知識點

拿到源碼后，就要考慮幾個繞過的方法：==的弱比較：0e和“字符串”；php的偽協(xié)議；eregi的繞過：%00的截斷（而\x00會將url后面的都截斷，我們的目的是在執(zhí)行到變量時實現(xiàn)截斷）和*123123。

解題流程

打開網(wǎng)頁如下

熟悉的?id=
看起來好像有sql注入,通過sqlmap跑一遍發(fā)現(xiàn)并沒有
F12查看一下源代碼

有注釋！，1p.html.查看一下這個網(wǎng)址。

跳轉(zhuǎn)到論壇了 ，Burp抓不到包因為跳轉(zhuǎn)處理在服務器
F12查看網(wǎng)絡

這里發(fā)現(xiàn)301重定向。
那要看1p.html,
通過burpsuite抓包了。

抓包后將網(wǎng)址改為/1p.html, Repeater

之間這串
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

明顯是base64加密
http://ctf.ssleye.com/base64.html在線解密一下

%22%3Bif(!%24_GET%5B’id’%5D)%0A%7B%0A%09header(‘Location%3A%20hello.php%3Fid%3D1’)%3B%0A%09exit()%3B%0A%7D%0A%24id%3D%24_GET%5B’id’%5D%3B%0A%24a%3D%24_GET%5B’a’%5D%3B%0A%24b%3D%24_GET%5B’b’%5D%3B%0Aif(stripos(%24a%2C’.’))%0A%7B%0A%09echo%20’no%20no%20no%20no%20no%20no%20no’%3B%0A%09return%20%3B%0A%7D%0A%24data%20%3D%20%40file_get_contents(%24a%2C’r’)%3B%0Aif(%24data%3D%3D%22bugku%20is%20a%20nice%20plateform!%22%20and%20%24id%3D%3D0%20and%20strlen(%24b)%3E5%20and%20eregi(%22111%22.substr(%24b%2C0%2C1)%2C%221114%22)%20and%20substr(%24b%2C0%2C1)!%3D4)%0A%7B%0A%09%24flag%20%3D%20%22flag%7B***********%7D%22%0A%7D%0Aelse%0A%7B%0A%09print%20%22never%20never%20never%20give%20up%20!!!%22%3B%0A%7D%0A%0A%0A%3F%3E

