web21-28

web21

抓包发现Basic后面是admin:111的base64编码,发送到爆破模块

设置payload
自定义迭代器
1设置固定格式admin:
2设置爆破密码的字典
添加对payload进行base64编码
取消url编码字符




ctfshow{98f75c32-0010-465f-a37a-2d5d36577ea4}

web22


flag{ctf_show_web}

web23

<?php
error_reporting(0);
include('flag.php');
if(isset($_GET['token'])){
    $token = md5($_GET['token']);
    if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
        if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
            echo $flag;
        }
    }
}else{
    highlight_file(__FILE__);
}
?>
isset():检测变量是否已设置并且非NULL,若传入多个参数,只有全部非NULL才会返回true
intval():获取变量的整数值
===:比较对象的值和类型都要一样
==:值相等即可
代码解读:
当md5码满足,第2位=第15位=第18位时,如果(第2位+第15位+第18位/第2位=第32位)整数,时输出flag
import hashlib
dic = "0123456789abcdefghijklmnopqrstuvwxyz"
for a in dic:
    for b in dic:
        t = (str(a)+str(b)).encode("utf-8")
        md5 = hashlib.md5(t).hexdigest()
        if md5[1:2] == md5[14:15] and md5[14:15]== md5[17:18]:
            if int(md5[1:2],16)+int(md5[14:15],16)+int(md5[17:18],16)//int(md5[1:2],16)==int(md5[31:32],16):
                print(t)

<?php
error_reporting(0);
$dir = "0123456789abcdefghijklmnopqrstuvwxyz";
for ($i = 0; $i < 36; $i++){
    for ($j =0;$j < 36; $j++){
        $token = $dir[$i].$dir[$j];
        $token = md5($token);
        if(substr($token,1,1) === substr($token,14,1)&& substr($token,14,1)===substr($token,17,1)){
            if ((intval(substr($token,1,1))+intval(substr($token,14,1)) + intval(substr($token,17,1))/intval(substr($token,1,1)) === intval(substr($token,31,1)))){
                echo $dir[$i].$dir[$j];
                exit(0);
            }
        }
    }
}



ctfshow{1c53e55e-76ca-4d31-95a2-0a6f392de46d}

web24

<?php
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(372619038);
    if(intval($r)===intval(mt_rand())){
        echo $flag;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
}
?>
代码分析:
mt_srand():播种随机数生成器
intval():获取变量的整数值
mt_rand():返回随机整数
<?php
mt_srand(372619038);
echo (mt_rand());
?>



ctfshow{c1eff0c2-b09f-4a10-9ccb-e875cf43068e}

web25

<?php
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(hexdec(substr(md5($flag), 0,8)));
    $rand = intval($r)-intval(mt_rand());
    if((!$rand)){
        if($_COOKIE['token']==(mt_rand()+mt_rand())){
            echo $flag;
        }
    }else{
        echo $rand;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
}
代码分析:
substr(str,start,length):返回部分字符串,第一个字符是0
hexdec():把十六进制字符串转换为十进制数字,忽略它遇到的任意非十六进制的字符。
$_COOKIE:得到 cookie 的值
md5():默认返回16进制
代码要求我们输入的r的整数值等于随机数的随机值,这样才能进入第二个if,然后cookie里面的token==(mt_rand())+(mt_rand())才会输出flag。因为随机数种子是不变
的,所以生成的随机数序列也是不会变的,我们get传入r=0会输出这个随机数序列的第一个随机数的负值:-1889169716,那么传入r=1889169716就能进入第二个if语句。

然后使用php_mt_seed工具倒推出可能的随机数种子。
在环境处于php7+所以,我们用脚本尝试1668539947,899867989





ctfshow{d2112efc-e442-4ece-843c-f7f0e85dc3d5}

web26

function check(){
			$.ajax({
			url:'checkdb.php',
			type: 'POST',
			dataType:'json',
			data:{
				'a':$('#a').val(),
				'p':$('#p').val(),
				'd':$('#d').val(),
				'u':$('#u').val(),
				'pass':$('#pass').val()
			},
			success:function(data){
				alert(data['msg']);
			},
			error:function(data){
				alert(data['msg']);
			}
		});
		}
代码分析:
$.ajax():通过HTTP请求加载远程数据
url:类型为string,默认为当前页地址,发送请求地址
type:类型为string,请求方式,默认为GET
datatype:类型为string,预期服务器返回的数据类型
data:类型为object或string,发送到服务器的数据。对象必须为key/value
success、error:类型为function,请求成功或失败后被调用的函数

'a':$('#a').val():
$("#a")是id选择器,获得id为a的标签,通过.val(),获得这个标签的value的值,赋值给你声明的变量var a
这里val未设置参数,则返回被选元素当前值

image.png

方法一:直接抓包,发送重放模块(checkdb.php页面POST提交a=&p=&d=&u=&pass=)
方法二:进行密码爆破

image.png
image.png
ctfshow{e54c72e0-536a-4f9c-8201-9e9cfbf27644}

web27

image.png
image.png

发现身份证中间的出生年月日缺失,我们可以尝试用bp爆破一下。

image.png
image.png
image.png
image.png

查询到学号为02015237,身份证为621022199002015237

image.png
ctfshow{b2c32835-dc94-4b1b-9bc9-1c2ba887a554}

web28

image.png

对路径进行数值0-100的爆破,将文件名修改为index.php

image.png
image.png

过滤出200状态码

image.png
image.png
ctfshow{a87cf9ac-a208-4039-90f5-5f1cdd65da81}

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wh1teSu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值