Bugku 各种绕过

最新推荐文章于 2025-06-12 17:08:53 发布
最新推荐文章于 2025-06-12 17:08:53 发布
阅读量1.3k 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: bugku ctf web 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a1004070060/article/details/93914166
本文解析了一段PHP代码中的安全检查机制,通过分析id、uname和passwd字段的处理方式,揭示了如何利用sha1函数对数组处理的特性来绕过安全验证,最终成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://123.206.87.240:8002/web7/

点开链接,显示出需要绕过的代码,简单整理一下绕过条件

  1. id、uname通过get方法传值,passwd通过post方法传值且如果想要进入内层循环必须传入uname和passwd
  2. uname和passwd弱类型不相等
  3. uname和passwd加密后的值强相等
  4. id字段url解码后=‘margin’

通过简单的梳理本题的思路已然明了,id字段只是迷惑,'margin'解码后的值仍然是'margin',要满足2和3只需要利用sha1函数无法处理数组的特性即可。当对sha1()函数传入数组时会返回null,由此,只需要传入两个不同的数组即可成功绕过。

 <?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
    if ($_GET['uname'] == $_POST['passwd'])

        print 'passwd can not be uname.';

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))

        die('Flag: '.$flag);

    else

        print 'sorry!';

}
?>

构造payload如下

可以看到顺利拿到了flag:

