[WP/BUU/Unicode编码]BUUCTF Unicorn shop题解

最新推荐文章于 2025-09-19 14:30:11 发布
原创 最新推荐文章于 2025-09-19 14:30:11 发布 · 486 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客讲述了在ASIS2019中,作者通过测试一个名为Unicornshop的商店页面,发现商品购买存在输入验证漏洞。通过抓包工具发现,商品号和支付金额的输入限制为单个字符,并且通过分析编码,找到Unicode字符%u2181(代表罗马数字5000)可以绕过限制。作者成功构造请求,展示了如何利用这个漏洞进行安全测试。

[ASIS 2019]Unicorn shop

测试

商店页面,逻辑大致为输入相应的商品号和支付金额购买商品,

请添加图片描述

用1号商品抓包测试,

请添加图片描述

错误的商品,继续测试2、3均如此,直到4正常了

请添加图片描述

但是钱不够,输入更多钱

请添加图片描述

仅允许一个字符输入

分析

9999为四个字符,编码后也是如此

9999
%u0039%u0039%u0039%u0039

因此,我们需要找到一个代指的数字超过1337.0的单个字符,我们从Unicode编码库中寻找

https://www.compart.com/en/unicode/

请添加图片描述

%u2181满足要求,代指罗马数字5000

在刚刚抓到的burp包中将其编码,发送即可。

BUUCTF [ASIS 2019] Unicorn shop
Senimo
12-16 2688
BUUCTF [ASIS 2019] Unicorn shop 考点: 1. 启动靶机: 进入后是独角兽商店,首先尝试购买最贵的独角兽: 得到提示: 只允许输入一个字符,题目叫Unicorn,猜测为Unicode,做过类似的题 去compart搜索比千大的Unicode码,搜索:ten thousand: 选择Numeric Value大于1337的字符: 在页面传值: 得到flag 其实输入万: 也可以得到flag。 ...
BUUCTF:[ASIS 2019]Unicorn shop
qq_46230755的博客
12-21 596
进来后是一个这样子的页面 买独角兽????。前三种比较便宜,第四种比较贵。先查看一下源码,发现源码中对我们进行了提醒 源码叫我们要注意utf-8 我们对刚才两个窗口进行输入,发现输入id=1,price=2时,返回 输入id=2,price=10时,返回 题目提醒我们只能输一个字符,那一个字符可以买前三个????,那超过一个字符价格的????,就是我们要买的flag了。 为了绕过一个字符的限制,那就要找一个unicode,从别的师傅那拿了个unicode网站,从里面找一个代表50000的字符,超过13
[ASIS 2019]Unicorn shop
最新发布
积累只要,在专与勤
09-19 362
用一个字符表示数字,且大于1337
buuctf-[ASIS 2019]Unicorn shop(小宇特详解)
小宇的web博客
02-18 1797
buuctf-[ASIS 2019]Unicorn shop(小宇特详解) 先看题目 这里是购买独角兽的一个页面 下面的两个输入框,一个是输入id一个是输入价格 这里先尝试id1,和价格2 这里显示商品错误 然后尝试id,1,2,3都是一样的错误 id=4时,输入1337的错误是 在价格的输入框里只能输入一个字符 这里利用的漏洞是unicode安全问题,是关于Unionde等价性的漏洞 这里由于只能输入一个字符,所以这里利用了utf-8编码。 两个不同编码Unicode字符可能存在一定的等价性,这种
BUUCTF WEB unicorn_shop
qq_41696858的博客
12-20 1002
这题考的是编码的转换,或者说是编码漏洞,utf-8和unicode之间的差异 源码:https://github.com/Tiaonmmn/asis_2019_unicorn_shop 需要注意的文件: https://github.com/Tiaonmmn/asis_2019_unicorn_shop/blob/master/src/sshop/views/Shop.py 关注他的price哪里来的,在post方法里 price = urllib.unquote(price).decode(‘utf-8’
web buuctf [ASIS 2019]Unicorn shop
weixin_44214568的博客
04-01 381
