第一届“百度杯”信息安全攻防总决赛-----Upload

 

==================================

个人收获:

1.某个加密方式可能使用2遍

2.后缀改为pht可绕过上传限制解析为php

 

 

 

======================================

 

题目界面：

利用burp没有发现302跳转

但是在源码里面发现这段

就是说用post的方法发送ichunqiu=你发现的东西

然后我把它发送到repeater里面

 

根据这个flag的格式应该是base64加密的，我们直接去解密

给出的字符感觉还能在继续解，然后解出一串数字

然后我们post上去

页面提示如下

看到返回的是fast!!!，看来我的手速是满足不了ichunqiu了，那就上py跑

 

就直接写个py脚本去跑

 

import base64
import requests

def main():
    a = requests.session()
    b = a.get("http://8590f29d3ed047cdba7f016432bc47065ae1a291a46240af.game.ichunqiu.com/")  #访问URL并保存session
    key1 = b.headers["flag"]   #获取头部信息 flag的内容
    c = base64.b64decode(key1) #对key1的内容进行解码
    d = str(c).split(":")  #解码后吧内容通过:进行分割，并存入数组
    key = base64.b64decode(d[1]) #去数组的第二个内容即我需要的值再次进行base64解码
    body = {"ichunqiu":key} #构造http内容体
    f = a.post("http://8590f29d3ed047cdba7f016432bc47065ae1a291a46240af.game.ichunqiu.com/",data=body)
    print f.text
if __name__ == '__main__':
    main()

然后程序返回这个结果

加到网址后面出现新的页面

这里对这个网页进行目录扫描和源码泄露扫描发现这个

svn源码泄露，但是做了防护，我们就对这么目录进行扫描

然后扫描到了

http://1215e66accc54aceaacdf4132d1f714b6e806425623844ed.game.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/.svn/wc.db

到MD5网站解密下为

8638d5263ab0d3face193725c23ce095

 

然后破解下验证码

substr(md5(captcha), 0, 6)=bdefe1 根据这个提示符写下脚本

import hashlib
def md5(s):
    return hashlib.md5(str(s).encode('utf-8')).hexdigest() #用md5先把参数s用utf-8编码之后进行加密，hexdigest表示返回返回摘要，作为十六进制数据字符串值
def main(s):
    for i in range(1,99999999):
        if md5(i)[0:6]  == str(s):     #截取密文前6位与 用户传入的值进行比对  (具体情况具体修改)
            print(i)
            exit(0)
if __name__ == '__main__':
    main("7712c4")      #传入需要爆破的验证码

 

破解得

密码其实是随便什么值都可以

然后弹出这个对话框，然后我们访问下这个页面

然后通过抓包改后缀名然后也试了00截断但是都不能成功解析成php

然后看了wr才知道把后缀改为pht即可上传成功获得flag

关于这个后缀可以看下这个文章https://www.sohu.com/a/108872158_468673