bugku-代码审计 writeup

最新推荐文章于 2025-06-12 11:36:29 发布
原创 最新推荐文章于 2025-06-12 11:36:29 发布 · 6.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bugku #代码审计 #十六进制与数字比较 #数字验证正则绕过 #弱类型整数大小比较绕过

代码审计

在做bugku 代码审计的题时,发现有好多函数的绕过是之前没留意到的,记录一下

1.extract变量覆盖

题目地址:http://120.24.86.145:9009/1.php

<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>

extract()使用参考:http://www.w3school.com.cn/php/func_array_extract.asp

解题方法:

GET请求?flag=&shiyan=extract()会将$flag$gift的值覆盖了,将变量的值设置为空或者不存在的文件就满足$gift == $content

PAYLOAD:http://120.24.86.145:9009/1.php?flag=&shiyan=

2.strcmp比较字符串

题目地址:http://120.24.86.145:9009/6.php

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>

PHP的strcmp()函数在PHP5.3版本之前使用数组可以绕过验证

strcmp()用法参考
函数期望传入的类型是字符串类型的数据,要是我们传入非字符串类型的数据的话,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0 。也就是说虽然报了错,但却判定其相等了,也就绕过了判断。

PAYLOAD:http://120.24.86.145:9009/6.php?a[]=1

3.urldecode二次编码绕过

题目地址:http://120.24.86.145:9009/10.php

<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("

not allowed!
");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "

Access granted!
";
echo "

flag
";
}
?>

eregi()是不区分大小写的正则匹配

字符串比对解析。

语法: int eregi(string pattern, string string, array [regs]);

返回值: 整数/数组

函数种类: 资料处理

解题思路:将hackerDJ使用小葵进行两次URL编码

得到%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41

使用GET将id传进去

PAYLOAD:http://120.24.86.145:9009/10.php?id=%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41