Bugku CTF_Web——各种绕过
weixin_71914594的博客
10-25 1368
如果 uname 和 passwd 的 sha1 哈希值相等,且 $_GET[‘id’] 等于 ‘margin’,则会输出 Flag: flag{xxxxxxxxxxxxxxxxxx},即打印出 $flag 的值。首先判断 $_GET[‘uname’] 是否等于 $_POST[‘passwd’],如果两者相等,则会输出 “passwd can not be uname.”,并不满足获取 $flag 的条件。$_GET[‘uname’] 和 $_POST[‘passwd’] 的 sha1 哈希值相等。
ctf php代码审计 绕过,Bugku CTF 之代码审计解题记录
weixin_35870524的博客
04-11 968
前言此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧extract变量覆盖extract($_GET):$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量file_ge...
bugku-web-各种绕过
qq_75121443的博客
04-12 543
这里就简单考察了一下同时判断get参数和post参数应该如何处理。这里离谱的就是只能用hackbar才行,用bp无法成功。一个明显的传参绕过题目。这是我最后构成的报文。
BugKu Web渗透之各种绕过
最新发布
cai_huaer的博客
06-12 344
看代码,就是需要三个参数,其中id和uname是get请求,passwd是post请求。然后uname和passed不能相等,但是他们的sha1值需要全等于(类型也要一样),id参数的值在url解码后为margin。当然,也可以在bp中直接更改加参数,我个人觉得hacker bar更加方便。再想想,如果都是数组的话经过加密后也是Null,那么这样对比应该也是一样的,于是尝试把uname和passwd改成数组。首先因为是英文margin,所以url加密后也是margin。尝试请求,结果flag出现,如下图。
bugkuCTF 各种绕过
qq_44682929的博客
09-09 426
uname和passwd不能相等,但是sha1后要求相等,这里用到了php sha1绕过漏洞,技巧就是当传入数组时会报错,返回null,如果两个参数都传入数组时会直接相等.可以采用数组绕过的还有md5(),strpos(),strcmp()。另外如果采用==比较,可以利用php弱类型性质。这些数据经过md5加密后均为0e开头,会被视为科学计数法,值为0,所以相等。
Bugku_web_各种绕过
qq_68457525的博客
07-14 398
ctf练习之哈希绕后和简单代码审计
Bugku 各种绕过
weixin_57938502的博客
11-21 2525
Bugku Web40 在kali中递归下载.git文件夹 wget -r http://ip_address/.git git reflog //查看执行的命令日志 git reset 13ce8d0 回退到该版本的版本库,如果不行就多试几个 这样就可以在原文件中看到flag.txt 检查源代码 点开网页跳转连接 检查源代码 复制链接地址用burp suite抓包 得到php网页文件 在题上打开 用php://filter...
Bugku 文件包含2 writeup 绕过过滤
zazazrt的博客
02-18 1810
首先附上网站源码http://123.206.31.85:49166/ index.php &lt;!-- upload.php --&gt; &lt;?php if(!isset($_GET['file'])) { header('Location: ./index.php?file=hello.php'); exit(); } ...
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4697
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
20210221CTF小记之bugkuCTF冬至红包(短标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制)
qq_45290991的博客
02-22 2455
今天做了一道很恶心的题目,话不多说,先上结果图: 我们先来分析代码: 当没有用GET方法传入flag时,会显示Click here的链接。 点击链接会用GET方法传入一串字符串$exam,后面是当前时间的一串sha1哈希值。 判断传入的flag长度与$exam是否相同,不同则显示 长度不允许 第二个判断过滤了一大堆 第三个判断传入flag的值等于flag值的哈希值,正确就输出flag。用的是严格的三个等号的比较,我们flag都不知道,哈希值更不可能知道了,== 但容易发现此处存在任意代码.
bugku 各种绕过
xlcvv的博客
11-08 661
题目链接:http://123.206.87.240:8002/web7/ <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['pas...
ctf.bugku-各种绕过
guanrongl的专栏
10-10 491
最后构造payload ,bp要加个头部 Content-Type: application/x-www-form-urlencoded。sha1、md5 都能通过数组绕过
bugku WEB 各种绕过
qq_41696858的博客
07-16 317
越靠后题目咋越简单呢 跟之前一样uname不等于passwd,sha1值不能一样 数组绕过即可 http://114.67.246.176:13863/?id=margin&uname[]=1 post带一个passwd[]=2 可得flag 参考视频链接:https://www.bilibili.com/video/BV1Jq4y1W7hr/ ...
bugku | 各种绕过
diemaoye6838的博客
09-13 342
<?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname...
bugku各种绕过
qq_44598397的博客
09-27 252
题目要求uname!=passwd。但是他们的SHA1值要相同。且id值为margin 利用PHP的sha1漏洞,当参数为数组时返回false,===判断成立
bugku——各种绕过
吃肉唐僧的博客
09-01 545
打开题目,代码如下 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname...
bugku之各种绕过
Seaern的博客
09-05 430
题目链接 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] ==...
Bugku web——各种绕过
qq_40481505的博客
09-24 691
打开题目连接,获得源码: <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['unam...
eavl bugku
03-31
<think>好的,我现在需要处理用户关于“eavl”和“bugku”相关的IT问题或开源项目的查询。首先,注意到用户可能拼写错误,正确的术语应该是“eval”而不是“eavl”。用户提到了“bugku-eval”,这可能与CTF(Capture The Flag)挑战或安全相关的问题有关。 首先,根据用户提供的引用内容,引用[1]提到Python中的eval()函数,涉及到局部名字空间的问题。引用[2]和[3]都涉及“bugku-eval”,可能是指某个具体的CTF题目,比如在Bugku平台上的eval挑战,通常这类题目会考察代码注入或安全漏洞。 接下来,我需要确认用户的需求:他们可能想了解eval函数的安全风险,或者如何解决Bugku平台上的eval相关题目,或者寻找相关的开源项目。由于用户提到“IT问题或开源项目”,需要覆盖这两个方面。 关于eval的安全问题,eval函数在Python中执行字符串形式的代码,如果不加限制地使用用户输入,可能导致代码注入攻击。例如,用户提供的引用[2]中,request请求获取hello的信息,可能涉及通过eval执行用户提供的输入,从而引发安全漏洞。 在CTF题目中,如Bugku的eval挑战,常见解法包括绕过黑名单过滤、构造特定payload来执行命令或读取文件。例如,使用__import__函数加载模块,或者利用字符串拼接绕过关键字过滤。 至于开源项目,可能需要查找与eval安全相关的工具或框架,例如静态代码分析工具检测eval的使用,或者CTF解题工具库。 需要确保回答结构清晰,分点说明,并引用提供的参考资料。同时,生成相关问题,帮助用户深入理解主题。</think>根据您提供的信息,"eavl" 可能是 "eval" 的拼写错误,而 "bugku-eval" 可能指向CTF竞赛中的代码审计类题目。以下是相关技术解析: ### 一、eval函数安全漏洞解析 在Python中,$eval()$ 函数会将字符串作为表达式解析执行,存在以下安全隐患: 1. **任意代码执行**:若直接执行用户输入如 $eval(input())$,攻击者可构造 `__import__('os').system('rm -rf /')` 等危险指令 2. **局部命名空间穿透**:如代码使用 $locals()$ 或 $globals()$ 作为命名空间参数,可能导致敏感变量泄露[^1] ```python # 危险示例 user_input = "os.system('reboot')" eval(user_input, {'__builtins__': None}, locals()) # 仍可能被绕过 ``` ### 二、Bugku-eval题型实战 引用[2]中提到的CTF题目通常要求通过构造特殊payload获取flag: 1. **基础解法**:使用 `__import__` 加载模块 ```python eval("__import__('os').listdir('/')") # 查看目录文件 ``` 2. **过滤绕过技巧**: - 字符串拼接:`"__im"+"port__('os').system('ls')"` - 十六进制编码:`eval("\x5f\x5fimport__('os').system('ls')")` ### 三、相关开源项目推荐 1. **PyT**(Python Taint) - GitHub项目:https://github.com/python-security/pyt - 用途:静态代码分析工具,可检测eval函数的使用风险 2. **CTFd** 平台 - 官方仓库:https://github.com/CTFd/CTFd - 特点:开源CTF竞赛平台,包含各类Web安全题目容器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值