buuctf Mark loves cat

已于 2022-03-29 20:26:28 修改
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: web 文章标签: php
于 2022-03-29 20:25:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52671379/article/details/123830494
本文介绍了一种利用网站.git文件泄露的方式,通过GitHack.py工具下载源码,并审计PHP文件来寻找并输出隐藏的Flag。文章详细分析了如何通过变量覆盖漏洞实现目标。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

buuctf Mark loves cat

打开是个静态页面,源码也无任何有用信息
在这里插入图片描述

dirsearch扫描后发现.git泄露
GitHack.py下载得到两个php文件,接下来就是代码审计:
flag.php:

<?php
$flag = file_get_contents('/flag');

index.php:

<?php
include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

echo "the flag is: ".$flag;

审计分析

第1条foreach语句,将POST的参数进行变量覆盖
第2条foreach语句,将GET的参数进行变量覆盖,与第1条有点区别是第1个的键值是y,第2个的键值是y,第2个的键值是y,2y其中有两个能利用变量覆盖输出flag,也就是说有两种方法第二个if语句中可以看到这里是输出的y 其中有两个能利用变量覆盖输出flag,也就是说有两种方法 第二个if语句中可以看到这里是输出的yflag,ifyds变量,那么我们就要通过变量覆盖达到yds=yds=yds=flag的效果,GET传参yds=flag,在第二个foreach语句中,首先是x=yds,x=yds,x=ydsy=flag,经过x=x = x=y也就变成了yds=yds=yds=flag
就可以利用exit(yds)将原来的yds)将原来的yds)flag输出

