菜鸟慢慢爬行-----web(8)

最新推荐文章于 2023-02-05 21:14:35 发布
最新推荐文章于 2023-02-05 21:14:35 发布
阅读量157 收藏
点赞数
分类专栏: ctf 文章标签: bugku 江湖魔头 PHP_encrypt_1 sql约束攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44897902/article/details/102650214
版权

PHP_encrypt_1(ISCCCTF)

打开后源码如下: 
<?php
function encrypt($data,$key)
{
    $key = md5('ISCC');
    $x = 0;
    $len = strlen($data);
    $klen = strlen($key);
    for ($i=0; $i < $len; $i++) { 
        if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
    }
    for ($i=0; $i < $len; $i++) {
        $str .= chr((ord($data[$i]) + ord($char[$i])) % 128);
    }
    return base64_encode($str);
}
?>

写解密为:

<?php

$flag="fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA=";
$str=base64_decode($flag);
$str1="";
echo $str; 
$key = md5('ISCC');
$klen=strlen($key);
echo "key";
echo $key;
$x=0;
for($i=0;$i<strlen($str);$i++)
{
	  if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
}
echo $char;
$data1="";
for ($j=0; $j < strlen($str); $j++) 
{
    $data1.= chr((ord($str[$j]) + 128-ord($char[$j]))%128);
	}
	echo $data1;
?>

解密算法中有两点值得注意,一是:

 chr((ord($str[$j]) + 128-ord($char[$j]))%128)

根据取余来求原数,值得注意的是128%128=0;

二是:

for($i=0;$i<strlen($str);$i++)
{
	  if ($x == $klen)
        {
            $x = 0;
        }
        $char .= $key[$x];
        $x+=1;
}

key的长度和base64解密后的明文长度不一样,将key的值赋给char时,当key的长度不够时就继续从key的第一个字符开始赋值;
即:key=729623334f0aa2784a1599fd374c120d(32位)
而char=729623334f0aa2784a1599fd374c120d729623(38位)

login(sql约束攻击)

首先先了解一下sql约束攻击:

https://www.php.cn/blog/detail/3861.html

假如一个char字段,它只允许输入25个(var(25))
正常用户名为admin
攻击使用用户名为admin[多个空格];
那么在select的时候就会变成admin,
因此,这道题可以使用sql约束攻击
注册admin (这里有多个空格),密码随意
然后用此密码去登录,得到flag

BK:江湖魔头
这道题其实挺有意思的:
在这里插入图片描述进去是这个页面,源码没什么好看的,进入江湖吧,进去之后源码有script.js,base64.js,md5.js
script.js:

eval(function(p,a,c,k,e,r){e=function(c){return(c<62?'':e(parseInt(c/62)))+((c=c%62)>35?String.fromCharCode(c+29):c.toString(36))};if('0'.replace(0,e)==0){while(c--)r[e(c)]=k[c];k=[function(e){return r[e]||e}];e=function(){return'[57-9abd-hj-zAB]'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('7 s(t){5 m=t+"=";5 8=9.cookie.n(\';\');o(5 i=0;i<8.d;i++){5 c=8[i].trim();u(c.v(m)==0)p c.substring(m.d,c.d)}p""}7 w(a){5 x=new Base64();5 q=x.decode(a);5 r="";o(i=0;i<q.d;i++){5 b=q[i].charCodeAt();b=b^i;b=b-((i%10)+2);r+=String.fromCharCode(b)}p r}7 ertqwe(){5 y="user";5 a=s(y);a=decodeURIComponent(a);5 z=w(a);5 8=z.n(\';\');5 e="";o(i=0;i<8.d;i++){u(-1<8[i].v("A")){e=8[i+1].n(":")[2]}}e=e.B(\'"\',"").B(\'"\',"");9.write(\'<img id="f-1" g="h/1-1.k">\');j(7(){9.l("f-1").g="h/1-2.k"},1000);j(7(){9.l("f-1").g="h/1-3.k"},2000);j(7(){9.l("f-1").g="h/1-4.k"},3000);j(7(){9.l("f-1").g="h/6.png"},4000);j(7(){alert("你使用如来神掌打败了蒙老魔,但不知道是真身还是假身,提交试一下吧!A{"+md5(e)+"}")},5000)}',[],38,'|||||var||function|ca|document|temp|num||length|key|attack|src|image||setTimeout|jpg|getElementById|name|split|for|return|result|result3|getCookie|cname|if|indexOf|decode_create|base|temp_name|mingwen|flag|replace'.split('|'),0,{}))

