[鹤城杯 2021]Middle magic 解题思路&过程

已于 2023-08-13 19:10:29 修改
阅读量1.1k 收藏 2
点赞数 3
分类专栏: CTF刷题 文章标签: php ctf
于 2023-08-13 18:31:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46246804/article/details/132261863
版权

过程

打开题目,是一道PHP的代码审计。代码如下:

<?php
highlight_file(__FILE__);
include "./flag.php";
include "./result.php";
if(isset($_GET['aaa']) && strlen($_GET['aaa']) < 20){

    $aaa = preg_replace('/^(.*)level(.*)$/', '${1}<!-- filtered -->${2}', $_GET['aaa']);

    if(preg_match('/pass_the_level_1#/', $aaa)){
        echo "here is level 2";
        
        if (isset($_POST['admin']) and isset($_POST['root_pwd'])) {
            if ($_POST['admin'] == $_POST['root_pwd'])
                echo '<p>The level 2 can not pass!</p>';
        // START FORM PROCESSING    
            else if (sha1($_POST['admin']) === sha1($_POST['root_pwd'])){
                echo "here is level 3,do you kown how to overcome it?";
                if (isset($_POST['level_3'])) {
                    $level_3 = json_decode($_POST['level_3']);
                    
                    if ($level_3->result == $result) {
                        
                        echo "success:".$flag;
                    }
                    else {
                        echo "you never beat me!";
                    }
                }
                else{
                    echo "out";
                }
            }
            else{
                
                die("no");
            }
        // perform validations on the form data
        }
        else{
            echo '<p>out!</p>';
        }

    }
    
    else{
        echo 'nonono!';
    }

    echo '<hr>';
}

?>

分析代码,需要过三关,才能拿到flag。

  1. 需要传入一个参数,对其进行正则替换掉/^(.*)level(.*)$/得到$aaa,再对$aaa正则匹配,需匹配到pass_the_level_1#
  2. 需要保证$_POST['admin'] == $_POST['root_pwd'],且要通过判断sha1($_POST['admin']) === sha1($_POST['root_pwd'])
  3. 需要传入一个level_3参数,经过json_decode()之后与内置的$result变量弱类型比较相等(==)

bypass:

  1. 正则匹配单行模式(?s)下 ,.号将匹配所有字符,包括换行符;但默认情况下点号不匹配换行符,因此给了绕过(.*)的可能。payload:%0apass_the_level_1%23,%0a、%23分别是换行符、井号的URL编码。
  2. 利用哈希函数无法处理数组,会返回结果null,传入两个数组参数令其不一致绕过$_POST['admin'] == $_POST['root_pwd'],再sha1($_POST['admin']) === sha1($_POST['root_pwd'])时,null===null从而绕过。
  3. 利用json_decode()的缺陷与php弱类型比较,“json_decode()函数用于对json格式数据进行json解码操作,对于一个json类型的字符串,会解密成一个数组;存在一个0=="efeaf"的Bypass缺陷”,如下:
<?php
$key = "JsonTest";
if (isset($_GET['data'])) {
	$data = json_decode($_GET['data']);
	if ($data->key == $key) {
		echo "Bypass json_decode()!";
	} else {
		echo "No...";
	}
}
?>

因此最终payload:
payload

acquisition

  1. 正则匹配默认不匹配换行来bypass.
  2. 哈希函数处理数组时为null
  3. php弱类型比较中json_decode()函数的缺陷

reference

https://johnfrod.top/ctf/2021-%E9%B9%A4%E5%9F%8E%E6%9D%AF/
https://www.mi1k7ea.com/2019/06/21/PHP%E5%BC%B1%E7%B1%BB%E5%9E%8B%E5%B0%8F%E7%BB%93/#0x09-json-decode