4.md5()函数

最低0.47元/天 解锁文章

200万优质内容无限畅学
bugku 日志审计
爱党人士
08-20 1803
不得不说,这是bugku流量分析中挺复杂的一道流量分析题。 下载后是一个txt 不用pcap的原因应该是可能怕我们提取数据太麻烦,写脚本不好写,因此直接给个txt文件。 那么先打开txt文件分析, 这个已经很友善了,网址那里已经sqli_blind提示了, 那么这就是一道sql盲注复现的流量分析。 知识点: sql二分法盲注 一些sql常见语句 分析正常字符出现的条件 写脚本进行数据提取(ps:...
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4710
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
BUGKU------十六进制数字比较
Y4tacker的博客
07-28 7410
首先代码审计 函数要求变量temp不能存在1 9之间的数字,最后,又要求temp不能存在1~9之间的数字, 最后,又要求temp不能存在1 9之间的数字,最后,又要求temp=3735929054; 这本来是自相矛盾的,但php在转码时会把16进制转化为十进制.于是把 3735929054转换成16进制为0xdeadc0de,记得带上0x; 构造payload?password=0xdeadc0de即可得到flag ...
BugKu Web渗透之MD5
最新发布
cai_huaer的博客
06-12 328
md5大家应该都清楚,是一种哈希函数,大多数用于验证数据是否一致。而 collision 是碰撞的意思。碰撞就是不同的两个值,通过函数计算,结果相同的意思。我尝试用get请求去传参,随意在后面写了一个a=333,测试结果为:false。那么我就想到了,当md5值计算结果为0e开头的,php中都判断为相等的。思考他的提示,please input a——请输入a。于是尝试找一个md5值为0e开头的。既然有返回,那说明方法是对的。我在网页上到处点了下,没发现可以输入的地方。首先,了解下哈希函数的三个特性。
Bugku——十六进制数字比较
王嘟嘟的博客
11-02 1206
0x00 前言 今日份CTF。 2018年11月2日 题目 0x01 start 首先来看看源码 &lt;?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag{test}'; $one = ord('1'); //ord — 返回字符的 ASCII 码值 $nine = ord('9'); //...
bugku-web-点login咋没反应-个人笔记
sunquan705的博客
11-10 967
bugku-web-点login咋没反应-个人笔记
pwnthebox刷题(ereg截断函数&某py request脚本)
weixin_63231007的博客
05-17 592
[pwnthebox] 对方不想和你说话,并向你扔了一段代码 php中extract()函数存在变量覆盖漏洞,所以讲url后面加上 /?a=&b=,$a和$b变量内容为空字符串造成两个的值相等,或者直接就 /a= ,也行。得到flag。 [pwnthebox] 你给我一个满意的数字,我就给你flag! 查看源码,发现index.php.txt.访问得到了源码: 审计后发现,需要满足: if (isset ( $_POST ['num'] )) { if (@ereg ( "^[1-
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3828
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 4269
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
bugku-点了login没反应 writeup
Peithon的博客
04-28 2442
题目 flag.php bugku这道点了login没反应的题,当时做的时候也是一路艰辛,写下writeup记录解题过程 1.访问http://120.24.86.145:8002/flagphp/ 2.提示是hint,试试get一个hint参数,得到源码 3.代码审计 $cookie = $_COOKIE['ISecer']; 若unserialize($...
php代码审计(二)
以梦为马,不负韶华
11-30 1050
PHP审计的第二次作业
bugku-web-点login咋没反应
qq_75121443的博客
04-15 502
请求114.67.175.224:13051这个地址,而不是114.67.175.224:13051?,先得到字符串ctf.bugku.com的序列号参数s:13:"ctf.bugku.com";这里让在cookie中添加参数BUGKU,并使参数为字符串类型ctf.bugku.com。这里在cookie中添加参数BUGKU,并将字符串的序列号参数填入为值。访问后看到一个注释,叫尝试?在页面源码中看到一个css文件。并看到构建的表是post请求。
CTF-PHP代码审计正则表达式记录
江湖
06-08 6032
1.flag In the variable ! &lt;?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ ...
php strpos函数踩坑记
fmyzc的博客
07-02 888
        $a = 'abcd';$b = 'b';$c = 'a';echo strpos($a,$b) ? '原来是兄弟&lt;br/&gt;' : '非我族类,砍ta&lt;br/&gt;';echo strpos($a,$c) ? '原来是兄弟&lt;br/&gt;' : '非我族类,砍ta&lt;br/&gt;';echo strpos($a,$c)!=false ? '原来是兄弟...
bugku代码审计 wp)
Xi4or0uji
09-02 1904
extract变量覆盖 源码 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)){ $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; } else{ ech...
Bugku——弱类型整数大小比较绕过
王嘟嘟的博客
10-31 2343
0x00 前言 今日份CTF送上。 2018年10月31日 题目 0x01 Start $temp = $_GET['password']; is_numeric($temp)?die("no numeric"):NULL; if($temp&gt;1336){ echo $flag; 这个就是源码。 简单的分析一下 is_numeric 其实这里就是先判断是不是数字。 然后再判断这个数字是...
关于bugku中urldecode二次编码绕过的问题
Ch_an_ger的博客
07-08 379
关键点:通过GET的方式传的值,不管在传参之前有没有加密过,在传参的时候浏览器就会自动将其解密一次。 而对于字符串hackerDJ,即使对其全部进行加密,经过浏览器解密后仍是hackerDJ这个原型,不能满足解答条件,此时应是对经过url加密的hackerDJ的url码进行二次加密,这样即使经过浏览器解码,GET数组里的参依然不会是hackerDJ,而是它的一次加密码,这样经过后面的urldeco...
PHP代码审计(ereg截断漏洞)
qq_36609913的博客
02-10 5438
&lt;?php $flag = "flag"; if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '&lt;p&gt;You password must be alphanumeric&lt;/p&gt;'; } els...
PHP数据类型转换
weixin_34146410的博客
07-06 218
PHP的数据类型转换属于强制转换,允许转换的PHP数据类型有: (int)、(integer):转换成××× (float)、(double)、(real):转换成浮点型 (string):转换成字符串 (bool)、(boolean):转换成布尔类型 (array):转换成数组 (object):转换成对象 PHP数据类型有三种转换方式: 在要转...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值