NJCTF 2017 web Writeup

最新推荐文章于 2024-08-16 11:30:21 发布
最新推荐文章于 2024-08-16 11:30:21 发布
阅读量9k 收藏 2
点赞数 1
分类专栏: WriteUp Web 文章标签: web ctf writeup njctf2017
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19876131/article/details/61918399
版权
本文是关于NJCTF 2017 Web挑战的详细解析,包括web100 Login的二次注入,web300 Be Admin的CBC字节翻转攻击,以及其他如web350 Text wall的反序列化漏洞利用等。通过这些挑战,作者展示了CTF中常见的Web安全技巧和漏洞利用方法。
摘要由CSDN通过智能技术生成

NJCTF 2017 web Writeup

新博客地址:http://bendawang.site/article/NJCTF-2017-web-Writeup(ps:短期内csdn和新博客会同步更新)
第一次做题做到差点吐血,好多web啊。。。。最后有两个还没有做出来,一道是come on,注入题,始终觉得返回值太诡异了,看不懂,于是giveup,一道是ruby拿道,不会ruby,最后也没时间去看了,所以就抛弃了。回头去看大佬们的题解了只能。总之题目质量还是可以的。

web100 Login

第一题找到这个登陆界面随便注册一个登进去之后发现在getflag.php界面下有打印了自己的用户名。第一反应是二次注入,随便构造一个提交发现注册成功,而且我多点几次任然注册成功,因为用户名不能重复的,所以想到这里有长度限制试了下发现是50,所以这样就可以想办法重置admin的密码,如下:

这里写图片描述

这样就成功重置admin的密码,登进去就拿到flag了。

web100 Get Flag

这里随便输入观察下发现服务器会cat你输入的东西,那么很好办,直接用&来进行执行自己的命令就好了,这里;什么的都被过滤了。
然后就不停的向上ls最终flag在服务器的根目录下面,如下图:

这里写图片描述

web300 Be Admin

首先通过备份文件拿到源代码如下:

<?php
error_reporting(0);
define("SECRET_KEY", "......");
define("METHOD", "aes-128-cbc");

session_start();

function get_random_token(){
   
    $random_token='';
    for($i=0;$i<16;$i++){
        $random_token.=chr(rand(1,255));
    }
    return $random_token;
}

function get_identity()
{
   
    global $defaultId;
    $j = $defaultId;
    $token = get_random_token();
    $c = openssl_encrypt($j, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
    $_SESSION['id'] = base64_encode($c);
    setcookie("ID", base64_encode($c));
    setcookie("token", base64_encode($token));
    if ($j === 'admin') {
        $_SESSION['isadmin'] = true;
    } else $_SESSION['isadmin'] = false;

}

function test_identity()
{
   
    if (!isset($_COOKIE["token"]))
        return array();
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        if ($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_COOKIE["token"]))) {
            if ($u === 'admin') {
                $_SESSION['isadmin'] = true;
            } else $_SESSION['isadmin'] = false;
        } else {
            die("ERROR!");
        }
    }
}

function login($encrypted_pass, $pass)
{
   
    $encrypted_pass = base64_decode($encrypted_pass);
    $iv = substr($encrypted_pass, 0, 16);
    $cipher = substr($encrypted_pass, 16);
    $password = openssl_decrypt($cipher, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv);
    return $password == $pass;
}



function need_login($message = NULL) {
   
    echo "   <!doctype html>
        <html>
        <head>
        <meta charset=\"UTF-8\">
        <title>Login</title>
        <link rel=\"stylesheet\" href=\"CSS/target.css\">
            <script src=\"https://cdnjs.cloudflare.com/ajax/libs/prefixfree/1.0.7/prefixfree.min.js\"></script>
        </head>
        <body>";
    if (isset($message)) {
        echo "  <div>" . $message . "</div>\n";
    }
    echo "<form method=\"POST\" action=''>
            <div class=\"body\"></div>
                <div class=\"grad\"></div>
                    <div class=\"header\">
                        <div>Log<span>In</span></div>
                    </div>
                    <br>
                    <div class=\"login\">
                        <input type=\"text\" placeholder=\"username\" name=\"username\">
                        <input type=\"password\" placeholder=\"password\" name=\"password\">               
                        <input type=\"submit\" value=\"Login\">
                    </div>
                     <script src='http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js'></script>
            </form>
        </body>
    </html>";
}

function show_homepage() {
   
    echo "<!doctype html>
<html>
<head><title>Login</title></head>
<body>";
    global $flag;
    printf("Hello ~~~ ctfer! ");
    if ($_SESSION["isadmin"])
        echo $flag;
    echo "<div><a href=\"logout.php\">Log out</a></div>
</body>
</html>";