iamblackcat
关注
专栏目录
2021年黑龙江齐齐哈尔市数字鹤城产业研究院招考聘用强化练习卷.doc
09-02
2021年黑龙江齐齐哈尔市数字鹤城产业研究院招考聘用强化练习卷.doc
【无标题】
2301_79880442的博客
04-23 1135
包含三个if条件:1.get传参aaa,2.post传参admin和root_pwd,二者传入的值不能够相同,但是sha1值要相等,相等就成功进入level 3.3.post传参level_3,对其进行后,如果就会输出flag。第一个的绕过:preg_replace 函数执行一个正则表达式的搜索和替换。它会把传入的level替换为filtered.但是该函数只会搜索第一行的字符串,所以就可以用换行符替换。其中%0a是换行符,%23是#
2021CTF鹤城挑战赛WEB-wp
qq_36410265的博客
12-27 2329
2021CTF鹤城挑战赛WEB部分wp
NSSCTF-Web题目22(弱比较、数组绕过)
最新发布
weixin_54055099的博客
07-03 961
弱比较,数组绕过
[鹤城 2021]Middle magic
wangzhemvp的博客
04-17 395
这里要猜测 $result 是一个字符串,这样 0=="abc",为true。如果代码替换了abc,但后面又要求有abc,可以用。哈希函数无法处理数组,会返回结果 null。: 解码 JSON 字符串。只能匹配一行的数据。
NSSCTF-鹤城2021-wp
F1rstb100d
09-22 737
NSSCTF-鹤城2021-wp
鹤城新区
02-11
合成大西瓜 声明,本项目仅帮助大家学习技术及娱乐,切勿将修改后的网站大规模传播及商业化,精确识别! 最简单的魔改发布『合成大西瓜』,配套改图工具,不用改代码,修改配置即可! 有帮助的话,求个大大的star,...
鹤城二手信息港网站
03-29
后台登录:/admin用户名:admin密码:admin这套程序修改自北京二手网,在修改过程中,清除了很多BUG,在修改的过程中,也学到了很多东西,希望大家再下载后,有更好的修改意见联系我。我的QQ10497015另外本人还在...
2021-2022年收藏)在鹤城区背街小巷路灯亮化工程启动仪式上的讲话.doc
10-06
教育资料
黑龙江鹤城酒业有限公251.doc
09-10
【黑龙江鹤城酒业有限公司2007年大庆市场营销计划书】 黑龙江鹤城酒业有限公司针对2007年度大庆市场的营销计划,旨在分析并利用当地市场特点,抓住商机,提升品牌影响力。根据描述,大庆白酒市场是黑龙江省最具潜力...
NSS题目练习7
cyy001128的博客
06-05 823
json_decode接受一个JSON格式的字符串并且把它转换为PHP变量,当该参数assoc为TRUE时,将返回array,否则返回object。Referer 是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。第三层,get_flag接收参数,作为系统命令执行,传参不能有空格,如果有cat,将会被替换为wctf2020。先用dirsearch扫描一下,发现有三个东西,但是不能直接访问flag.php。打开后看到源代码,关闭了报错,有三层绕过。
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 2053
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
首届“鹤城”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2623
首届“鹤城”河南·鹤壁CTF网络安全挑战赛WP
【Web】PhpBypassTrick相关例题wp
uuzeray的博客
11-24 762
明天中期考,先整理些小知识点冷静一下。
【PWN · Stack Smash】[2021 鹤城]easyecho
Mr_Fmnwon的博客
07-30 1034
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
鹤壁-web签到题
qq_51584770的博客
10-08 1245
题目源码: <?php highlight_file(__FILE__); include "./flag.php"; include "./result.php"; if(isset($_GET['aaa']) && strlen($_GET['aaa']) < 20){ $aaa = preg_replace('/^(.*)level(.*)$/', '${1}<!-- filtered -->${2}', $_
NSSCTF做题(6)
wwwwyyyrre的博客
10-01 544
查看源代码得到开始代码审计page变量不存在或page变量不是字符串时返回false满足page变量在whitelist数组内返回true截取page变量第一个?前的字符串##只有三个条件全部为true时才可触发1.!##条件1表示参数不为空时返回true##条件2表示参数为字符串时返回true##条件3表示参数满足checkFile函数时返回true满足经过两次?截断后仍能通过白名单检查,并且include正确路径,才输出flag。先看看hint.php找到了flag的目录。
NSS [鹤城 2021]Middle magic
Jay17的博客
11-20 360
NSS [鹤城 2021]Middle magic
鹤城 2021】 CRYPTO刷题
orchid_sea的博客
04-10 729
附件easy_crypto.txt,内容是社会核心主义观使用工具解密。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值