LCTF Web补题笔记(菜狗前进永不止步)

最新推荐文章于 2023-02-04 20:00:00 发布
最新推荐文章于 2023-02-04 20:00:00 发布
阅读量5.1k 收藏 1
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/78569036
版权

不得不说比赛真的挺难得…补题吧…

Simple blog

首先上来发现文件login.php和admin.php,但是没什么别的,想到文件泄露通过swp得到源码

login.php

<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');

function show_page(){
    
    echo '<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>Login Form</title>
  <link rel="stylesheet" type="text/css" href="css/login.css" />
</head>
<body>
  <div class="login">
    <h1>后台登录</h1>
    <form method="post">
        <input type="text" name="username" placeholder="Username" required="required" />
        <input type="password" name="password" placeholder="Password" required="required" />
        <button type="submit" class="btn btn-primary btn-block btn-large">Login</button>
    </form>
</div>
</body>
</html>
';
}

function get_random_token(){
    
    $random_token = '';
    $str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
    for($i = 0; $i < 16; $i++){
        $random_token .= substr($str, rand(1, 61), 1);
    }
    return $random_token;
}

function get_identity(){
    
    global $id;
    $token = get_random_token();
    $c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
    $_SESSION['id'] = base64_encode($c);
    setcookie("token", base64_encode($token));
    if($id === 'admin'){
        $_SESSION['isadmin'] = 1;
    }else{
        $_SESSION['isadmin'] = 0;
    }
}

function test_identity(){
    
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        $token = base64_decode($_COOKIE["token"]);
        if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
            if ($u === 'admin') {
                $_SESSION['isadmin'] = 1;
                return 1;
            }
        }else{
            die("Error!");
        } 
    }
    return 0;
}

if(isset($_POST['username'])&&isset($_POST['password'])){
    $username = mysql_real_escape_string($_POST['username']);
    $password = $_POST['password'];
    $result = mysql_query("select password from users where username='" . $username . "'", $con);
    $row = mysql_fetch_array($result);
    if($row['password'] === md5($password)){
        get_identity();
        header('location: ./admin.php');
    }else{
        die('Login failed.');
    }
}else{
    if(test_identity()){
        header('location: ./admin.php');
    }else{
        show_page();
    }
}
?>

admin.php

<?php
error_reporting(0);
session_start();
include('config.php');

if(!$_SESSION['isadmin']){
    die('You are not admin');
}

if(isset($_GET['id'])){
    $id = mysql_real_escape_string($_GET['id']);
    if(isset($_GET['title'])){
        $title = mysql_real_escape_string($_GET['title']);
        $title = sprintf("AND title='%s'", $title);
    }else{
        $title = '';
    }
    $sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
    $result = mysql_query($sql,$con);
    $row = mysql_fetch_array($result);
    if(isset($row['title'])&&isset($row['content'])){
        echo "<h1>".$row['title']."</h1><br>".$row['content'];
        die();
    }else{
        die("This article does not exist.");
    }
}
?>
<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>adminpage</title>
    <link href="css/bootstrap.min.css" rel="stylesheet">
    <script src="js/jquery.min.js"></script>
    <script src="js/bootstrap.min.js"></script>
</head>
<body>
    <nav class="navbar navbar-default" role="navigation">
   <div class="navbar-header">
      <a class="navbar-brand" href="#">后台</a>
   </div>
   <div>
      <ul class="nav navbar-nav">
         <li class="active"><a href="#">编辑文章</a></li>
         <li><a href="#">设置</a></li>
      </ul>
   </div></nav>
   <div class="panel panel-success">
   <div class="panel-heading">
      <h1 class="panel-title">文章列表</h1>
   </div>
   <div class="panel-body">
      <li><a href='?id=1'>Welcome to myblog</a><br></li>
      <li><a href='?id=2'>Hello,world!</a><br></li>
      <li><a href='?id=3'>This is admin page</a><br></li>
   </div>
   </div>
</body>
</html>

第一步就是用login中的oracle padding attack,中间出了很多很多问题,只能爆出15位,第一位需要爆破,之前自己写的脚本死活通,现在重写改一下,原来是之前再发送的时候忘记了base64加密!!!蠢到死…
然后扫一遍就可以达到条件,将isadmin置1

import requests
import re
import base64
def make_iv(iv,num,pos):
    ret = ''
    ret += '0'*(15-pos)
    ret+=chr(num)
    for i in range(16-pos,16):
        ret+=chr(ord(iv[i])^pos^(pos+1))
    return ret

