【Writeup】Boston Key Party CTF 2015(部分题目)

于 2015-03-05 11:10:08 发布 10955 收藏 2
分类专栏: 其它记录 文章标签: php 漏洞 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lymingha0/article/details/44079981
版权

假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下学到的姿势。

(以下是六道php代码审计题目)

1.Prudential

  I don‘t think that sha1 is broken. Prove me wrong.

代码如下:

<html>
<head>
	<title>level1</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php
require 'flag.php';

if (isset($_GET['name']) and isset($_GET['password'])) {
    if ($_GET['name'] == $_GET['password'])
        print 'Your password can not be your name.';
    else if (sha1($_GET['name']) === sha1($_GET['password']))
      die('Flag: '.$flag);
    else
        print '<p class="alert">Invalid password.</p>';
}
?>

<section class="login">
	<div class="title">
		<a href="./index.txt">Level 1</a>
	</div>

	<form method="get">
		<input type="text" required name="name" placeholder="Name"/><br/>
		<input type="text" required name="password" placeholder="Password" /><br/>
		<input type="submit"/>
	</form>
</section>
</body>
</html>

分析代码逻辑,发现GET了两个字段name和password,获得flag要求的条件是:name != password & sha1(name) == sha1(password),乍看起来这是不可能的,其实可以利用sha1()函数的漏洞来绕过。如果把这两个字段构造为数组,如: ?name[]=a&password[]=b,这样在第一处判断时两数组确实是不同的,但在第二处判断时由于sha1()函数无法处理数组类型,将报错并返回false,if 条件成立,获得flag。

经验证md5()函数同样存在此漏洞。

测试截图:


2.Symphony

  A less than four characters number, bigger than 999? Maybe the bug is elsewhere.

代码如下:

<html>
<head>
	<title>level2</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php
require 'flag.php';

if (isset($_GET['password'])) {
	if (is_numeric($_GET['password'])){
		if (strlen($_GET['password']) < 4){
			if ($_GET['password'] > 999)
				die('Flag: '.$flag);
			else
				print '<p class="alert">Too little</p>';
		} else
				print '<p class="alert">Too long</p>';
	} else
		print '<p class="alert">Password is not numeric</p>';
}
?>

<section class="login">
        <div class="title">
                <a href="./index.txt">Level 2</a>
        </div>

        <form method="get">
                <input type="text" required name="password" placeholder="Password" /><br/>
                <input type="submit"/>
        </form>
</section>
</body>
</html>

这个相对简单,只要脑洞够大,能想到数字还能用 1e9 这样的形式来表示。。。

3.Northeastern Univ.

  Of course, a timing attack might be the answer, but I'm quite sure that you can do better than that.

代码如下:

<html>
<head>
	<title>level3</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php
require 'flag.php';

if (isset($_GET['password'])) {
    if (strcmp($_GET['password'], $flag) == 0)
		die('Flag: '.$flag);
    else
		print '<p class="alert">Invalid password.</p>';
}
?>

<section class="login">
        <div class="title">
                <a href="./index.txt">Level 3</a>
        </div>

        <form method="get">
                <input type="text" required name="password" placeholder="Password" /><br/>
                <input type="submit"/>
        </form>
</section>
</body>
</html>

乍看也算是个比较严密的验证逻辑,但正如第一题一样,strcmp()函数也只能处理字符串参数,传个数组进去就能返回false,又由于它与0的比较用的是==而非===(允许类型转换后比较),就满足了这个 if 的条件。Payload: ?password[]=a

4.Museum of Fine Arts
  Because cryptography is hard, we only implemented a hand-made PRNG. What could possibly go wrong?

代码如下:

<html>
<head>
	<title>level4</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php
session_start(); 

require 'flag.php';

if (isset ($_GET['password'])) {
    if ($_GET['password'] == $_SESSION['password'])
        die ('Flag: '.$flag);
    else
        print '<p class="alert">Wrong guess.</p>';
}

// Unpredictable seed
mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));
?>

<section class="login">
        <div class="title">
                <a href="./index.txt">Level 4</a>
        </div>

		<ul class="list">
		<?php
		for ($i=0; $i<3; $i++)
			print '<li>' . mt_rand (0, 0xffffff) . '</li>';
		$_SESSION['password'] = mt_rand (0, 0xffffff);
		?>
		</ul>

        <form method="get">
                <input type="text" required name="password" placeholder="Next number" /><br/>
                <input type="submit"/>
        </form>
</section>
</body>
</html>

最初看完以后感觉不可做,莫非真要分析出rand()函数的规律?!但是那就不是CTF的难度了吧。。。后来发现如果将session手动清除掉,然后password字段也提交为空,不就可以绕过了嘛,也是蛮笨的。。。


5.Longwood Medical
  Because we dont trust mysqli_real_escape_string, we wrote our own military-grade sanitization method.

