
    }
    else{
        echo'Oh.no';
    }
}
?>

输入一个值shiyan,要求与flag相同,但是又不知道flag的值,还用了extract函数和file_get_contents函数,进行绕过

flag get√

strcmp比较字符串

源码

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
    if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
    //比较两个字符串(区分大小写)
    die('Flag: '.$flag);
    else
    print 'No';
}
?>

这里利用strcmp不能比较数组的漏洞

flag get√

urldecode二次编码绕过

源码

<?php
	if(eregi("hackerDJ",$_GET[id])) {
		echo("not allowed!");
		exit();
	}
	$_GET[id] = urldecode($_GET[id]);
	if($_GET[id] == "hackerDJ"){
		echo "Access granted!";
		echo "flag";
	}
?>

可以看到代码对id进行了一次url解码,这里有个知识点就是,当我们发送数据的时候,浏览器会自动对字符进行url编码,后台接收到数据又会自动解码,因为源码对hackerDJ进行了查找,为了绕过他,首先对url编码以后的hackerDJ进行又一次编码,然后就刚好让程序对其解码通过判断

payload

?id=%25%36%38%25%36%31%25%36%33%25%36%62%25%36%35%25%37%32%25%34%34%25%34%61

flag get√

md5()函数

源码

<?php
	error_reporting(0);
	$flag = 'flag{test}';
	if (isset($_GET['username']) and isset($_GET['password'])) {
		if ($_GET['username'] == $_GET['password'])
			print 'Your password can not be your username.';
		else if (md5($_GET['username']) === md5($_GET['password']))
			die('Flag: '.$flag);
		else
			print 'Invalid password';
	}
?>

又是典型的md5函数漏洞,不过这里有个坑就是它的md5的判断是三个等号,所以0e开头不能绕过了,只能用数组

flag get√

数组返回NULL绕过

源码

<?php
$flag = "flag";
if (isset ($_GET['password'])){
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
		echo 'You password must be alphanumeric';
	else if (strpos ($_GET['password'], '--') !== FALSE)
		die('Flag: ' . $flag);
	else
		echo 'Invalid password';
}
?>

用数组绕过ereg函数,后面再继续加减号

flag get√

弱类型整数大小比较绕过

源码

$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo $flag;

这题先判断是不是数字,是的话退出,不是的话继续下一步,用%00跟在数字后会判断为非数字,用%20也行,不过只能跟在数字后面

flag get√

sha()函数比较绕过

源码

<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password'])){
	var_dump($_GET['name']);
	echo " ";
	var_dump($_GET['password']);
	var_dump(sha1($_GET['name']));
	var_dump(sha1($_GET['password']));
	if ($_GET['name'] == $_GET['password'])
		echo 'Your password can not be your name!';
	else if (sha1($_GET['name']) === sha1($_GET['password']))
		die('Flag: '.$flag);
	else
		echo 'Invalid password.';
}
else
	echo 'Login first!';
?>

emmm,经典的sha函数漏洞

flag get√

md5加密相等绕过

源码

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
	if ($a != 'QNKCDZO' && $md51 == $md52) {
		echo "flag{*}";
	} else {
		echo "false!!!";
	}
}
else{echo "please input a";}
?>

emmm,0e开头的函数漏洞

flag get√

十六进制与数字比较

源码

<?php
error_reporting(0);
function noother_says_correct($temp){
	$flag = 'flag{test}';
	$one = ord('1'); //ord — 返回字符的 ASCII 码值
	$nine = ord('9'); //ord — 返回字符的 ASCII 码值
	$number = '3735929054';
	// Check all the input characters!
	for ($i = 0; $i < strlen($number); $i++){
		// Disallow all the digits!
		$digit = ord($temp{$i});
		if ( ($digit >= $one) && ($digit <= $nine) ){
			// Aha, digit not allowed!
			return "flase";
		}
	}
	if($number == $temp)
		return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

