------已搬运-------BUUCTF:[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)

最新推荐文章于 2025-05-05 14:19:44 发布
原创 最新推荐文章于 2025-05-05 14:19:44 发布 · 535 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文介绍了在BJDCTF2020的Mark loves cat挑战中如何利用变量覆盖漏洞解题。通过git泄露获取源码后,作者探讨了如何通过设置不同的请求参数,如GET的'yds'和'is',来覆盖变量并最终获取flag。解题关键在于理解exit()函数也可作为输出,并利用这一特性进行变量操纵。

主要锻炼一下变量覆盖那些绕绕的东西。

git泄露,,这个还没好,等问问班长的

获得源码后:

index.php

<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
     $$x = $y;
}
foreach($_GET as $x => $y){
    $$x = $$y;
}
foreach($_GET as $x => $y){/*参数中flag的值绝对某个键值,且键名不能有flag*/
     if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
     }
}
/*get方法键名不能够 flag,post中也不能有键名为 flag的*/
if(!isset($_GET['flag']) && !isset($_POST['flag'])){//不存在get型flag参数, 且,不存在post型flag参数
     exit($yds);
}
/*get方法键名不能够 flag,post中也不能有键名为 flag的*/
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){//不存在get型flag参数, 且,不存在post型flag参数
     exit($is);
}
echo "the flag is: ".$flag;

flag.php

<?php//$flag就是最终的flag内容
$flag = file_get_contents('/flag');

我的想法是,,直接走走走,一直到最后echo出flag来,,,
但是不会做。看WP后恍然大悟,exit也是输出啊。是吧
那就输出这三个变量,就让这三个字符串变成变量名,指向$flag就好了嘛,这不就有了变量覆盖的思路了么。

假设走第一个exit()
$handsome = 'yds';
foreach($_POST as $x => $y){
     $$x = $y;
}
foreach($_GET as $x => $y){
    $$x = $$y;
}
/*参数中flag的值绝对某个键值,且键名不能有flag*/
foreach($_GET as $x => $y){
     if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
     }
}

键名不能有flag,而且又要键名为flag的键值等于其中一个键名,
不能有,又要求相等,,进不去,换下一个

第二个:
$yds = "dog";
foreach($_POST as $x => $y){
     $$x = $y;
}
foreach($_GET as $x => $y){
    $$x = $$y;
}
/*get方法键名不能够 flag,post中也不能有键名为 flag的*/
if(!isset($_GET['flag']) && !isset($_POST['flag'])){//不存在get型flag参数, 且,不存在post型flag参数
     exit($yds);
}

GET:yds=flag

他输出$yds。我们只需让$yds=$flag就好了,能能够出flag了
$$x=$$y$x=yds,$y=flag.
也就是 $($x)=$yds , $($y)=$flag。所以,$yds=$flag$flag就是那个字符串,$yds=ctf{*******}
exit($yds)。就是echo $flag。就出flag了
再走第三个:
<?php
include 'flag.php';
$is = "cat";
foreach($_POST as $x => $y){
     $$x = $y;
}
foreach($_GET as $x => $y){
    $$x = $$y;
}
/*get方法键名不能够 flag,post中也不能有键名为 flag的*/
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){//不存在get型flag参数, 且,不存在post型flag参数
     exit($is);
}

先看post这条路 flag=flag

$flag=flag。好了,原本的flag{**********}被我们换成 flag字符串了,,整没了,所以不行。

那再看get这条路flag=flag

$flag=$flag。对于flag没有影响。

然后和上面那个一样,get:is=flag就好
参考自:https://blog.youkuaiyun.com/qq_43622442/article/details/105925473