}

if (isset($_POST['username']) && isset($_POST['password'])) {
    $username = (string)$_POST[
最低0.47元/天 解锁文章
Bendawang
关注
专栏目录
NJCTF2017 线上赛 web 题解 By Assassin
Assassin
03-18 7108
Login打开以后出现一个登陆页面,下面有一个注册用户的链接。 打开申请界面 看着申请的密码还有要求不知道是不是题目的关键点。 我们先申请一个账号登陆一下看看,发现是这样的 尝试申请一下admin发现已经存在了那么本题的知识点是mysql变量名在输入太长的时候会被截断!!那么我们就可以构造不是admin但是阶段后是admin的用户名payload: username=admin
2017 NJCTF Web Guess
wywwzjj
12-30 1774
PHP 伪随机数安全问题
NJCTF 2017-messager
fa1c4的blog
01-26 1393
先checksec 打开了partial RELRO, canary, NX 可以自建flag, 打本地 echo "flag{Mine}" > flag 运行, 然后netstat查看端口 port: 5555 分析main函数流程 是用socket通信, 其中有读取flag到buf的过程 sub_400BC6是发送flag, 所以要劫持的进程目的返回地址有了: 0x400BC6 利用fork的子进程与父进程同canary特性, 进行canary爆破, 拿到canary后覆盖返回地址劫持流程到s
CTF刷题1】ctfshow菜狗杯Misc部分writeup
star3119391396的博客
08-16 550
题目来源:ctf秀菜狗杯。
2017NJCTF get flag writeup
Aurora的博客
03-12 1158
 题目网址:http://218.2.197.235:23725/         打开题目是一个输入框,是输入文件名来搜索图片的功能。随便输入aaa跳转到了另一个页面,是一张读不出来的图片。查看源代码可看到        查了一下是基于RFC2397的一种URL格式,可以直接嵌入网页显示的一种数据显示方式。base64后面是base64编码的语句,解密一
NJCTF-2017-web-writeup
dengzhasong7076的博客
03-15 608
记录一下这次比赛web一些有意思的题 Be Logical(450) http://218.2.197.235:23739/ 注册账号密码进去后发现大概是一个,积分可以转换为金币,然后再历史纪录里面又可以将金币转换为积分。 第一个感觉肯定这个是逻辑漏洞,感觉积分和金币之间转换的时候,可以利用多线程来跑一下。 在积分转换为金币的页面得知Sign.php,后面猜解文件泄漏为.Sign.php...
2017 redhat writeup.docx
最新发布
08-24
2017 redhat writeup
[2021东华杯]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
网络安全管理职业技能竞赛Web writeup1
08-03
网络安全管理职业技能竞赛Web writeup1 在本次网络安全管理职业技能竞赛Web writeup中,我们将探讨Web安全领域中的一个CTF挑战,涵盖了SQL注入、错误信息处理、Web应用安全等多个方面的知识点。 SQL注入 在本挑战...
Writeup of NJUPT CTF platform's some easy Reverse
cossack9989的博客
10-30 1137
NJUPT的CTF平台上的逆向题对于新手(比如我)来说,还是很不错的,这里给出第二题和第四题的wp~如有写的不妥的地方请指出哦
NJCTF WEB Writeup
4ct10n
03-18 5898
Login 首先创建id 登陆进去 发现要用admin登陆 首先用爆破想想不可能 其次利用注册重新注册admin 一开始想的是利用SQL注释等注册但发现不行 其次就想到长度限制&空格漏洞 'guest'= 'guest ' 首先绕过重名检测 ,接着设置了长度限制之后用空格漏洞注册注册admin Get Flag随便输入试
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3548
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
NTUCTF web——admin
weixin_45664911的博客
11-26 415
admin 打开网页,看到右上角,注册一个账号并登录。 查看源代码 “你不是管理者!” 那就去注册一个name为管理者的账号,发现是成功不了的 GitHub是用于版本控制和协作的代码托管平台。它使您和其他人可以在任何地方共同处理项目。 这题有使用到github,可以参考文章(https://www.runoob.com/w3cnote/git-guide.html) github使用教程:h...
BUUCTF WEB ESAYLOGIN
qq_41696858的博客
03-15 5551
登录注册首想二次注入,但是注册成功以后发现连个回显点都没有,所以这条路就断了 然后随便注册一个账号,有个getflag按钮,点击发现权限不够。这里就想到要伪造身份绕过了 审计注册页面源码,发现/static/js/app.js目录 看看,发现hint /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ 百度一下,看看koa是个啥,原来是个nodejs的web框架 function login() { const username
“百度杯” CTF比赛 十月场 Web-登录
qq_34106499的博客
02-18 1538
1. mysql盲注及脚本编写 2. .git泄露
“百度杯” CTF比赛 九月场 Web-Login
qq_34106499的博客
01-17 639
1. 审查源码需要仔细认真; 2. 抓包查看请求头和响应头,关注陌生属性; 3. php中反序列化的应用; 4.base64编码的使用 5. gzcompress()压缩及gzuncompress()解压的应用。
ctf wed login.php,HCTF2018-WEB-详细Write up
weixin_39943926的博客
03-27 694
良心比赛,这次的web题质量很高,做的很爽,跟着Delta的师傅们也学到了不少东西,发现自己还是tcl跟大佬们差得很远。Warmup参考:https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/ 根据提示找到source.phpclass emmm{public static function check...
CTF第十五天
qq_52680097的博客
08-29 514
JSON Web Token 关于JWT,下面是一些资料 添加链接描述 添加链接描述 简单来说,就是身份验证的payload 敏感信息泄露 1.随便登录一个账号后再网页工具的“网络”查看token 2.解密 添加链接描述 3.将上面和下面拼成flag值就行 无签名 1.在pycharm中加入pyjwt库,下面是安装教程 添加链接描述 2.运行以下脚本 import jwt payload={ "username": "admin", "password": "admin", "role":
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值