[xctf] 江苏工匠杯easyphp【web系列】

已于 2024-02-29 14:22:02 修改
阅读量1.9k 收藏 25
点赞数 13
分类专栏: CTF 文章标签: 经验分享 其他 学习
于 2022-10-07 21:12:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shutTD/article/details/127198631
版权

题外话

这道题emmm怎么说呢我感觉这难度标签不至于1星吧,这等下萌新看了看这不直接劝退?不过话说回来,这道题没绕什么弯子思路比较直,绕waf的手段最好记下来备着以后刷题用。

一、审题

这是来自江苏工匠杯的一道题,我们打开题目康康:

又是直接扔给我们一段代码,那就开始快乐的(bushi)代码审计吧,代码如下:

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

二、代码审计

首先老样子找到我们的关键词flag,这里是一段if语句,如果$key1和$key2都为1时即可输出我们的flag,再跟进$key1和$key2这两个变量,发现分别在两个if语句里面,所以我们只要满足这两个大条件和内置的相关的小条件即可获得flag

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

首先我们先来看第一个if

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

首先传入a,b两个参数,第一个if语句的含义即为将a转化为整型大于6000000,并且a的长度要小于3,这里直接用我们的科学计数法就可直接解决,a=9e9 (9e9=9*10^9),第二句if的含义为将b进行MD5加密并截取加密后字符串的后六位等于"8b184b",这里就是简单的一个哈希碰撞,这里我写了一个懒人简易版的jio本跑就完事了(碰到其他题的哈希碰撞时只需要修改res和flag的截取位置即可)。

import random
import hashlib

res = "8b184b"
while 1:
    temp = random.randint(10**11, 10**12 - 1)
    temp = str(temp)
    MD5 = hashlib.md5()
    MD5.update(temp.encode(encoding='utf-8'))
    flag = MD5.hexdigest()
    if flag[-6:]==res :
        print("碰撞成功:"+flag)
        print("明文为:"+temp)
        break
    else:
        print("碰撞中.....")

碰撞完后得到明文:261815215889

 此时$key1已经等于1了,接下来看到第二个大if语句

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

传入c参数,注意此时的c要是json格式的字符串,其中key为m的value不能为数字且要大于数字2022,而当字符串与数字相比时会把字符串强制转化为整型即"123abc"会转成123,"abc"会转成0,这里和弱相等绕过时的一样,所以这里的m应该等于"9999abc",继续往下跟进,key为n的value必须为一个数组且value数量必须为2,且第一个value必须是一个数组,那么c的雏形就是: {"m":"9999abc","n":[["xxx"],xxx]},继续往下看,第一次使用array_search搜索n中是否有"DGGJ",有的话才能进行下一步,第二次使用foreach循环搜索n中的值是否含有"DGGJ",没有的话才能使$key2=1,而这里看上去是矛盾的,其实就是矛盾的哈哈哈,但是这是ctf题所以这俩函数必绕一个,刚好array_search可以绕过,建议题后去看看这个函数,这里直接说结论,也是一样的与弱相等类似即该函数进行匹配时如果是字符串与数字,先会把字符串转化为整型再加以比较,而"DGGJ"转化为整型即为0,所以c传的参数为:{"m":"9999abc","n":[["666"],0]} ,完整的payload为:?a=9e9&b=261815215889&c={"m":"9999abc","n":[["666"],0]}

