shutTD的CTF之旅WEB篇(1)--某个DASCTF题

最新推荐文章于 2024-06-13 21:41:39 发布
最新推荐文章于 2024-06-13 21:41:39 发布
阅读量907 收藏
点赞数 5
分类专栏: CTF 文章标签: 其他 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shutTD/article/details/127062542
版权

文章目录

前言

        朋友发过来的一道题,正好闲着没事想着试一下看能不能做出来,由于是别人开的环境所以解答中只包含了对解题有用的代码还请见谅,嘻嘻嘻。当然从今天开始也是第一天写博客,以后会陆续把自己打CTF的经历写出来或者分享一些渗透经历。

一、审题

题目路径为:http://xxxxxx/login.php?file=login,且题目界面为一个登录界面。

 

首先,看到登陆界面首先想到sql注入,但多次尝试无果,于是把目光看向uri,php?file=login可以看出是典型的文件包含,试着伪协议读取login.php,即在file=后面拼接php://filter/read=convert.base64-encode/resource=login,发现页面有回显即base64后的源码,解码后为(php部分):

<?php 
error_reporting(0);
include('fun.php');
$p=getenv('pass');  #密码有16位,不要想着爆破啦
if(isset($_POST['username'])&&isset($_POST['password'])){
  $username=$_POST['username'];
  $password=$_POST['password'];
    if($username==='admin' && $password===$p){ 
        setcookie('user',encryptStr($username));
        die($flag);
  }
  else{
    die("用户名或密码错误!");
  }

}
if(decryptStr($_COOKIE['user'])){
    die($flag);
}

可以发现源码内包含了fun.php,所以我们继续伪协议读取fun.php,php://filter/read=convert.base64-encode/resource=fun,解码后为:

<?php
$flag=file_get_contents('/flag');
function encryptStr($str){
 $encode_s=base64_encode(time()).'.'
 .base64_encode($str);
    return $encode_s;
}

function decryptStr($str){
 $arr = explode('.',$str);
 if(time()-intval(base64_decode($arr[0]))<1*3600){ 
  //cookie只有1分钟有效期
  if(base64_decode($arr[1])==='admin'){
    //确保登录用户为admin
    return true;
  }
 }
}
?>

到目前为止基本上信息收集已经够了,可以基本上判断为一个文件包含+代码审计的题

二、代码审计

1.重要函数概念

题目中出现的不认识的函数需要自己去查,这样才能更好理清思路

explode($a,$b):以$a作为分隔线将$b作为元素并返回一个数组,例如:$res=explode(',','hello,world'),$res=['hello','world']

die($res):退出某个进程并输出变量$res

2.理清代码逻辑

先观察第一段代码:正常登录post传参username,password,如果账号密码同时正确即可得到flag,但这个条件明显无法达到(16位,幸亏当时没爆破),所以我们看向第二个大if语句

if(decryptStr($_COOKIE['user'])){
    die($flag);
}

如果decryptStr($_COOKIE['user'])条件为真即可获取flag,所以可以肯定这里就是突破点了,所以我们继续跟进decryptStr()这个函数,可以马上发现在fun.php里面有这个函数:

function decryptStr($str){
 $arr = explode('.',$str);
 if(time()-intval(base64_decode($arr[0]))<1*3600){ 
  //cookie只有1分钟有效期
  if(base64_decode($arr[1])==='admin'){
    //确保登录用户为admin
    return true;
  }
 }
}

$arr = explode('.',$str)即将$str以点作为分隔,各个元素组合形成数组$arr,继续向下跟进:

if(time()-intval(base64_decode($arr[0]))<1*3600){ 
  //cookie只有1分钟有效期
  if(base64_decode($arr[1])==='admin'){
    //确保登录用户为admin
    return true;
  }
 }