eval是执行函数,所以我们将去除eval的代码拿到控制台跑一遍:
得到:
在这里插入图片描述整理一下:

function getCookie(cname)
{
	var name=cname+\"=\";//对输入进行控制
	var ca=document.cookie.split(';');//以;分片
	for(var i=0;i<ca.length;i++)
	{
		var c=ca[i].trim();
		if(c.indexOf(name)==0)
			return c.substring(name.length,c.length)
		}
		return\"\"
		}
		function decode_create(temp)//解密
		{
			var base=new Base64();
			var result=base.decode(temp);//先进行base64解密
			var result3=\"\";
			for(i=0;i<result.length;i++)
			{
				var num=result[i].charCodeAt();
				num=num^i;
				num=num-((i%10)+2);
				result3+=String.fromCharCode(num)}//与i的乘方的值-(i取余10+2)
				return result3
				}
				function ertqwe()
				{
					var temp_name=\"user\";
					var temp=getCookie(temp_name);//获得cookie并赋值给temp
					temp=decodeURIComponent(temp);//temp进行url解密
					var mingwen=decode_create(temp);//再对temp进行解密
					var ca=mingwen.split(';');
					var key=\"\";
					for(i=0;i<ca.length;i++)
					{
						if(-1<ca[i].indexOf(\"flag\"))
						{
							key=ca[ia+1].split(\":\")[2]}}key=key.replace('\"',\"\").replace('\"',\"\");
							document.write('<img id=\"attack-1\" src=\"image/1-1.jpg\">');
							setTimeout(function()
							{
								document.getElementById(\"attack-1\").src=\"image/1-2.jpg\"},1000);
								setTimeout(
								function()
								{
									document.getElementById(\"attack-1\").src=\"image/1-3.jpg\"},2000);
									setTimeout(function(){document.getElementById(\"attack-1\").src=\"image/1-4.jpg\"},3000);
									setTimeout(function(){document.getElementById(\"attack-1\").src=\"image/6.png\"},4000);
									setTimeout(function(){
										alert(\"你使用如来神掌打败了蒙老魔,但不知道是真身还是假身,提交试一下吧!flag{\"+md5(key)+\"}\")},5000)
										}

​从源码可以看到,有两个解密函数:decode_create(temp)和decodeURIComponent,并且是先进行decodeURIComponent解密再进行decode_create解密
我们去控制台跑一遍:
在这里插入图片描述在这里插入图片描述在这里插入图片描述
得到:

"O:5:\"human\":10:{s:8:\"xueliang\";i:565;s:5:\"neili\";i:966;s:5:\"lidao\";i:50;s:6:\"dingli\";i:59;s:7:\"waigong\";i:0;s:7:\"neigong\";i:0;s:7:\"jingyan\";i:0;s:6:\"yelian\";i:0;s:5:\"money\";i:0;s:4:\"flag\";s:1:\"0\";}"

可以看见我们的金钱值为0,所以我们要去伪造cookie,将金钱值该为100000去商店买技能
加密函数如下:

function encode_create(data)
{
	var s="";
	for(i=0;i<data.length;i++)
	{
		var num=data.charCodeAt(i);
		num=num+((i%10)+2);
		num=num^i;
		s+=String.fromCharCode(num);
	}
	var base=new Base64();
	s=base.encode(s);
	return s;
}

加密出来的cookie直接修改cookie会被清空;
原因是在base64.js里面:
在这里插入图片描述在这里插入图片描述output被注释掉了,所以输出的cookie就变成了空;
因此我们可以通过:

document.cookie="user=UTw7PCxqe3FjcC42OThOwo1rUlBWMG5vfWppc2xtMCNzHhseH2dZYmcUDFhBQ15fBHVFDg8ODndNegd"