s = requests.session()
login_url = 'http://111.231.111.54/login.php'
headers= {
    "Host": "111.231.111.54",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
    "Accept-Language": "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",
    "Accept-Encoding": "gzip, deflate",
    "Referer": "http://111.231.111.54/login.php",
    "Connection": "keep-alive",
    "Content-Type": "application/x-www-form-urlencoded"
}
cookies ={
    "td_cookie":
最低0.47元/天 解锁文章
Assassin__is__me
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
第一次作业
qq_29708141的博客
08-05 1万+
#include int main(void) { printf("Nice to meet you,C!I am yangmingxin\n"); return 0; }#include int main(void) { printf("  *      *\n"); printf(" ***    ***\n"); printf("*****   *****\n"); p
PHP课程整理
Autovy blog
02-02 242
PHP要点整理
李宏毅对抗生成网络 (GAN)教程(1)Introduction
Rita's Blog
05-11 1292
视频链接:https://www.bilibili.com/video/BV1tE411Z78A 在文章目录Basic idea of GAN生成器Generator判别器Discriminator两者关系一个实际的过程算法过程GAN AS Structure Learning生成器可以自己学习吗?(生成器就是Autoencoder中的decoder)可以的话,单独learn会有什么问题?(输出像素之间独立)判别器为什么不自己学习生成图片?(可以生成但是很卡(很慢))总结经过GAN,都可以解决 Basic
openssl数据加密
weixin_30856965的博客
02-28 1177
一、openssl简介 openssl是最著名的开源SSL,其用 C 实现,被广泛应用在基于TCP/Socket的网络程序中。 OpenSSL:开源项目 三个组件:openssl: 多用途的命令行工具,包openssllibcrypto: 加密算法库,包openssl-libslibssl:加密模块应用库,实现了ssl及tls,包nss 1、SSL(Secure Sockets La...
clgao的书签
郜小虎的博客
11-24 1万+
clgao的书签:<!DOCTYPE NETSCAPE-Bookmark-file-1> <!-- This is an automatically generated file. It will be read and overwritten. DO NOT EDIT! --> <META HTTP-EQUIV="Content-Type" CONTENT="text/html
python 使用API并将获取到的数据可视化的基本方法(详细)
最新发布
m0_62488776的博客
02-04 3391
我们将编写一个程序,它将会自动下载GitHub网站上星星最多的python项目的信息,并对这些信息简单可视化。
LCTF#LCTF2017#web签到题1
07-25
web签到题题目不难, 一共就只有几个点用file协议读取本地文件截断url后面拼接的/, GET请求, 用?#都可以payload其实很简单: file://
LCTF2017-WEB-LPLAYGROUND:LCTF2017网站题L_PLAYGROUND
03-23
这个项目是LCTF2017的网络题L_PLAYGROUND的开放原始码。 ./doc/build.md指南在./doc/build.md ./doc/writeup.md在./doc/writeup.md 0x02。参考 0x03。后记 这个路线我觉得只能说一般,利用到的点都没有很新,也没有...
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platformLCTF 2018 比赛平台。本项目中前端代码为webpack打包后的前端代码,前端源码参见。部署项目使用nginx+uwsgi+django部署,示例的和都已上传。uwsgi配置文件中为控制权限使用nginx:nginx用户启动,...
LCTF软件备份VariSpec™ Liquid Crystal Tunable Filters
01-06
Release history (reverse chronological order) This release 1.3.7.1 Release date: December 11, 2006 Known bugs: none Fixes/features added from previous release: a) added support for multiple filters ...
BugKuCTF WEB 变量1
无限迭代中......
07-07 511
http://123.206.87.240:8004/index1.php 题解: <?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/...
Bugku——welcome to bugkuctf(一道练习php://filter和php://input的好题)
csu_vc的博客
10-28 9361
查看源码有提示<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){ echo "hello admin!<br>";
CTFSHOW-命令执行
Monica的博客
09-03 4061
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
PHP之会话session
涟漪、的博客
07-22 6761
通过全局变量来判定是否设置session相关值 <?php session_start(); if (! isset($_SESSION['username'])) { if (isset($_POST['username'])) { $name = $_POST['username']; if ($name == '123') { $_SESSION['username'] = $_POST['username'];
公众号创建会员卡
02-20 5104
原文链接: https://mp.weixin.qq.com/wiki?t=resource/res_main&amp;id=mp1451025283 会员卡升级公告 2016年5月15日起,微信卡券团队对会员卡能力进行全面升级。在原有能力基础上进行以下能力升级,旨在帮助商家更好地进行会员管理。 -强化客户端一级入口:会员到店即用,快速定位商户会员卡; -自定义卡面能力:开发者可以根据会...
微信事件推送原理猜想与小程序接口对接经验之谈(即时配送)
dj1540225203的博客
06-11 890
小程序即时配送功能开发,引发的猜想。首先即时配送功能是微信小程序刚推出的新功能,接口有很多坑爹的,比如经纬度那些,就要精确到保留到小数点后面10位,文档都没说;如果是小程序第三方开发平台开发的话,调用“替商户开通即时配送权限接口”和”绑定快递功能接口“还要输入第三方的的账号密码,恶心到爆炸,建议有这方面开发需求的开发小伙伴,跳过这2个接口,确实很多坑,我开发遇到过了;比如啥openid未命中,商户不存在,XX的,要开发就一定要使用真实正式数据,不然很头疼的,再说一遍,微信小程序官方文档一定要自己看数据的返回
TP5 assign给模板变量赋值(或者取得参数值,在模板中显示出来)
热门推荐
php菜鸟技术天地
09-25 3万+
在控制器中controller public function school() { // 给模板变量name赋值 $id=input('get.id');//页数 $this->assign('id',$id); //多个参数 // $this->assign([ //
LCTF wp简单复现
weixin_30502965的博客
11-20 256
1、T4lk 1s ch34p,sh0w m3 the sh31l 代码如下: <?php $SECRET = `../read_secret`; $SANDBOX = "../data/" . md5($SECRET. $_SERVER["REMOTE_ADDR"]); $FILEBOX = ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值