最终得到了我们的flag。 

总结

这里绕来绕去大部分还是弱相等问题,出现的知识点的要求就是自己编写哈希碰撞脚本的能力,intval的绕过,array_search的绕过还是值得记下来的。

shutTD
关注
  • 13
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 ...在url中提交后便可访问页面源码,在...
时间刺客
qq_53229503的博客
01-31 1697
时间不站在你那边
crypto-hidden key(江苏工匠CTF)
耐酸碱高温固化材料近距离传输研究
12-31 2540
计算md5作为随机数种子生成一系列随机数,然后将flag中的字节依次与随机数做异或,最后输出异或的结果和。这种题目第一反应肯定是要恢复出随机数种子,然后将每次异或涉及到的随机数推算出来,最后反推flag的各个字节。这个题比较简单的地方在于可以枚举key的值,因为未知部分只有12bit,循环4096次即可完成覆盖。题目逻辑不复杂,本质上就是随机取了8个字节的数据。值是否能生成printable的flag即可。关于随机数的题目,记录一下。隐去低12bit后的数值。
easyphp-江苏工匠
szhangliwenya的博客
03-19 20
题目:源码分析这行代码将当前 PHP 文件的内容高亮显示。通常用于代码审计或教学$key1 = 0;$key2 = 0;这里定义了两个变量 $key1 和 $key2 并初始化为 0。这两个变量将用于后续的条件检查从 URL 的 GET 参数中获取 a 和 b 的值。...}else{如果 $a 存在,其整数值大于 6000000,且长度小于等于 3,则进入第一个条件块。否则,输出 "Emmm..." 并终止脚本。
xctfeasyphp
qq_40646572的博客
10-11 698
题目如上,这个题需要绕过很多。。首先考虑参数A的绕过a参数不可以为空,并且intval($a)的值大于6000000,而且长度不能大于3。那有什么好说的,这个intval()可以用科学计数法进行绕过,直接1e8,对于a参数的拦截已经绕过。下面来看b参数的绕过,关于b参数,要求8b184b与他的substr(md5($b),-6,6)值相等,这个说实话,一开始我想到的是不是可以绕过,但后来发现好像不太行,然后就使用爆破了。
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 3569
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
CTF-江苏工匠easyphp 题解
百彦子烨的博客
11-04 3943
攻防世界-web新手区-江苏工匠-easyphp 题解
php反向代理ctf,刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)
weixin_39946657的博客
03-11 285
[TOC]刷题记录:[SUCTF 2019]EasyWeb(EasyPHP)一、涉及知识点1、无数字字母shell这个方面充满了奇技淫巧,看的我一愣一愣,先说利用的php特性:(1)代码中没有引号的字符都自动作为字符串Php的经典特性“Use of undefined constant”,会将代码中没有引号的字符都自动作为字符串,7.2开始提出要被废弃,不过目前还存在着。我猜这也是为什么传马的时候...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
web 2.11 upload1.md
12-16
xctf
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XCTF-攻防世界CTF平台-Reverse逆向类——1、Mysterious
Onlyone_1314的博客
08-20 822
目录标题方法1、直接拼凑得到flag方法2、逆向计算输入的字符串得到flag 先用PEiD查壳: 发现没有壳,程序是VC++编写的Win32 GUI程序。 运行程序: 是一个让我们输入密码的程序,输入123点击“Crack”按钮没有反应。 方法1、直接拼凑得到flag 用IDA反编译程序: VC++编写的Win32 GUI程序最开始是从start()函数开始,调用: 1、注册异常处理函数 2、调用GetVersion 获取版本信息 3、调用函数 __heap_init初始化堆栈 4、调用 __ioin
XCTF进阶区Crypto之flag_in_your_hand write up
克格莫
07-02 842
下载下来查看html源码和js源码: <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-left: 30%; } #flag { font-family: Garamond, serif; font-size: 36px; } #flagtitle {
攻防世界_江苏工匠_MISC_看雪看雪看雪
qq_47875210的博客
11-10 1364
之前做过一次,没做出来,今天下载过来试试,看到rar,突然想到了,之前既然没有找到图片的隐写,是不是有ntfs,果然扫描就出现了4个文件,全部保存。其中一个文件有这么多空格和tab,再加上看雪,大概率是snow隐写了,其他的文件用sublimetext打开分别是。
frm一级4个1大神复习经验分享系列(二)
最新发布
magiclov的博客
05-21 183
先说一下自己的情况,8月份中旬开始备考,中间一直是跟着网课走,notes和官方书都没看,然后10月份下旬开始刷题一直到考试。下面分享一些自己备考的经验和走过的弯路。FRM一级侧重于讲述在接触风险管理之前所必备的一些内容,考试也偏重于。一级整体学习下来的感受是偏重于。,过一级是没问题的。
DAMA:数据治理 CDGA/CDGP 认证考试备考经验分享
云祁QI
05-18 845
主要方式就是看书,包括《DAMA-DMBOK2 数据管理知识体系指南》和《穿越数据的迷宫:数据管理执行指南》,这两本书在网络都有售卖。通读教材,了解基本内容和不同知识领域自己的掌握情况,做到心中有数精读教材,结合笔记、思维导图系统梳理知识点,这一遍时间最长结合了数贝(厦门数贝信息科技有限公司提供的“databok数据课”,可以在微信中搜索到小程序“数贝”)提供的练习题进行模拟训练,对训练过程中出错的题目反向查找知识点进行强化学习,加深理解查漏补缺,快速过一遍教材。
QT属性动画--设置样式属性(其他属性)
lizequan的博客
03-02 4919
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
Volatile的其他特性
我想月薪过万的博客
03-03 3611
2.1 volatile总体概览 在上一节中,我们已经研究完了volatile可以实现并发下共享变量的可见性,volatile除了保证可见性外,volatile还具备如下一些突出的特性: volatile的原子性问题:volatile不能保证原子性操作 禁止指令重排序:volatile可以防止指令重排序操作 2.2 volatile不保证原子性 2.3 代码测试 package Ls; /** * 目标:研究Volatile的原子性操作 * <p> * 基本观点:V.
【安卓基础】Android直接通过路径来操作其他应用的私有目录,可以吗?
m0_48179608的博客
03-02 7201
在上篇文章[【安卓基础】一文搞懂Android历代版本文件访问权限变化](https://blog.csdn.net/m0_48179608/article/details/122838494)我们对同一个应用的的文件访问权限做了比较。 那么不同应用之间文件访问又有什么限制呢?我们准备分二到三篇文件来阐述。 这篇文章,主要来看下不同系统版本下,我们直接通过路径来访问其它应用的**内部存储、外部存储私有目录**,看看能不能访问以及不同系统版本的区别。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shutTD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值