i春秋GetFlag-flag{c80e979a-2e12-4616-9c03-e1019b1426ee}

最新推荐文章于 2024-05-11 22:10:54 发布
最新推荐文章于 2024-05-11 22:10:54 发布
阅读量430 收藏
点赞数
分类专栏: ctf 文章标签: php python perl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hkk1151043545/article/details/120787812
版权

进去是个提示界面,提示我们这是个迷你文件管理系统,我们需要登录然后下载文件再获得flag。

然后我们查看源码,没什么信息,点login进去查看源码,没什么信息

下方出现了一个substr(md5(captcha), 0, 6)=7619f5

然后下面有个Captcha:的输入框,每次刷新captcha也会变化。貌似这个captcha会一直变化,类似于验证码一类的东西。

然后分析这个captcha,他是先对captcha进行md5加密,然后输出其前六位。这里我们需要破解这个获取正确的captcha。

这里附上一个dalao的python脚本。链接:https://www.cnblogs.com/leixiao-/p/9785148.html

import requests
import base64
import sys
import hashlib

def getMd5(index):
    for i in range(100000,100000000):
        x = i
        md5 = hashlib.md5(str(x).encode("utf8")).hexdigest()
        if md5[0:6] == index:
            return x;
print(getMd5("7619f5"))

复制代码

直接跑一下就得到captcha的值了(大概一分钟的样子),其中getMd5的值是你自己的substr(md5(captcha), 0, 6)=7619f5的值

然后就可以尝试登录了(这个必须要先搞定captcha,不然我们的输入没用)

这里试试admin,admin’,admin”,admin#

发现admin’#会爆出error

再试试admin’#就成功登录了。(密码随意)

进去后里面有三个文件,不用说,全部下载(点超链接)下来试试

一次打开,发现两个txt就是忽悠我们的,有用的是那个php文件

提示我们flag在web root dir(web根目录)

所以我们就想办法去查看根目录文件,既然这里可以下载普通的文件就应该可以通过这种方式下载根目录的文件

看url,里面没有什么奇怪的传入,再抓包试试,没什么特别的地方,打开抓包,点超链接试试

发现GET处是文件id查询的形式,所以这里应该就可以从这里查看到根目录文件

不多说,传入repeater中go一遍,发现response下面会直接显示文件内容

所以这里就可以直接查看文件了,试试flag.php,./flag.php

发现f=./flag.php时会给出提示

再试了试././flag.php也没有用。。。。./././flag.php也没用,看来这里不能用目录缩写来跳过,只能输入正确的根目录

而一般的根目录是/var/www/html/,所以这里试试/var/www/html/flag.php,不行

再试试/var/www/html/Challenges/flag.php就看到一大堆提示获取flag的php代码

<?php
$f = $_POST[‘flag‘];#post给flag赋值
$f = str_replace(array(‘`‘, ‘$‘,*,#‘, ‘:‘, ‘‘, ‘"‘, "‘", ‘(‘, ‘)‘, ‘.‘, ‘>‘), ‘‘, $f);#过滤掉一些字符
if((strlen($f) > 13) || (false !== stripos($f,return)))#长度不能超过13,并且不能出现return
{
		die(‘wowwwwwwwwwwwwwwwwwwwwwwwww‘);
}
try
{
		 eval("$spaceone = $f");#eval方法把一个字符串当作命令执行,经常用于一句话木马,这里是要给变量赋值
}
catch (Exception $e)
{
		return false;
}
if ($spaceone === ‘flag‘){#输出flag的条件
	echo file_get_contents("helloctf.php");
}
?>

分析代码:

1.定义一个变量f,其值是表单中传入的flag值

2.把变量f中的`,$,*,#,:,\,’’,’,(,),.,>符号全部转换为’ ’

3.如果f的长度大于13或则f中有return就输出wowwwwwwwwww并退出

4.如果触发异常(f的字符等于spaceone的)会返回false

5.如果spaceone的值等于flag这个字符串就输出helloctf.php文件的内容

所以这里如果让spaceone等于flag就行了,且f不等于flag。

构造post:flag=flag;这里让flag等于flag;就使用;巧妙的避开了不等于spaceone

根据php文档对eval函数的解释

    eval函数传入的必须是有效的 PHP 代码。所有的语句必须以分号结尾。比如 'echo "Hi!"' 会导致一个 parse error,而 'echo "Hi!";' 则会正常运行。