考点:unicode 1. 2.查看源代码 提示和utf-8有关系 3.扫描啥的没有什么结果,想着用bp抓包进行sql注入 提示这个,就是只能输入一个字符 返回去看,前三个都是1个字符就能购买,只有第四个需要1337 4.尝试购买第四个,因为价格必须在1337以上,且必须是一个字符,在utf-8的编码条件下, Unicode - Compart可以利用该网站进行查找大于1337的字符,并且利用下面的utf编码,输入即可,其实汉语的万就行 ...
apachecn#apachecn-ctf-wiki#[WPBUUCTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUUCTF/BUU SQL COURSE 1
weixin_44041994的博客
03-19 1083
登录按钮点击后是一个登陆界面,随意输入字符点击后显示提示信息"用户名或密码错误",并且抓包发现是提交的POST请求,可以对该登录界面进行暴破操作,但是因为需要猜解两个字段内容且密码内容无提示,时间需求比较久,且需要较庞大的字典。通过判断可知contents表应为热点新闻的数据表,admin大概率为用户表,所以我们构建sql根据表名查询该表下的各字段名,成功得到字段名:id,username,password。热点按钮显示热点列表,有三个新闻,里面只有无意义的字符串,但是地址栏显示了/content/1。
buuctf-re题解(新手复盘wp
weixin_75137273的博客
11-17 460
声明:re新手 定时更新wpday 1。
BUU CODE REVIEW 1-[传送门->BUUCTF]
qwsn
11-23 8309
0x01、Web 1.BUU CODE REVIEW 1-[传送门->BUUCTF] 第一步:打开题目环境,点击链接,进行代码审计 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); //高亮显示当前页面源码 class BUU { //类:BUU public $correct = "";
uuctf-Unicorn shop----easy_web----CheckIN
qq_43613772的博客
08-06 773
1、[GKCTF2020]CheckIN 1、[GKCTF2020]CheckIN 代码审计: 首先发现eval函数,而且是base64加密通过Ginkgo传参。 构造url,查看phpinfo();,base64编码为cGhwaW5mbygpOw== http://afadb209-7e5c-4975-9f72-bede60b24a14.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 发现php版本为7.3 搜索Ginkgo发现参数已以base64方式传入 利用ev.
第四十六题——[ASIS 2019]Unicorn shop
分享简单的安全技术
04-27 317
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,一个购买页面 第二步:看到第四项价格一场,通过输入购买发现只能传入一个字符 第三步:按f12查看网页编码类型是:UTF8 第四步:使用uft8编码传入比1337大的数获取flag 通过utf8编码网页,查到比1337大的数据 使用burpsuite改包将数据上传上去获取flag ...
buuctf-[ASIS 2019] Unicorn shop
2202_75317918的博客
09-19 306
buuctf-[ASIS 2019] Unicorn shop
buuctf题解pingping
03-17
<think>好的,我现在需要解决用户关于BUUCTF中“Ping Ping Ping”题目的问题。首先,我要回忆一下这个题目的基本情况。根据用户提供的引用内容,题目主要涉及命令执行和绕过过滤的技巧。题目可能要求用户通过构造特定的命令来获取flag,而关键点在于如何绕过对空格的过滤。 用户引用了两个资料,其中提到过滤了空格,可以使用如${IFS}、$IFS$1、%09(Tab的URL编码)、%20(空格的URL编码)或者重定向符号来替代空格。另外,第二个引用提到目标服务器是Linux系统,严格区分大小写,可能需要查看index.php文件的内容。 接下来,我需要整理常见的绕过空格的方法,并结合题目中的过滤情况。可能的步骤包括: 1. 尝试执行基本的ping命令,但题目可能限制了命令的参数,需要利用管道或其他符号来执行额外命令。 2. 绕过空格过滤:使用${IFS}、${IFS$1}、%09等替代空格分隔命令参数。 3. 查看当前目录下的文件,使用ls命令,可能需要绕过空格的限制。 4. 