Zero_Adam
关注
BUUCTF-[BJDCTF2020]Mark loves cat
weixin_57938502的博客
11-20 535
用ctf-wscan扫一下 看着有点像git泄露,输入.git查看一下,发现是403拒绝访问,说明存在git泄露只不过我们没法访问 可以用lijiejie的GitHack下载一下 下载下来打开有两个文件。 flag.php内容是读取flag文件赋值给$flag变量 index.php打开在最下面有一段PHP代码 遍历传入的get参数,要求传入的参数的键为flag并且等于$x又要求$x不等于flag,满足要求就会退出脚本。(这个两个要求相互矛盾根本不可能完成)...
buuctf [BJDCTF2020]Mark loves cat 1
weixin_64659753的博客
05-28 637
buuctf [BJDCTF2020]Mark loves cat 1
[BJDCTF2020]Mark loves cat1 --三种解法 不会编程的崽的博客
不会编程的崽的博客
02-05 1017
ctf mark loves cat
[BJDCTF2020]Mark loves cat
qq_52907838的博客
06-08 365
打开环境,经过一番查找没有发现,后来dirsearch扫描后发现.git泄露,用git_extract下载得到flag.php和index.php
buuctf web mark loves cat
qq_41696858的博客
12-15 891
打开场景,是一个主页,先审计源码,发现很多a链接,但都是指向本页面的死链,没啥用 扫目录,python3 dirmap.py -i http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/ -lcf 扫出来一堆.git,那么就考虑git源码泄露 githacker --url http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/.git --folder result1
AEC-Q102-002:2020 Board Flex Test(电路板柔性测试 )- 完整英文电子版(5页)
11-12
完整英文电子版AEC-Q102-002:2020 Board Flex Test - (电路板柔性测试)。本规范建立了确定表面贴装光电元件承受印刷电路板在搬运和组装过程中产生的弯曲、弯曲和拉力的能力的程序和标准。
行业资料-交通装置-一种两用气瓶搬运车.zip
09-11
行业资料-交通装置-一种两用气瓶搬运车.zip
行业文档-设计装置-一种服装搬运纸箱.zip
08-27
在本压缩包“行业文档-设计装置-一种服装搬运纸箱.zip”中,主要包含了一份名为“一种服装搬运纸箱.pdf”的文档,该文档详细介绍了针对服装搬运领域的一种创新设计——服装搬运纸箱。这个设计旨在提高服装物流过程中...
payload-dumper-go-1.3.0-darwin-arm64.tar
最新发布
09-19
payload-dumper-go 提取boot.img github地址:https://github.com/ssut/payload-dumper-go
行业资料-交通装置-一种搬运车的搬运架.zip
08-17
行业资料-交通装置-一种搬运车的搬运架.zip
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
php代码审计之变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 import_request_variables变量覆盖 parse_str()变量覆盖 变量覆盖的种类 全局变量覆盖(PHP5.3.0废弃、PHP5.4.0移除) 当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单、cookie等 "; if(ini_get("Register_globals"))foreach ($_REQUEST as $k => $v) unset(${$k}); print $a; print $_GET[b]; ?> extract()变量覆盖 PHP extract()函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量
BUUCTF WEB [BJDCTF2020]Mark loves cat
Y1da的博客
04-28 994
BUUCTF WEB [BJDCTF2020]Mark loves cat 在源码中没有发现漏洞点,使用dirsearch扫描,发现.gti泄露 使用scrabble ./scrabble http://70f9aaf8-036c-44f0-b1f1-df263f120cfa.node4.buuoj.cn:81/ 得到flag.php和index.php文件 flag.php <?php $flag = file_get_contents('/flag'); index.php &
buuctf Mark loves cat
qq_52671379的博客
03-29 1207
buuctf Mark loves cat
BUUCTF [BJDCTF2020]Mark loves cat个人解题思路
2301_79843470的博客
02-29 1000
利用变量覆盖漏洞将yds覆盖成flag,直接使用GET传递yds=flag,当遇到下面这个循环时,yds会被覆盖成flag(其实这个应该有三种解题思路,这是其中一种,刚接触php的题,我也是一知半解)即可,不过我这边下载的时候出现了点问题,下载的git_extract.py是个空白文件。发现下载了两个文件:index.php和flag.php。那我对此的解决方法是在本地下载然后拖进kali里面。首先查看源代码,并开始扫描敏感文件,发现有git泄露。的下载方式,下载网站是这个。
BUUCTF——Mark loves cat
weixin_71914594的博客
05-05 547
进入靶场简单的看了一下功能点扫一下目录吧扫目录发现一个.git下一下源码看看找到个flag.php和index.php再看看index.php(代码有点长,所以只留了后面有用的)根据代码这道题应该有几种解法一个一个来吧。
[BJDCTF2020]Mark loves cat(.git源码泄露与代码审计之变量覆盖漏洞
qq_44111753的博客
02-04 385
知识点: php中$$用来定义可变变量 解题: <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; #若传入x=y,则$x=y } foreach($_GET as $x => $y){ $$x = $$y; #若传入x=y,则$x=$y } foreach($_GET as $x =&
web buuctf [BJDCTF2020]Mark loves cat1
weixin_44214568的博客
03-30 1127
考点: 1.git泄露 2.变量覆盖 1.打开靶机,先看robots.txt,并用dirsearch进行扫描 py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429 (使用dirsearch时,一定要设置好线程,不然扫不出来) 扫描发现错在.git泄露 2.利用githack把git文件抓下来 python2 GitHack.py http://f190
2020/7/08 - [BJDCTF2020]Mark loves cat - git源码泄露/$$变量覆盖
抒情诗
07-08 319
文章目录可以利用yds就是原值为cat的那个最终payload 首先用dirsearch扫描一下目录,发现/.git源码泄露,使用githack将源码下载下来,在github里面搜lijiejie的githack,真的很好用,点一大波赞,下面是index.php里有用的内容 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x
BUUCTF 我有一个数据库 Mark loves cat
wwwwyyyrre的博客
04-03 423
得到flag flag{4281d569-f7c1-4095-91cf-975c2e8a9a2d}这个是4.8.1版本的数据库有漏洞可以利用(CVE-2018-12613)这里利用的就是exit函数里面的三个 handsome yds is来绕过。打开链接 没看到有用的信息 查看源代码也没有什么信息 尝试扫一下后台。这一块的意思是 post传参 输入$x=$y 回显就是$$x=$y。这一块的意思是 get传参 输入$x=$y 回显是$$x=$$y。打开图片是乱码 源代码也没有任何的东西 扫描一下后台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值