Bugku CTF_Web——各种绕过哟

Bugku Web40 在kali中递归下载.git文件夹 wget -r http://ip_address/.git git reflog //查看执行的命令日志 git reset 13ce8d0 回退到该版本的版本库，如果不行就多试几个 这样就可以在原文件中看到flag.txt 检查源代码 点开网页跳转连接 检查源代码 复制链接地址用burp suite抓包 得到php网页文件 在题上打开 用php://filter...

<?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] == $...

看代码，就是需要三个参数，其中id和uname是get请求，passwd是post请求。然后uname和passed不能相等，但是他们的sha1值需要全等于（类型也要一样），id参数的值在url解码后为margin。当然，也可以在bp中直接更改加参数，我个人觉得hacker bar更加方便。再想想，如果都是数组的话经过加密后也是Null，那么这样对比应该也是一样的，于是尝试把uname和passwd改成数组。首先因为是英文margin，所以url加密后也是margin。尝试请求，结果flag出现，如下图。

http://123.206.87.240:8002/web7/ 点开链接，显示出需要绕过的代码，简单整理一下绕过条件 id、uname通过get方法传值，passwd通过post方法传值且如果想要进入内层循环必须传入uname和passwd uname和passwd弱类型不相等 uname和passwd加密后的值强相等 id字段url解码后=‘margin’ 通过简单的梳理本题...

最后构造payload ，bp要加个头部 Content-Type: application/x-www-form-urlencoded。sha1、md5 都能通过数组绕过；

这里就简单考察了一下同时判断get参数和post参数应该如何处理。这里离谱的就是只能用hackbar才行，用bp无法成功。一个明显的传参绕过题目。这是我最后构成的报文。

ctf练习之哈希绕后和简单代码审计

文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag：KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制，F12选中输入框，修改长度限制即可。 flag：flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET，只要我们传递的参数为what，并且内容为flag，即可输出flag。 flag：flag{bugku_get_su8

我们访问一下query.php源代码，发现在query.php下面有两个属性host和query，随后使用shell_exec调用本机whois，host和query被直接拼接进去，很容易想到多命令执行。其中我们观察到host和query都进行了正则过滤，host属性只允许数字、字母和“.”，“-”的输入。这里我们可以使用换行符“\n”绕过，它的url编码是%0a（这里是数字零，不是字母o），query后面接命令，我们查看一下目录下面有什么。我们观察到它叫我们cat它一下，那我们就来cat一下。

大佬的刷题记录：https://blog.csdn.net/mcmuyanga 1.CTF常见题型 CTF比赛通常包含的题目类型有七种，包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 MISC(Miscellaneous)类型，即安全杂项，题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 PPC(Professionally Program Coder)类型，即编程类题目，题目涉及到编程算法，相比ACM较为容易。 CRYPTO(Cryptography)

uname和passwd不能相等，但是sha1后要求相等，这里用到了php sha1绕过漏洞，技巧就是当传入数组时会报错，返回null，如果两个参数都传入数组时会直接相等.可以采用数组绕过的还有md5(),strpos(),strcmp()。另外如果采用==比较，可以利用php弱类型性质。这些数据经过md5加密后均为0e开头，会被视为科学计数法，值为0，所以相等。

题目链接：http://123.206.87.240:8002/web7/ <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['pas...

<?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname...

越靠后题目咋越简单呢 跟之前一样uname不等于passwd，sha1值不能一样 数组绕过即可 http://114.67.246.176:13863/?id=margin&uname[]=1 post带一个passwd[]=2 可得flag 参考视频链接：https://www.bilibili.com/video/BV1Jq4y1W7hr/ ...

打开题目，代码如下 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname...

打开打开       阅读代码 发现 只要使uname的sha1的值与passwd的sha1的值相等即可，但是同时他们两个的值又不能相等 构造 http://120.24.86.145:8002/web7/?uname[]=1&amp;id=margin   并发送  passwd[]=2 的 postdata 请求即可   依旧利用简单 有特别 好安装的  火狐 插件 ...

题目链接 <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] ==...