代码如下:

<html>
<head>
	<title>level5</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php

require 'flag.php';

if (isset ($_GET['name']) and isset ($_GET['password'])) {
    $name = $_GET['name'];
    $password = $_GET['password'];

    if (ctype_alnum ($name) and ctype_alnum ($password)) {
        $request = 'SELECT login FROM user where login = ' . $name . ' AND password = ' . $password . ';';
        $db = new SQLite3 (sha1($flag).'.db', SQLITE3_OPEN_READONLY); // Ghetto anti-database-download
        $result = $db->querySingle ($request);
        $db->close ();

        if ($result === FALSE)
            echo '<p class="alert">"Invalid login or password</p>';
        else
            die('Flag: ' . $flag);
    } else
        echo '<p class="alert">Invalid chars detected</p>';
}
?>

<section class="login">
        <div class="title">
                <a href="./index.txt">Level 5</a>
        </div>

        <form method="get">
                <input type="text" required name="name" placeholder="Name"/><br/>
                <input type="text" required name="password" placeholder="Password" /><br/>
                <input type="submit"/>
        </form>
</section>
</body>
</html>

注入题,代码逻辑还不是很明白。其他人的Payload: ?name=0&password=0,为什么可注还没有看懂。。。

6.Brigham Circle
  Sanitization is hard, lets use regexp!

代码如下:

<html>
<head>
	<title>level6</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php
require 'flag.php';

if (isset ($_GET['password'])) {
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
		echo '<p class="alert">You password must be alphanumeric</p>';
	else if (strpos ($_GET['password'], '--') !== FALSE)
		die('Flag: ' . $flag);
	else
		echo '<p class="alert">Invalid password</p>';
}
?>

<section class="login">
        <div class="title">
                <a href="./index.txt">Level 6</a>
        </div>

        <form method="get">
                <input type="text" required name="password" placeholder="Password" /><br/>
                <input type="submit"/>
        </form>
</section>
</body>
</html>

关于ereg()函数的一个漏洞——%00截断,可以构造一个这样的提交: ?password=a%00--,ereg()匹配到%00就截止了,所以会认为提交串合法,但strpos()不受此影响,成功绕过。

此外还有一个非常微妙的方法。把password构造为数组,如:?password[]=a,由于ereg()也是只能处理字符串的,遇到数组做参数返回NULL,注意第一处判断用的是 === ,要求类型也相同,而NULL跟FALSE类型是不同的;第二处判断strpos()的参数同样不能为数组,否则返回NULL,而判断用的是 !== ,所以这里的条件成立,也能得到flag。

注:这里的第二处判断 !== 并非多此一举,因为当strpos()返回位置为0时用 == 将不知道到底是找到了还是没找到,于是不转换类型的 === 或 !== 是实际中普遍使用的。