又不能是数字,又要与3735929054相等,用十六进制绕过

flag get√

变量覆盖

题目

真的是魔性的表情包(捂脸

变量覆盖过去改了b的值就行了

flag get√

ereg正则%00截断

源码

<?php
$flag = "xxx";
if (isset ($_GET['password'])){
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE){
		echo 'You password must be alphanumeric';
	}
	else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999){
		if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置{
			die('Flag: ' . $flag);
		}
		else{
			echo('- have not been found');
		}
	}
	else{
		echo 'Invalid password';
	}
}
?>

ereg函数用%00去截断

flag get√

strpos数组绕过

源码

<?php
$flag = "flag";
if (isset ($_GET['ctf'])) {
	if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
		echo '必须输入数字才行';
	else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
		die('Flag: '.$flag);
	else
		echo '骚年,继续努力吧啊~';
}
?>

ereg函数处理输入返回null,刚好绕过。strpos函数给他匹配到就行了

flag get√

数字验证正则绕过

源码

<?php
error_reporting(0);
$flag = 'flag{test}';
if ("POST" == $_SERVER['REQUEST_METHOD']){
	$password = $_POST['password'];
	if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)){ //preg_match — 执行一个正则表达式匹配
		echo 'flag';
		exit;
	}
	while (TRUE){
		$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
		if (6 > preg_match_all($reg, $password, $arr))
			break;
		$c = 0;
		$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母
		foreach ($ps as $pt){
			if (preg_match("/[[:$pt:]]+/", $password))
			$c += 1;
		}
		if ($c < 3) break;
		//>=3,必须包含四种类型三种与三种以上
		if ("42" == $password) echo $flag;
		else echo 'Wrong password';
		exit;
	}
}
?>

post一个值,位数小于12就行了

flag get√

简单的waf

进去看到you  are  not admin,找到源码看见

$a=isset($_GET["a"])?$_GET["a"]:'';
$b=isset($_GET["b"])?$_GET["b"]:'';
$c=isset($_GET["c"])?$_GET["c"]:'';
$d=isset($_GET["d"])?$_GET["d"]:'';
$e=isset($_GET['e'])?$_GET['e']:'';

if(preg_match('/php/i', $a)){
    die("This not allow pseudo protocol!");
}
if(preg_match('/\.\./', $a)){
    die("This also not allow!");
}

if((file_get_contents($a,'r')===$b)&&(file_get_contents($e,'r')==="I'm Administrator!")){
    echo "hello admin!<br>";
    if(preg_match("/flag/",$c)){
        echo "不能现在就给你flag哦";
        exit();
    }else{  
        include($c);
        if(preg_match('/base64/', $d)){
            die("No! you can't use it!");
        }
        $d = unserialize($d);
        echo $d;
    }  
}else{
    echo "you are not admin ! <br>";
}

首先要求a和b相同,e是I'm Administrator!,因为有两个地方有file_get_contets函数,而且a过滤了php

所以我现在服务器放个1.txt文件,内容写1,然后这个就能让a和b相等了,e用php://filter伪协议,c也可以用伪协议

可以看到,现在已经是可以绕过a和b的限制了,但是剩下的后台应该是有点问题,c没有触发waf,却没有回显,无法继续下去了

 

