buuctf_练[MRCTF2020]Ezaudit

最新推荐文章于 2024-05-13 11:45:12 发布
最新推荐文章于 2024-05-13 11:45:12 发布
阅读量484 收藏 1
点赞数 1
分类专栏: buuctf刷题 文章标签: 1024程序员节 web安全 php 网络 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/134018125
版权

[MRCTF2020]Ezaudit

掌握知识

​ 网站源码泄露,代码审计,SQL注入的万能密码使用,mt_rand函数的伪随机数漏洞搭配php_mt_seed工具使用,随机数特征序列的生成

解题思路
  1. 打开题目链接,又发现是一个不错的网站界面,很多功能但都一样,源码也没有泄露的,根据题目为简单的审计,猜测有源码泄露,这样的网站多半就是网站压缩包泄露,访问www.zip还真就下载了,里面只有一个index.php文件

image-20231013125852847

  1. 打开文件,简单的查看了一下,发现泄露了一个登录界面login.html,需要输入密码账户和私钥,验证通过会通过SQL语句将flag回显出来。最后给出来了公私钥生成的代码,看见了老朋友mt_rand函数 ([GWCTF 2019]枯燥的抽奖),该函数存在伪随机数漏洞,只需要得到特征值,就能使用相应工具得到随机数种子,私钥也就很容易得到了
<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 
// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???
分析代码
  1. 私钥的思路已经很清晰了,去寻找一下账户和密码是什么了,根据SQL语句的提示,账户为crispr,该SQL语句不存在任何过滤,是最基础的字符型SQL查询语句,密码直接使用万能密码就可以1' or 1=1 #。账密已经分析得到,就下来就去拿下私钥了

image-20231013130423740

  1. 通过查看公私钥生成代码,两个代码都没有设置随机数种子,那公钥使用mt_rand函数之后,随机数种子也就会固定下来,所以公私钥的随机数种子是一样的,代码还给出了公钥,所以只需要将公钥字符串转化成特征序列,使用php_mt_seed工具进行爆破即可得到具体的随机数种子

image-20231013131228180

  1. 后面的步骤和之前写的枯燥的抽奖步骤就很相似了,同一个代码同一个工具。使用下面的python代码即可得到特征序列。str2就是生成的随机字符串 ,str1是随机字符串生成的模板,将源代码的模板复制即可
str1='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
str2='KVQP0LdJKRaV3n9D'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
            break
print(res)
36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61
  1. 直接使用php_mt_seed工具对特征序列进行爆破,得到随机数种子,该随机数种子需要在php版本5.2.1 -- 7.0.x直接使用才行

image-20231013131732864

  1. 找一个php在线运行的网站,可以修改php版本在上面范围的,使用源代码的公私钥生成代码,只需要在最开始添加随机数字符串即可得到私钥。因为随机字符串相邻的输出结果不一样,所以还需要按照代码中的先生成公钥才能正确得到私钥

image-20231013131848549

  1. 使用分析得到的账密和生成的私钥直接登录,登录成功之后页面回显flag,直接拿下

image-20231013132104091

image-20231013132108850

关键paylaod
随机数种子 = mt_srand(1775196155);
nuserame = crispr
password = 1' or 1=1#
私钥 = XuNhoueCDCGc
生而逢时
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF)
06-04
分析过程文件
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3226
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
BUUCTF-MRCTF2020
Atkx's Blog
08-08 5154
目录标题Ezpop套娃 Ezpop 套娃 查看源码 $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t']))
buuctf [MRCTF2020]Ezaudit 伪随机数
为之的博客
07-21 1204
打开网页,看不出什么,直接打开dirmap扫描 扫出了www.zip 下载后有index.php文件 查看源码后大概意思就是 去login.html页面登录,输入账号密码以及私钥,后2个输对了就能得到flag 密码可以直接用万能钥匙 1' or '1'='1 来绕过,主要就是私钥了 这里涉及到mt_srand()函数,伪随机数,即这随机数是我们可以预测的,只要找到该函数在这的种子值就可以预测, 因为公钥私钥都是使用一个种子值来推...
BUUCTF--[MRCTF2020]Ezaudit
qq_46263951的博客
07-15 361
进入页面发现好像也没有可以利用的地方,这里利用网站备份目录扫描脚本和dirsearch来进行扫描 扫描到www.zip、login.php、login.html,在www.zip下载后可以的到 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $passw.
buu-[MRCTF2020]Ezaudit
qaq517384的博客
10-21 167
dirsearch_master扫到www.zip 解压得到index.php 分为两部分 登录和公钥私钥 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Private_key = $_PO
[MRCTF2020]Ezaudit
feng的博客
04-13 261
知识点 www.zip泄露 PHP随机数问题 SQL注入 WP 进入环境扫一下常见的文件泄露,发现存在www.zip,下载下来: <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Privat
[MRCTF2020]Ezaudit WP
車鈊的博客
10-23 468
进入网站 获得源码 看到熟悉的网页模板想到了敏感文档泄露和用户信息查询 点击全部链接,尝试输入邮箱发现不是。 完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本 python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1 发现无论多小的线程速度都会产生429状态码 原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。 只能进行手工检测 发现在www.z
【web-ctf】ctf_BUUCTF_web(2)
一个努力生活的人的博客
05-24 611
ctf
BUUCTF 5_17-5_19
qq_52988816的博客
05-19 3372
//刷了一点之前忘记刷的,鸽鸽鸽 [BJDCTF2020]EzPHP <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=red><B>This i
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
【网络安全】一次sql注入问题的处理
dualvencsdn的博客
05-10 389
(1)在进行问题解决之前,我们发现 ,即使我们已经在后能进行了打印,确保了不会有sql注入问题。如下。但在当时 ,依然 会有被 -dbs扫描而出的数据库思考:经过程序的打印,已经没有了不正确的sql注入;但依然可以dbs扫描打印出数据库信息 ,有可能是缓存的信息,前面扫描出来的数据库信息!(2)将sqlmap的缓存文件,如下,其中session.sqlite进行取出,用chat2db打开。发现其中的缓存 信息。如下列各图。
网络安全之OSPF进阶详解
最新发布
m0_65858385的博客
05-13 902
功能:本路由器针对某个区域产生的路由信息和拓扑信息(因为OSPF是一个状态型路由协议),比如该拓扑中R1的所有都在area 1中,所以R1针对area 1中只产生一条LSA而这条LSA包含了R1在该区域的路由信息和拓扑信息,R2针对area 1区域产生一条LSA,在area 0中也产生一条一类LSA,但这两条一类LSA不一样,area1中是R2在area1中的路由信息与拓扑信息,area0中是R2在area0中的路由信息与拓扑信息,所以在area1中有两条一类LSA。发送的是BDB报文进行主从选举。
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 520
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
<网络安全>《83 微课堂<国家数据要素总体框架>》
Else 的博客
05-10 658
国家数据要素化总体框架由“六横两纵”共八个关键环节构成。
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值