读取flag文件,比如index.php,使用cat命令,同样需要注意空格的替代方式。 5. 如果遇到文件名中有特殊字符,可能需要用引号或转义字符来处理。 此外,可能还需要考虑其他过滤规则,比如是否过滤了分号、管道符等,这时候需要尝试其他连接命令的方式,如使用&&或者%0a(换行符的URL编码)来分割命令。 举个例子,假设题目允许用户输入IP地址,但实际会拼接成ping的命令执行。用户可以通过注入命令,比如在IP后加上;ls,但空格被过滤,所以需要用${IFS}代替。因此,payload可能类似于127.0.0.1;cat${IFS}index.php,从而读取文件内容。 另外,如果题目过滤了某些符号,比如$,可能需要换用其他替代方式,比如%09。或者使用变量拼接的方式绕过关键字过滤,比如将cat拆分为a=c;b=at; $a$b filename。 还需要注意,Linux系统区分大小写,所以尝试用大写绕过可能无效,但可以检查是否有其他命令可用,比如使用more代替cat,或者使用grep搜索文件内容。 总结可能的解题步骤: - 测试命令注入点,检查是否能够执行任意命令。 - 绕过空格限制,使用替代符号。 - 列出目录,找到flag文件的位置。 - 读取flag文件的内容,可能需要处理特殊字符或进一步绕过过滤。 在构造payload时,可能需要多次尝试不同的绕过方法,直到找到未被过滤的方式。同时,需要注意题目是否有其他过滤规则,如禁止某些命令或字符,这时候需要灵活调整策略。</think>### BUU CTF "Ping Ping Ping" 题目解析 #### 1. **题目背景** 题目通常要求通过Web参数注入实现命令执行,目标是通过绕过过滤规则读取服务器上的flag文件(如`flag.php`或`index.php`)。关键限制包括**空格过滤**和**特殊字符限制**。 --- #### 2. **解题步骤** ##### **Step 1: 测试命令注入** 尝试通过参数注入分隔符(如`;`、`|`、`%0a`)执行额外命令: ```bash # 示例:输入IP参数为 "127.0.0.1;ls" ping=127.0.0.1;ls ``` 若返回目录列表,说明注入成功[^2]。 ##### **Step 2: 绕过空格过滤** 题目可能过滤空格,需使用替代符号: - **方法1**: `$IFS` 或 `${IFS}` 示例:`cat$IFSindex.php` - **方法2**: `%09`(Tab的URL编码) 示例:`cat%09index.php` - **方法3**: 重定向符号 `<` 示例:`cat<index.php` [^1] ##### **Step 3: 列出目录文件** 确认flag文件名(可能为`flag.php`或`index.php`): ```bash # 使用ls命令 ping=127.0.0.1;ls ``` ##### **Step 4: 读取文件内容** 通过`cat`或`tac`命令读取文件,绕过空格限制: ```bash # 示例1:使用${IFS} ping=127.0.0.1;cat${IFS}index.php # 示例2:使用%09 ping=127.0.0.1;cat%09index.php ``` ##### **Step 5: 绕过其他过滤** - **过滤`cat`**: 使用`tac`、`more`、`tail`等替代。 - **过滤`flag`**: 使用通配符`*`或变量拼接: ```bash # 通配符示例 ping=127.0.0.1;cat${IFS}f* # 变量拼接示例(a=fl;b=ag; cat$a$b.php) ping=127.0.0.1;a=fl;b=ag;cat$a$b.php ``` --- #### 3. **最终Payload示例** 假设flag在`index.php`中且过滤了空格: ```bash # 使用${IFS}绕过空格 ping=127.0.0.1;cat${IFS}index.php # 或使用%09 ping=127.0.0.1;cat%09index.php ``` 返回结果中搜索`flag{`或`$flag`即可找到flag。 --- #### 4. **关键技巧总结** | 过滤项 | 绕过方法 | |-------------|-----------------------------| | 空格 | `$IFS`, `%09`, `<` | | 命令关键词 | 通配符`*`, 变量拼接 | | 文件名 | 引号包裹(`"flag.php"`) | ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值