这就很明显了,我需要post的不是“flag”而是"flag;"

使用firefox的插件进行传值
在这里插入图片描述

页面会出现白色的跳转,所以这里直接查看源码得到flag(被注释了)

zac-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
I春秋——web Write up(三)
Lemon's blog
09-27 698
前言:继续总结,学习更多关于web知识和练习编写脚本的能力。 GetFlag 一个登陆框加上验证码,不过有一点不同的是substr(md5(captcha), 0, 6)=e7e24a,截取MD5加密后验证码的前6位,而且需要等于后面的值(后面的值是变化的) 那就属于MD5碰撞了,就模仿大师傅写一个python脚本跑一下 import requests //requests库是一个常用的用于ht...
go-emoji-flag:在Go中将字符串国家代码转换为表情符号
02-05
表情符号标志 在Go中将字符串国家/地区代码转换为表情符号。 安装 go get -u github.com/jayco/go-emoji-flag 用法 将从下面的受支持列表中返回一个标志,如果找不到该标志,则返回一个空字符串。... GetFlag ( "A
i春秋GetFlag
weixin_30701575的博客
08-14 500
进去是个提示界面,提示我们这是个迷你文件管理系统,我们需要登录然后下载文件再获得flag。 然后我们查看源码,没什么信息,点login进去查看源码,没什么信息 下方出现了一个substr(md5(captcha), 0, 6)=7619f5 然后下面有个Captcha:的输入框,每次刷新captcha也会变化。貌似这个captcha会一直变化,类似于验证码一类的东西。 然后分析这...
i春秋 WEB GetFlag
A_dmin的博客
06-15 1545
i春秋 WEB GetFlag 一天一道CTF题目,能多不能少 打开网页,点击login来到登陆页面: 发现验证码是截取MD5的验证:substr(md5(captcha), 0, 6)=3aab4a 编写脚本来跑验证码: import requests import base64 import sys import hashlib def getMd5(index): for i in r...
i春秋-GetFlag
MateSnake的博客
05-11 353
i春秋-GetFlag
ctf GetFlag
cs_xiaoqiang的博客
01-18 5989
今天好不容易将这道题做出来了,来与大家分享分享。题目如下:访问连接:   http://106.75.26.211:2222   先查看源码,没有任何发现。但是在页面上发现一个登陆窗口,跳转到登陆窗口。并且发现验证码是纯数字的md5的值取最前面的6位,那么可以自己写一个脚本来跑 有了验证码之后,本来是准备尝试爆破的。可是发现每访问一次验证码都会改变,所以这条路明显行不通。经过多次的尝试之后发现登陆
xctf中php_rec的writeup,一个GET请求拿到flag——XCTF 2018 Final PUBG(WEB 2) Writeup
weixin_39544333的博客
03-13 445
环境XCTF Final 和 HITB 赶在了周四周五,周四晚上拿到题目,此时队友已经对PHP代码完成了解密工作。解密后的代码: http://static.cdxy.me/DECODED.zipgithub:https://github.com/Xyntax/XCTF-2018-Final-WEB2-PUBG解密后的代码读起来有点麻烦,并无大碍。有点魔幻的get flag过程当晚并没有找到突破口...
网络攻防比赛平台源码(AWD-platform源码).7z
06-19
一个awd攻防比赛的裁判平台。 版本:beta v2.0 开发语言:python3 + django ...增加flag验证一次性失效性,使得每个用户都并且仅可以提交一次flag 2.增加排名情况 3.flag改为MD5 4.增加丢失flag一轮扣100分
STM32F407固件库-EXTI—外部中断.zip
最新发布
05-29
2. 关联EXTI线到中断线:STM32F407支持多个中断线,例如EXTI0到EXTI15,每个EXTI线可以映射到不同的中断线。这可以通过修改EXTI线的选择寄存器来完成。 3. 配置中断触发条件:EXTI支持两种触发方式,电平触发...
139.STM32-外部中断4控制.zip
05-15
2. **配置EXTI线**:接下来,需要配置EXTI线4。这可以通过EXTI_Init()或HAL_EXTI_ConfigLine()函数完成,设置触发条件(上升沿、下降沿或两者)以及中断优先级。 ```c EXTI_InitTypeDef EXTI_InitStruct; EXTI_...
加速度计传感器-Kionix KX022 单击/双击 INT
12-25
2. **初始化I²C**:在软件层面,需初始化STM32的I²C接口,设置时钟速度、地址模式和其他参数。使用HAL_I2C_Init()函数进行初始化。 3. **传感器配置**:通过I²C发送配置命令到KX022,设置工作模式、灵敏度等级、...
CTF之MD5截断比较
热门推荐
lacoucou的专栏
05-17 1万+
md5 截断验证ctf中经常用MD5的截断比较做验证,如:substr(md5($str), 0, 6) === “3322cf”,通过这种方式限制脚本的自动化攻击。通常可以写脚本去爆破MD5, 但是花费时间和比较字符串的长度有关,并且花费时间通常比较长,这不利于脚本自动攻击,下面给出爆破脚本和使用方式。 submd5.py # -*- coding: utf-8 -*- import mult