根據(jù)%3C來看Words變量應該是url編碼
這串有url碼，看著有點亂
http://ctf.ssleye.com/url.html解一下

<? if(!$_GET['id']) //如果無法通過get獲得id變量 或者 id=0執(zhí)行 {header('Location: hello.php?id=1'); //跳轉(zhuǎn)到hello.php文件設置id=1exit(); //退出腳本。 } $id=$_GET['id']; //通過get方式獲得其他文件的id變量 $a=$_GET['a']; //通過get方式獲得其他文件的a變量 $b=$_GET['b']; //通過get方式獲得其他文件的b變量 if(stripos($a,'.')) //$a文件里不能有.,但當'.'號在第一位時，因為字符串是從0開始的，所以函數(shù)會返回0，就可以通過判斷。 {echo 'no no no no no no no';return ; } $data = @file_get_contents($a,'r'); //將$a文件讀入到data里 if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4) {$flag = "flag{***********}" } else {print "never never never give up !!!"; } /* id== 0與if(!GET(‘id’))有突，于是令id=0e12345繞過，id為其他也可以stripos(字符串a(chǎn)，字符串b) 函數(shù)查找字符串b在字符串a(chǎn)里第一次出現(xiàn)的位置（不區(qū)分大小寫）。 stripos() 函數(shù)：查找字符串在另一字符串里第一次出現(xiàn)的位置（不區(qū)分大小寫）。 這個函數(shù)應該是想過濾掉‘.’號，但是當'.'號在第一位時，因為字符串是從0開始的，所以函數(shù)會返回0，就可以通過判斷。 返回值： 返回字符串在另一字符串里第一次出現(xiàn)的位置，如果沒有找到字符串則返回 FALSE。 注釋：字符串位置從 0 開始，不是從 1 開始。strlen() 函數(shù)返回字符串的長度file_get_contents 將整個文件讀入一個字符串 file_get_contents（）函數(shù)顯然是用來讀取文件的，但是我們并不知道網(wǎng)站有哪些文件，但是$a參數(shù)可以控制，利用a=php://input來控制文件內(nèi)容。 用$a=php://input通過php偽協(xié)議去繞過file_get_contents 源碼里變量 $data 是由 file_get_contents() 函數(shù)讀取變量 $a 的值而得，所以 $a 的值需為數(shù)據(jù)流。 在服務器里自定義一個內(nèi)容為 bugku is a nice plateform! 文件，再把此文件路徑賦值給 $a，顯然不太現(xiàn)實。因此這里用偽協(xié)議 php:// 來訪問輸入輸出的數(shù)據(jù)流，其內(nèi)php://input 可以訪問原始請求數(shù)據(jù)里的只讀流。這里令 $a = “php://input”，并在請求主體里提交字符串 bugku is a nice plateform!。substr(string,start,length) 函數(shù)：返回字符串的一部分。 substr() 函數(shù)返回字符串的一部分。 substr(string,start,length) ，length參數(shù)可選。如substr($b,0,1) 就是在參數(shù)b里面 ，從0開始返回1個長度的字符串 substr($b,0,1)就是取b參數(shù)的第一個字符。ereg() 函數(shù)或 eregi() 函數(shù)存在空字符截斷漏洞，即參數(shù)里的正則表達式或待匹配字符串遇到空字符則截斷丟棄后面的數(shù)據(jù)。 eregi() 截斷漏洞 CTF題做多了就知道 ereg() 函數(shù)或 eregi() 函數(shù)存在空字符截斷漏洞，即參數(shù)里的正則表達式或待匹配字符串遇到空字符則截斷丟棄后面的數(shù)據(jù)。 源碼里待匹配字符串（第二個參數(shù)）已確定為 “1114”，正則表達式（第一個參數(shù)）由“111”連接b的第一個字符組成，若令substr( b,0,1)=”\x00”,即滿足“1114”與“111”匹配。因此，這里假設$b=”\x0012345”,才能滿足以上的三個條件。eregi("111".substr($b,0,1),"1114") 就是判斷"1114"這個字符串里面是否有符合"111".substr($b,0,1)這個規(guī)則的 字符串 1114 要與字符串 111 連接變量 $b 的第一個字符構(gòu)成的正則表達式匹配 b的長度大于5,eregi("111".substr(b,0,1),“1114”)這個函數(shù)為b的正則匹配, substr(b的正則匹配,substr(b的正則匹配,substr(b,0,1)!=4這個說明$b開頭不能為4，所以我可令 $b=*123456id參數(shù)為字符時，比較時會轉(zhuǎn)為0在構(gòu)造變量 b 里的空字符時，過早將空字符 \x00 放入，在提交請求時導致請求頭截斷，繼而請求失敗，得不到響應。 因為 b 是 URL 查詢字符串里的變量，不應該在此放入空字符 \x00，而應該為空字符的 URL 編碼 %00。注意，雖然 b=%0012345 實際字符串長度為 8 字節(jié)，但在后臺腳本讀入數(shù)據(jù)時，會將 URL 編碼 %00 轉(zhuǎn)換成 1 字節(jié)。所以說，空字符應該在后臺腳本的變量里出現(xiàn)，而不是在 URL 查詢字符串變量里出現(xiàn)。構(gòu)造payload: http://114.67.246.176:13629/hello.php?id=a&a=php://input&b=111111 */?>

%00，？，*這三類特殊符號都可以用來繞過$b的判斷，前者為截斷空字符，后兩者為通配符

構(gòu)造payload:
http://114.67.246.176:13629/hello.php?id=a&a=1.1


構(gòu)造payload:
http://114.67.246.176:13629/hello.php?id=a&a=php://input&b=%0012345
http://114.67.246.176:13629/hello.php?id=asd&a=php://input&b=*111111
http://114.67.246.176:13629/hello.php?id=0e123&a=php://input&b=%0011111
?id=0e123456&a=php://input&b=*123456

總結(jié)

以上是生活随笔為你收集整理的BugkuCTF-WEB题give_up的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。