Xi4or0uji
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-代码审计
Alita_lxz的博客
10-30 289
BugkuCTF-WEB-第1题到第16题
Bugku 代码审计 wp
天跃
08-13 536
小白的总结,如有写错还请大佬们多指点,谢谢了! 代码审计: 1.extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { ec...
带你上分,顺便拿下CTF|BugKu 审计分析
最新发布
baimao__Ch的博客
05-16 263
flag被盗,赶紧溯源!一个shell.php 里面包含一个flag的text或者http筛选,右键,追踪流,http流得到flag:flag{This_is_a_f10g}
BugkuCTF的代码审计
weixin_41064688的博客
08-23 303
BugkuCTF代码审计 extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 分析 使用了extract函数会使传入的数据转换为变量名和变量的值 首先判断shiyan不为
BugkuCTF代码审计Writeup
Gard3nia的博客
02-03 627
前言 最近在读吴翰清先生的《白帽子讲Web安全》,可以说是萌新打开了自己新世界的大门,看了白帽子的PHP安全这一块内容,决定上手一些题目练一练基础,下面放上一些晚上练习的Bugku代码审计题目; 正文 extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_cont...
BUGKUCTF】代码审计wp
0nc3的博客
03-05 300
先放出解题情况,变量覆盖和绕过waf进不了就没做了 1.extract变量覆盖 题目链接:http://123.206.87.240:9009/1.php &amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content)...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
bugkctf 代码审计.md
04-01
学习的笔记,方便平时查看,bugkct代码审计wp,可以将我自己的见解分享给大家,使大家少走点弯路
bugku杂项题writeup
11-22
bugku杂项题writeup
Android sp&wp 测试代码
11-09
总之,`Android sp&wp 测试代码`项目旨在帮助开发者理解SharedPreferences和WakeLock的底层实现,通过C语言的角度揭示Android系统的一部分工作原理。通过学习和实践,可以加深对Android系统如何管理数据存储和电源...
bugku代码审计
极光时流
10-28 416
bugku代码审计extract变量覆盖strcmp比较字符串 extract变量覆盖 extract — 从数组中将变量导入到当前的符号表 int extract ( array &amp;amp;$array [, int $flags = EXTR_OVERWRITE [, string $prefix = NULL ]] ) 本函数用来将变量从数组中导入到当前的符号表中。 检查每个键名看是否可以作...
Bugku 代码审计
weixin_30852451的博客
08-12 602
0x01、extract变量覆盖 代码: <?php$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'flag{xxx}';}else{echo'Oh.no';}}?> GET型传入参数,如果变量...
一个非常简单的WAF绕过。。
weixin_34129696的博客
01-16 309
0x00 前言 确实是非常简单,如果是新手的话,我希望能给你带来一些思路,老鸟的话就emm... 0x01 起因 工具扫到了一个有sqlserver特性的站点通常出现这种错误信息,说明该站点配置不当,错误信息会直接显示,也没用强制类型转换的信息,那么一般就有报错型注入了!来检测一下却出现了WAF的信息 0x02 fuzz 遇到WAF首先得先看看是什么关键字触发了拦截请求,所以我们先进行简单的...
bugku 简单加密
qq_38807738的博客
12-20 754
打开题目,一串字符,猜到是凯撒加base64混合加密:  e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA 写个python脚本搞定 import base64 text = input("请输入密文") text1='' for i in text: t=chr(ord(i)-4) text1+=t pr...
BugKu -- XSS
小水池
08-11 2243
XSS 100 http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 打开页面提示XSS注入,但是没有注入点啊。。。百度提示在url上加id参数。。 试试 ?id=1,有回显1,这下有注入点了    构造xss   http://103.238.227.13:10089/?id=&lt;scri...
攻防世界 Bug
CyhDl666的博客
02-24 921
进入界面随便注册一个root账号 点击Manage 页面返回Sorry,You are not admin! 需要用 admin账号 注册发现该账号已经被注册过了 发现有一个Findpwd界面 可以重置密码 问题来了 我不知道admin账号的生日和地址 先尝试一下改自己前面申请的root账号 改一下密码试试 这里要一直抓包 改掉username为admin尝试了一下 依然是成功的 所以这里admin的账号的密码就被改了 用admin登录 进入manage界面有提示IP NOT allowed burp.
BUUCTF [HCTF 2018] admin
Senimo
12-10 971
BUUCTF [HCTF 2018] admin解法一:弱密码解法二:Flask伪造Session解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启动环境: 简洁的页面和一个菜单栏,菜单栏中包含登陆、注册功能 查看网页源码,发现提示: <!-- you are not admin --> 提示需要用admin用户登陆 解法一:弱密码 尝试使用admin登陆,密码123: 登陆成功,可以得到flag 首先注册正常的账户: test test
BUUCTF web admin (flask_session问题)
H4ppyD0g的博客
02-23 1384
检查源码,发现有注释<!-- you are not admin -->,应该是提示用admin账号登录。 两个功能,注册和登录,想到之前做过一个注册admin加空格的题,试了一下不成功。 然后老老实实注册一个普通用户 显示了自己的用户名,我们的目的因该是让自己的用户名变成admin才行。 change password只能修改自己账号的密码,没有漏洞。 post可能有xss漏洞,交...
多属性效用决策法WP法 C++代码
05-20
以下是一个简单的多属性效用决策法WP法的C++代码示例: ```c++ #include #include #include using namespace std; // 定义决策对象结构体 struct DecisionObject { string name; // 名称 vector<double> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值