so payload:
GET: ?yds=flag

在这里插入图片描述
总结:
git源码泄露;(dirsearch扫描,GitHack.py下载)
$$导致变量覆盖漏洞

BUUCTF [BJDCTF2020]Mark loves cat
qtL0ng的博客
06-29 3381
打开题目 搜索一番没有任何发现; dirsearch扫描后发现.git泄露,GitHack.py下载源码: python GitHack.py http://b77333f7-af9a-4f4a-aad0-b328ef9c8369.node3.buuoj.cn/.git 得到两个php文件,接下来就是代码审计: flag.php: <?php $flag = file_get_contents('/flag'); index.php: <?php include 'flag.php';
buu做题笔记——[BJDCTF2020]Mark loves cat&[MRCTF2020]Ez_bypass&[GKCTF2020]CheckIN
weixin_46330722的博客
11-05 715
BUU[BJDCTF2020]Mark loves cat[MRCTF2020]Ez_bypass [BJDCTF2020]Mark loves cat 进入题目是一个博客首页 点了半天没找到可以利用的点,用dirsearch扫一下 扫到.git目录,用Githack把源码down下来 看一下关键代码 //flag.php <?php $flag = file_get_contents('/flag'); //index.php <?php include 'flag.php';
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
php代码审计之变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 import_request_variables变量覆盖 parse_str()变量覆盖 变量覆盖的种类 全局变量覆盖(PHP5.3.0废弃、PHP5.4.0移除) 当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单、cookie等 "; if(ini_get("Register_globals"))foreach ($_REQUEST as $k => $v) unset(${$k}); print $a; print $_GET[b]; ?> extract()变量覆盖 PHP extract()函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量值
[BJDCTF2020]Mark loves cat
qq_52907838的博客
06-08 342
打开环境,经过一番查找没有发现,后来dirsearch扫描后发现.git泄露,用git_extract下载得到flag.php和index.php
BUUCTF WEB [BJDCTF2020]Mark loves cat
Y1da的博客
04-28 913
BUUCTF WEB [BJDCTF2020]Mark loves cat 在源码中没有发现漏洞点,使用dirsearch扫描,发现.gti泄露 使用scrabble ./scrabble http://70f9aaf8-036c-44f0-b1f1-df263f120cfa.node4.buuoj.cn:81/ 得到flag.php和index.php文件 flag.php <?php $flag = file_get_contents('/flag'); index.php &
buuctf [BJDCTF2020]Mark loves cat 1
weixin_64659753的博客
05-28 529
buuctf [BJDCTF2020]Mark loves cat 1
web buuctf [BJDCTF2020]Mark loves cat1
weixin_44214568的博客
03-30 1098
考点: 1.git泄露 2.变量覆盖 1.打开靶机,先看robots.txt,并用dirsearch进行扫描 py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429 (使用dirsearch时,一定要设置好线程,不然扫不出来) 扫描发现错在.git泄露 2.利用githack把git文件抓下来 python2 GitHack.py http://f190
变量覆盖漏洞分析:从BUUCTF-Web-Mark loves cat挑战看PHP安全
文章提到了几种可能导致变量覆盖的常见场景,包括全局变量覆盖、extract()函数、遍历初始化变量、import_request_variables以及parse_str()函数的不恰当使用。此外,还介绍了如何利用变量覆盖漏洞,并通过一个具体的...
buuctf刷题
qq_41788704的博客
10-28 2168
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
BUUCTF-[BJDCTF2020]Mark loves cat
weixin_57938502的博客
11-20 503
用ctf-wscan扫一下 看着有点像git泄露,输入.git查看一下,发现是403拒绝访问,说明存在git泄露只不过我们没法访问 可以用lijiejie的GitHack下载一下 下载下来打开有两个文件。 flag.php内容是读取flag文件赋值给$flag变量 index.php打开在最下面有一段PHP代码 遍历传入的get参数,要求传入的参数的键为flag并且等于$x又要求$x不等于flag,满足要求就会退出脚本。(这个两个要求相互矛盾根本不可能完成)...
buuctf web mark loves cat
qq_41696858的博客
12-15 859
打开场景,是一个主页,先审计源码,发现很多a链接,但都是指向本页面的死链,没啥用 扫目录,python3 dirmap.py -i http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/ -lcf 扫出来一堆.git,那么就考虑git源码泄露 githacker --url http://bba5d728-52ed-427c-bf70-629b758fa581.node4.buuoj.cn:81/.git --folder result1
BUUCTF——Mark loves cat
最新发布
weixin_71914594的博客
05-05 504
进入靶场简单的看了一下功能点扫一下目录吧扫目录发现一个.git下一下源码看看找到个flag.php和index.php再看看index.php(代码有点长,所以只留了后面有用的)根据代码这道题应该有几种解法一个一个来吧。
------已搬运-------BUUCTF:[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
Zero_Adam的博客
02-12 512
主要锻炼一下变量覆盖那些绕绕的东西。 git泄露,,这个还没好,等问问班长的 获得源码后: index.php <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } foreach($_GET as $x => $y
BUUCTF 我有一个数据库 Mark loves cat
wwwwyyyrre的博客
04-03 393
得到flag flag{4281d569-f7c1-4095-91cf-975c2e8a9a2d}这个是4.8.1版本的数据库有漏洞可以利用(CVE-2018-12613)这里利用的就是exit函数里面的三个 handsome yds is来绕过。打开链接 没看到有用的信息 查看源代码也没有什么信息 尝试扫一下后台。这一块的意思是 post传参 输入$x=$y 回显就是$$x=$y。这一块的意思是 get传参 输入$x=$y 回显是$$x=$$y。打开图片是乱码 源代码也没有任何的东西 扫描一下后台。
BUUCTF [BJDCTF2020]Mark loves cat个人解题思路
2301_79843470的博客
02-29 880
利用变量覆盖漏洞将yds覆盖成flag,直接使用GET传递yds=flag,当遇到下面这个循环时,yds会被覆盖成flag(其实这个应该有三种解题思路,这是其中一种,刚接触php的题,我也是一知半解)即可,不过我这边下载的时候出现了点问题,下载的git_extract.py是个空白文件。发现下载了两个文件:index.php和flag.php。那我对此的解决方法是在本地下载然后拖进kali里面。首先查看源代码,并开始扫描敏感文件,发现有git泄露。的下载方式,下载网站是这个。
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
qq_43622442的博客
05-04 8816
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞) 这几天被学生机折磨死了,第一次用好多不熟练,刷个题压压惊。 1.拿到网站,发现所有的超链接都是指向自己的:(两种答案都在最后) 2.扫描目录找到 .git 泄露: (做ctf题要习惯用dirsearch,而且要调低线程): dirsearch.py -u url -e * --timeout=2 -t 1 ...
[BJDCTF2020]Mark loves cat(3种解法)
m0_64118193的博客
07-12 3080
练习靶场:BUUCTF 题目搜索:[BJDCTF2020]Mark loves cat靶机启动后的界面 步骤1:我们使用工具dirsearch扫描目录,观察是否有信息泄露 结论存在Git泄露,我们使用工具GitHack获取信息,得到一个index.php 相关知识点 exit函数的作用是输出一则消息并且终止当前脚本。 如果一段文本中包括多个以 ?>结束的脚本,则exit退出当前所在脚本,exit()函数这里存在一个突破点 foreach()函数这里存在了变量覆盖第二个if语句中可以看到这里是
[BJDCTF2020]Mark loves cat -wp
freerats的博客
07-30 411
页面打开后长这样。 扫描器扫一下,发现是git泄露。 用githack提取一下 flag.php index.php <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } fo.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值