如果当前的时间戳(time()函数为获取当前时间戳)减去$arr数组的第一位元素base64解码过后的整型要小于3600并且base64解密过后的$arr数组第二个元素强等于admin,即可返回true,所以我们只要满足这两个条件就可以获取flag了,而这个函数引入的参量便是user这个Cookie值,所以只需添加Cookie值即可。由于只要两数之差小于3600即可,所以我们暂且将数组第一个元素设置为9999999999999999并base64加密即可。

所以在登录界面,任意输入数字后登录进行抓包,在报头添加Cookie: user=OTk5OTk5OTk5OTk5OTk5OQ==.YWRtaW4=,删除body部分后发包即可回显出flag:DASCTF{97261283880281881047510905494476}

总结

由于本人技术比较菜第一次写博客,所以有些专业知识可能出错还请各位大牛指正。因为不知道该题目的源头所以也不知道官方wp是什么,若有雷同,纯属巧合。

shutTD
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
CTF大赛】2021 DASCTF July cybercms 一探再探
HBohan的博客
08-28 656
引言 在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 目。 预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。 由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。 这就来记录一下做这道时候的心路历程吧…… 目初探 cybercms 赛博CMS,只为安全而生 Hint: 信息搜集是一个
CTF实验吧-WEB-6
qq_18661257的专栏
12-22 4448
1.PHP大法 解 根据目提示,备份文件,还有进入页面有个index.php.txt,我不说话,直接进去看,源代码呀,话说这些目的难度为什么是中级,有趣! 查看源代码发现了eregi检测是否含有一个字符串,所以尝试编码,但是要编码两次,原因是传送过程中会自动解码一次,如果只进行一次的话,最后到php处理的时候还是原数据,主要是后面有一个urldecode再进行一次解码所以我们进行两次编码
DASCTF2022.07赋能赛 WEB目复现
绮洛Ki1ro的博客
08-10 1155
其实7月时就想复现了,感觉目质量挺高的,但奈何自己太菜看不懂就先搁置了。现在有能力回来填坑啦,但最后一目前对自己理解起来还是有点难度,之后再研究研究。
6.12ctf练习
最新发布
weixin_74020633的博客
06-13 734
"$"表示正则匹配的位置,这里放在了末尾说明在字符串的末尾进行正则匹配,所以只要在"nctfisfun"前面加数字或者字母就行,只要末尾能匹配到要求字符串就行。同时$_REQUEST还具有一个特性,当同时通过POST和GET传参时,如果POST和GET中含有相同的变量时,只会获取POST传参的变量值。GET传参yulige,截取前32位和md5加密后的值相同,其实就是一个md5的强比较,传入数组为空即成立。那么第一层就利用POST传参进行变量覆盖,且post传参的值中不能出现字母,绕过第一层的判断。
DASCTF
qq_53755216的博客
04-08 816
ez_serialize 目网址: http://684f47cd-5c9d-41cb-ad29-98d48096cc9a.machine.dasctf.com/ <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $thi
ctfWEB之后台登录
weixin_30340745的博客
06-02 1780
1、后台登录 格式:flag:{xxx} 解链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 打开链接: 查看源码,发现一段被注释的代码,有用: 仔细分析这一句: $sql = "SELECT * FROM admin WHERE username = 'admin' and password ...
002-CTF web理论基础-第二课理论基础.pdf
07-09
将深入探讨CTF Web型的基础理论,帮助参赛者理解和掌握解的关键点。 1. 工具集: 在CTF Web挑战中,通常会用到一系列工具来辅助分析和破解。例如: - Burp Suite:一个强大的HTTP代理工具,用于拦截、修改...
CTFweb学习记录 -- 网站信息搜集
lifanxin的博客
07-06 662
网站信息搜集概述GitHackDirSearch总结 概述   我个人自学web已经有了一段时间了,但总感觉少了些什么,从做角度上来讲,遇到的web要么是直接给了源码需要审计的,要么是会给足够的提示,让你知道是考察注入还是文件上传等。那么如果不给源码,不给提示呢,我们面对一个功能众多的网站该如何下手?此时就需要这一章的内容,我愿称其为web学习中灵魂的章节。   接下来我将根据做的积累,介绍下ctf中常用的一些信息搜集思路和工具。 GitHack   GitHack   现在的开发人员使用git进行版