Python小程序】CTFhash碰撞脚本
慢就是快
06-16 1043
import hashlib from multiprocessing import pool from multiprocessing.dummy import Pool as ThreadPool # MD5Truncation value is known. Find raw data. # Example substr(md5(captcha), 0, 6)=60b7ef def md5(s): #calculate MD5 string return hashlib.md5(str(
/.-
LainWith的博客
12-22 680
打开题目评论区的链接,是个莫尔斯电码的网站 这个不是答案,答案的格式应该是flag{**********} %7b和%7d是{ }的ascii码,又由于答案不接受大写,做个大小写转换,但问题是%u7b是个什么玩意,参考了网站题目下面的评论,忽略u,得到答案flag{d3fcbf17f9399504} ...
第一届“百度杯”Upload一次艰难的upload!
u011250160的博客
10-02 421
首先看下题把 打开网站,基本套路,查看源码,除了说fast,没有发现什么有价值的东西
CTF-web 第一部分 MD5
iamsongyu的博客
10-08 8518
一. 哈希解密与攻击 哈希就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,通常用来进行文件摘要或者信息加密。虽说很难具有相同哈希的文件,但是某些特意构造的 信息还是会满足相同的哈希,而且有些时候可以使用字典的方式进行解密和使用哈希攻击。 0x00 SHA $_GET['name'] == $_GET['password'] sha1($_GET['n...
easyphp(xctf)
m0_56107268的博客
11-13 561
php一些函数的绕过
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1385
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
Confluence 6 配置验证码(Captcha)来防止垃圾
HONEY MOOSE
08-16 411
如果你的 Confluence 站点是对公众开放的(允许匿名用户使用,添加评论,创建页面等),你可能会发现你的站点会被自动创建很多垃圾页面,评论或者其他垃圾内容。 你可以配置让 Confluence 通过确定添加内容的人为真正的用户而不是机器来确定内容是否是垃圾内容: 创建一个账户 添加一个评论 创建一个页面 编辑一个界面 向  Confluence 管理员发送请求 验证码(Captc...
public class VolatileTest { public static void main(String[] args) { VolatileExample example = new VolatileExample(); // 启动一个线程,修改flag的值 new Thread(() -> { example.setFlag(); System.out.println(Thread.c
07-08
public class VolatileTest { public static void main(String[] args) { VolatileExample example = new VolatileExample(); // Start a thread to modify the value of flag new Thread(() -> { example.setFlag(); System.out.println(Thread.currentThread().getName() + ": Flag is set to " + example.getFlag()); }).start(); } } class VolatileExample { private volatile boolean flag; public void setFlag() { flag = true; } public boolean getFlag() { return flag; } } ``` This code demonstrates the use of the `volatile` keyword in Java to ensure visibility of changes made by one thread to other threads. The `VolatileExample` class has a `flag` variable that is marked as `volatile`. When the `setFlag()` method is called, it sets the value of `flag` to `true`. In the `main()` method, a new thread is started to call `setFlag()`. The `getFlag()` method is used to retrieve the value of `flag`. Please note that I am not executing the code, but providing an explanation.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值