lymh
关注
  • 5
    点赞
  • 2
    收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
ctf 绕过php,第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过
weixin_36402765的博客
03-19 118
第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过1、打开网页如图,F12发现code.txt:2、需要php代码审计,提示需要get方式提交3个参数(v1、v2、v3)且v1和v2的值不同,但md5后的值相同(中间是&&与符号),为真时再利用strcmp函数判断v3和$flag是否相同,为真输出flag;3、在问了几个朋友后,得到一些提示,首先MD...
实验吧WEBWP(二)
Yale的博客
03-20 1386
1.Once More(http://www.shiyanbar.com/ctf/1805) 点击—view the source code 关键码 else if (strlen(_GET['password']) < 8 &&_GET['password']) < 8 && _GET[‘password’] > 9999999) { if (strpos ($
实验吧-web-Guess Next Session(session简介)
Sea_Sand息禅
03-04 417
看代码: &lt;?php session_start(); if (isset ($_GET['password'])) { if ($_GET['password'] == $_SESSION['password']) die ('Flag: '.$flag); else print '&lt;p&gt;Wrong guess.&lt;/p...
BugKuCTF(CTF-练习平台)——代码审计-strcmp比较字符串
Ifish的博客
04-27 3127
题目描述 解题 strcmp漏洞 int strcmp ( string str1,stringstr1,stringstr1 , string str2 ) str1是第一个字符串,str2是第二个字符串。如果 str1 小于 str2 返回 &amp;lt; 0; 如果 str1 大于 str2 返回 &amp;gt; 0;如果两者相等,返回 0。 但是如果我们传入非字符串类型的数据的时候,...
strcmp在CTF中的案例
aiquan9342的博客
04-30 510
当strcmp比较出错的时候就会为null。null即为0故输出flag。 strcmp(arr,str); ?test[]=1 <?php define('FLAG', 'pwnhub{THIS_IS_FLAG}'); if (@strcmp($_GET['flag'], FLAG) == 0) { echo "success, fla...
实验吧CTF刷题记录(web篇二)
sinat_21923549的博客
03-11 1万+
8.上传绕过 解题链接: http://ctf5.shiyanbar.com/web/upload 直接上传.php会被拦截。尝试上传图片马,能上传但不符合题目要求。 尝试bp抓包改后缀名无果,并非在客户端javascript验证。 尝试截断路径绕过,上传1.jpg文件,bp抓包,路径upload后添加1.php空格,将hex中空格20改为00,forward,成功绕过。 9
暑期练习web5:Guess Next Session(实验吧)
qq_41618162的博客
08-12 231
解题连接:http://ctf5.shiyanbar.com/web/Session.php 写个算法没准就算出来了,23333 hint:你确定你有认真看判断条件? &lt;?php session_start(); if (isset ($_GET['password'])) { if ($_GET['password'] == $_SESSION['password']...
ctf中的php代码审计
qq_40273198的博客
05-04 2675
ctf题时,遇到审计题时可能会遇到,翻翻记录可以很快的找到脑洞。1.PHP$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; }...
ctf 选择题 题库_实验吧CTF题库-WEB题(部分)
weixin_39613548的博客
12-19 728
看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...
ctf.show_web11
最新发布
qq_62046696的博客
06-11 532
目录ctf.show_web11ctf.show_web12 ,password是由我们自己输入的,session中的password存储在本地,所以我们只需要输入空密码,并且将本地的session删除即可成功绕过。右击删除然后输入空,或者方法二:burp抓包 因为字段都为空,所以就会等于 刚开始也是发懵,看了大佬的wp恍然大悟可谓是,先ctrl+u查看源码发现有一个?cmd既然提示了cmd=,那么可能后端代码中存在 eval() 或者exec()等可以执行命令的代码。 然后?cmd=phpin
php strlen ctf,PHP代码审计——EASY CTF
weixin_34315803的博客
03-11 441
0x01 extract变量覆盖$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'ctf{xxx}';}else{echo'Oh.no';}}?>?shiyan=&flag=1在file_get_content...
网络安全实验室CTF练习部分题目(持续更新)
技术学习人生
06-29 8万+
1、脚本关:微笑一下,过关地址:http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php 查看源代码: include('flag.php'); $smile = 1; if (!isset ($_GET['^_^'])) $smile = 0; if (preg_match
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 3278
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 10万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
CTF/CTF练习平台-各种绕过哟【sha1数组类型比较漏洞
Sp4rkW的博客
09-14 9233
原题内容: 各种绕过哟 http://120.24.86.145:8002/web7/ 吐槽一下,,,提示真的恶心,,误导 还好有印象对sha1,具体漏洞信息可见我的博客SHA1/MD5/URLDECODE 在php审计题中的一般思路(积累中) 以前总结过,没做过题目,今天算是遇到了,,,mark一下 一张图解释做题思路 ...
PHP中MD5函数漏洞
05-07 528
题目描述 一个网页,不妨设URL为http://haha.com,打开之后是这样的 if (isset($_GET['a']) and isset($_GET['b'])) { if ($_GET['a'] != $_GET['b']) { if (md5($_GET['a']) === md5($_GET['b'])) { echo ('...
mysql注入ctf_【CTF-Web Learning 1】0x01 SQL注入之宽字节注入
weixin_39776817的博客
01-28 69
0x01 前言准备系统梳理和总结提高这一年所学的关于Web方面东西,如有问题欢迎指点。在计算机中,字符的表示与存储都离不开编码。例如ASCII,utf-8,gbk2312等。通常字符的表示都只需1字节。但也有如gbk2312这种需要2字节来表示的编码格式,这种我们称之为宽字节。所谓宽字节注入,可能存在于以gbk编码存储数据的sql数据库中。在实际站点中已经比较少见(常见于学校远古破站),而且修复方...
NCTF 南京邮电大学网络攻防训练平台 WriteUp
Ni9htMar3的博客
12-21 2万+
WEB 签到题1 md5 collision 签到题2 这题不是WEB 层层递进 AAencode 单身二十年 你从哪里来 php decode 文件包含 单身一百年也没有用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass chack 起名字很难 密码重置 p
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3435
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
VulnCTF的练习教室v1.0-------WEB-----------第五题【ereg()截断】
大方子
10-05 528
      题目:   由代码可知,正则进行匹配出现不属于[a-z,A-Z,0-9]范围内的元素就会输出报错文字,但是下面的语句又是通过strpos来查询指定字符串出现的位置,但是匹配的又是 ——,如果是其他的情况的话就会输出Invalid password   通过经验这里我直接通过传入一个数组直接绕过  ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论 5

打赏作者

lymh

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值