Bugku 各种绕过

PHP安全绕过与Payload构造
最新推荐文章于 2025-10-24 11:51:37 发布
原创 最新推荐文章于 2025-10-24 11:51:37 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bugku #ctf #web #网络安全

本文解析了一段PHP代码中的安全检查机制,通过分析id、uname和passwd字段的处理方式,揭示了如何利用sha1函数对数组处理的特性来绕过安全验证,最终成功获取flag。

http://123.206.87.240:8002/web7/

点开链接,显示出需要绕过的代码,简单整理一下绕过条件

  1. id、uname通过get方法传值,passwd通过post方法传值且如果想要进入内层循环必须传入uname和passwd
  2. uname和passwd弱类型不相等
  3. uname和passwd加密后的值强相等
  4. id字段url解码后=‘margin’

通过简单的梳理本题的思路已然明了,id字段只是迷惑,'margin'解码后的值仍然是'margin',要满足2和3只需要利用sha1函数无法处理数组的特性即可。当对sha1()函数传入数组时会返回null,由此,只需要传入两个不同的数组即可成功绕过。

 <?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
    if ($_GET['uname'] == $_POST['passwd'])

        print 'passwd can not be uname.';

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))

        die('Flag: '.$flag);

    else

        print 'sorry!';

}
?>

构造payload如下

可以看到顺利拿到了flag:

Bugku CTF_Web——各种绕过
weixin_71914594的博客
10-25 1496
如果 uname 和 passwd 的 sha1 哈希值相等,且 $_GET[‘id’] 等于 ‘margin’,则会输出 Flag: flag{xxxxxxxxxxxxxxxxxx},即打印出 $flag 的值。首先判断 $_GET[‘uname’] 是否等于 $_POST[‘passwd’],如果两者相等,则会输出 “passwd can not be uname.”,并不满足获取 $flag 的条件。$_GET[‘uname’] 和 $_POST[‘passwd’] 的 sha1 哈希值相等。
BugkuCTF_Web——“各种绕过”、“web8”、“细心”
Ho1aAs‘s Blog
10-24 598
文章目录一、“各种绕过”二、“web8”三、“细心”完 一、“各种绕过” 访问环境,审计代码 需要POST$passwd,GET$id和$uname 而且passwd和uname需要绕过sha1函数,并且二者值不等,这里考虑数组绕过 做法如下: 二、“web8” 题目提示txt 访问环境,先审计代码 第二行进行了变量覆盖,需要将文件名赋给$fn,将文件内容赋给$ac,就能获得flag 根据提示,尝试访问flag.txt 因此直接获得flag flag{3cfb7a90fc0de31} 三、“
bugku-web-各种绕过
qq_75121443的博客
04-12 692
这里就简单考察了一下同时判断get参数和post参数应该如何处理。这里离谱的就是只能用hackbar才行,用bp无法成功。一个明显的传参绕过题目。这是我最后构成的报文。
Bugku-Web题目-各种绕过
最新发布
2401_86518996的博客
10-24 393
经过观察,题目要求上传三个变量,以 get 方式传递 id 和 uname 两个变量,以 POST 方式传递 passwd 变量。PHP的 sha1() 函数在处理数组时,会返回 NULL ,那么,如果 uname 和 passwd 都是数组,那么就能满足条件。要求 uname 和 passwd 二者值的sha1哈希值相等,并且“id”的值为margin。打开bp和内置浏览器,先通过url框以get方式提交 id 和 uname ,并开启拦截模式。将底下的参数移到url那边,并将passwd加上。
bugkuCTF 各种绕过
qq_44682929的博客
09-09 480
uname和passwd不能相等,但是sha1后要求相等,这里用到了php sha1绕过漏洞,技巧就是当传入数组时会报错,返回null,如果两个参数都传入数组时会直接相等.可以采用数组绕过的还有md5(),strpos(),strcmp()。另外如果采用==比较,可以利用php弱类型性质。这些数据经过md5加密后均为0e开头,会被视为科学计数法,值为0,所以相等。
Bugku_web_各种绕过
qq_68457525的博客
07-14 449
ctf练习之哈希绕后和简单代码审计
Bugku 各种绕过
weixin_57938502的博客
11-21 2564
Bugku Web40 在kali中递归下载.git文件夹 wget -r http://ip_address/.git git reflog //查看执行的命令日志 git reset 13ce8d0 回退到该版本的版本库,如果不行就多试几个 这样就可以在原文件中看到flag.txt 检查源代码 点开网页跳转连接 检查源代码 复制链接地址用burp suite抓包 得到php网页文件 在题上打开 用php://filter...
ctf php代码审计 绕过,Bugku CTF 之代码审计解题记录
weixin_35870524的博客
04-11 1006
前言此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧extract变量覆盖extract($_GET):$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量file_ge...
bugku】安慰奖(绕过__wakeup)
EC_Carrot的博客
12-24 1082
题目 右键源代码发现<!-- YmFja3Vwcw== -->,base64解码提示说有备份 我这里用dirsearch扫到备份文件为index.php.bak 源码: error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4742
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
bugku 各种绕过
xlcvv的博客
11-08 690
题目链接:http://123.206.87.240:8002/web7/ <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['pas...
ctf.bugku-各种绕过
guanrongl的专栏
10-10 619
最后构造payload ,bp要加个头部 Content-Type: application/x-www-form-urlencoded。sha1、md5 都能通过数组绕过
bugku WEB 各种绕过
qq_41696858的博客
07-16 347
越靠后题目咋越简单呢 跟之前一样uname不等于passwd,sha1值不能一样 数组绕过即可 http://114.67.246.176:13863/?id=margin&uname[]=1 post带一个passwd[]=2 可得flag 参考视频链接:https://www.bilibili.com/video/BV1Jq4y1W7hr/ ...
bugku | 各种绕过
diemaoye6838的博客
09-13 354
<?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname...
bugku各种绕过
qq_44598397的博客
09-27 270
题目要求uname!=passwd。但是他们的SHA1值要相同。且id值为margin 利用PHP的sha1漏洞,当参数为数组时返回false,===判断成立
bugku——各种绕过
吃肉唐僧的博客
09-01 564
打开题目,代码如下 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname...
bugku ctf 各种绕过 (各种绕过哟)
qq_42777804的博客
08-17 6947
打开打开       阅读代码 发现 只要使uname的sha1的值与passwd的sha1的值相等即可,但是同时他们两个的值又不能相等 构造 http://120.24.86.145:8002/web7/?uname[]=1&amp;id=margin   并发送  passwd[]=2 的 postdata 请求即可   依旧利用简单 有特别 好安装的  火狐 插件 ...
bugku之各种绕过
Seaern的博客
09-05 462
题目链接 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] ==...
bugku web-各种绕过
weixin_46578840的博客
08-09 254
打开网址得到代码 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] == $_POST['passwd']) print 'passwd can not be
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值