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-all-in-one
01-30
ctf-all-in-one
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础;二、工具;三、分类专;四、技巧;五、高级;六、;七、实战... 2000多页的电子书,讲解细致,值得搜藏。
DASCTF部分复现
qq_63928796的博客
08-08 2534
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
CTF-Web2-(简单绕过登录过滤)
热门推荐
→_→
07-14 1万+
登陆一下好吗?? 做CTF时,不要忽略任何信息,要先收集信息,再分解信息,对于出者的信息,不可全信,也不可不信,具体的来说就是要仔细分析,出者的意图。 那么,根据这一的信息,我们了解到这是一道过滤了某些字符的登录注入型,为了进一步了解点击链接开始答: 打开链接,我们就能看到一个很简单的一个登录页面,我们可以按F12查看前端代码,看是否有隐藏的信息,结果没有,接下来我们就要考虑给出的信息中提到过滤了一切,我们测试一下,看是否过滤了所有的字符: 点击登录: 从返回的信息.
渗透测试--CTF--FLAG
qq_50034496的博客
12-06 5406
渗透测试--CTF--FLAG
CTFHub
qq_51553814的博客
06-08 1080
CTF技能树备份文件下载 bak文件 打开环境 ![图片](https://img-blog.csdnimg.cn/20210608103827205.png) 由目告知,flag在index.php.bay文件中 直接在url栏后加入index.php.bat可以得到一个下载文件 ![图片](https://img-blog.csdnimg.cn/20210608104038469.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,s
2021 第四届 浙江省大学生网络与信息安全竞赛技能赛 决赛 Writeup,5
小哈里的博客
09-08 3162
re:RE人三项,preprocess。用工具尝试进行base循环解密即可。
[V&N2020 公开赛]HappyCTFd
weixin_45689999的博客
03-04 1442
[V&N2020 公开赛]HappyCTFd 网站里除了user里面有一个admin有信息,其他页面和F12没有可用信息 所以猜测flag是在admin里面的,就是要登录admin账户 是一个账户接管漏洞,参考大佬bloghttps://www.colabug.com/2020/0204/6940556/amp/ 所以步骤就是 利用添加空格绕过限制来注册一个与受害者用户名相同的账号 生成忘...
DASCTF,网鼎杯部分目复现
cwr1499640048的博客
06-04 2276
2020 网鼎杯 you_raise_me_up 目代码很简单 from Crypto.Util.number import * import random n = 2 ** 512 m = random.randint(2, n-1) | 1 c = pow(m, bytes_to_long(flag), n) print 'm = ' + str(m) print 'c = ' + str(c) m = 39119070912452742895948966256527403931830595217
[warmup]ezphp
Nothing-one的博客
10-06 159
[warmup]ezphp 我们把这个下载之后我们可以看到一个网站 http://85b35f01-226c-413b-bd8b-6a5a1f2acdaa.zzctf.dasctf.com 我们可以推测一下这是一个git源码泄露。 所以这里我们就要用githack来进行扫描。 随后我们就可以看到这里面我们可以看到三个文件 也就是这个网站的源码从中我们可以找到关键的代码在这个index.php中我们可以看到这里面的一些重要代码 ?page=flag’.system(“ls”).’来查看目录,进入目录查看
CTF Web理论基础-第二课:工具集与php弱类型
在《002-CTF web理论基础-第二课理论基础.pdf》和《002-CTF web理论基础-第二课理论基础》中,我们学习了关于CTF网页型的理论基础知识。本文总结了这些知识,并提供了一些相关的工具集和理论基础内容。 ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shutTD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值