- ez_bypass
- ezaudit
- pywebside
- 套娃
- 你传你🐎呢
- not done
一、ez_bypass
换个界面- 这个有点丑:
GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行?
那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。
显示出了You got the first steponly one way to get the flag,那就通过了第一个if判断,接下来就是通过if(!is_numeric($passwd))
,post参数passwd字符上去:
通过,接下来就是通过if(passwd==1234567)了,之前一直用dechex(hexdec(‘1234567’)),以为这样子能通过,但是不能,查了一会,如下操作即可:
passwd=1234567%00(%00为截断符)
passwd=1234567x(X还可以是任何字母或者字符串) php判断字符串以1开头即可判断等值
passwd=1234567e0.1 用科学计数法表示数字1,既不是纯数字,其值又等于1
均可通过:
二、Ezaudit
说到底还系脚本积累少了点,看了表哥们的wp,才知道是www.zip源码泄露,人家的脚本咋都这么强大(狗头羡慕)
那就download下来,是一个压缩包:
打开:
浏览一下代码,下面有public_key 和 private_key字样,那就是公钥私钥呗,然后代码最下面又给出了公钥,那就是要用公钥推出私钥,看代码可以发现,私钥是由mt_rand函数生成的,百度一下相关知识,可以爆破出种子,然后根据种子就能把公钥算成私钥。这里需要用到的工具是php_mt_seed-master。
怎么用呢,下载下来看里面的readme,虽然是全英文,但是找关键字眼就行:
gcc -Wall -march=native -mtune=generic -O2 -fomit-frame-pointer -funroll-loops -fopenmp php_mt_seed.c -o php_mt_seed
放到kali下,进到解压完的文件内,执行上面这一句创建工程->php_mt_seed。这一步完成后,要把公钥转成这个脚本可读的一串数字(这里代码清空了,拿颖奇师傅的来凑一下):
#include<stdio.h>
#include <string.h>
int main()
{
char *str1 = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
char *str2 = "KVQP0LdJKRaV3n9D"; //公钥
for (int i = 0; i < strlen(str2) ; i++) {
for (int j = 0; j < strlen(str1) ; j++) {
if ( str2[i] == str1[j] ) {
printf("%d %d 0 %d ", j, j, strlen(str1)-1);
break;
}
}
}
return