来给cookie赋值
之后再商店去买技能,讨伐就可得到flag;

ring4ring
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
陇剑杯之第九题WiFi之学习
shy的博客
09-29 1024
题目描述 网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量,让您来分析后作答:(本题仅1小问) 答题要求 小王往upload-labs上传木马后进行了cat /flag,flag内容为_____________。(压缩包里有解压密码的提示,需要额外添加花括号) 开始解题 1、解压题目给出的压缩包,发现一个镜像、两个流量包。 2、根据题目分析,小王往服务器上传了后门文件,并且读取了flag文件,题目要去我们.
[陇剑杯2021] 复现
qq_61768489的博客
08-14 1544
根据上面的文章可以知道(对于PHP_XOR_BASE64加密方式来说,前后各附加了16位的混淆字符),所以我们拿到的流量要先删除前16位和后16位字符,同时Godzilla的流量还会进行一个gzip压缩,因此最外层还要用gzdecode进行一次解码。密码在网卡的GUID里,GUID 和接口绑定是绑定的,win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]中。(请提交带有文件后缀的文件名,例如x.txt)...
bugku ctf decrypt
YouthBelief的博客
04-18 2648
题目源码 <?php function encrypt($data,$key) { $key = md5('ISCC'); //密钥729623334f0aa2784a1599fd374c120d $x = 0; $len = strlen($data); //要加密数据长度 $klen = strlen($key); //密钥长度 for ($i=0; $i < $len; $i++) { //以data长度循环 if ($x ==
2022西湖论剑 部分wp
qq_61768489的博客
02-05 1250
拿到文件路径/usr/local/lib/php/extensions/no-debug-non-zts-20190902/zend_test.so。可以考虑用SSRF来绕过)读取 /proc/self/maps 查看当前进程的内存映射关系,发现加载了一个名为zend_test的扩展。参考此文https://xz.aliyun.com/t/9707#toc-11。提取出来,黑白像素转01二进制,注意要竖着跑 ,像素太多,我将结果保存到文件里。总之php文件被加密了,寻找加密猜测应该是有依赖,思路可以是读。
哥斯拉还原加密流量
u011250160的博客
09-28 1万+
感谢大佬的文章:哥斯拉Godzilla加密流量分析 首先在自己的网站上上传个马 设置好代理,方便burp抓包 注意以下为PHP_XOR_BASE64加密的数据包 一共抓到了三个包 第一个包 第二个包 第三个包 第一个包 Request解密脚本 <?php function encode($D,$K){ for($i=0;$i<strlen($D);$i++){ $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c;
spring-web-5.1.5.RELEASE.jar
01-08
spring-web-5.1.5.RELEASE.jar
log4j-web-2.11.2.jar
01-08
log4j-web-2.11.2.jar
spring-webmvc-5.1.5.RELEASE.jar
01-08
spring-webmvc-5.1.5.RELEASE.jar
STM32F103 RT-Thread 工程
最新发布
06-28
8. **图形用户界面**:通过RT-Thread的LittlevGL或Nuttx nanoGUI等组件,可以构建丰富的图形界面。 9. **物联网支持**:RT-Thread提供MQTT、CoAP等物联网协议,方便接入云平台。 在开发过程中,开发者可能需要用到...
CISP-DSG培训课件
05-31
《CISP-DSG数据安全治理培训课件》是一份深度探讨数据安全治理的专业学习资料,旨在提升相关人员在数据安全领域的知识与技能。CISP-DSG,全称为Certified Information Security Professional - Data Security ...
ISCC2017部分题目wp
xuqi7
05-26 1万+
比赛网址:http://iscc.isclab.org.cn 小菜做的一些题
bugku——web 做题记录
小锤队长的博客
10-14 1579
Table of Contents 2,秋名山车神: 3,速度要快 4 welcome to the bugkuctf 1,login1(sql约束攻击sql约束攻击: 2,过狗一句话 3,细心 4,求getshell 5,INSERT INFO (sql注入 之 X - F -F 头注入) 6,这是一个神奇的登陆框 7 多数(sql 注入) 8,PHP_...
基于bugkuctf的一次密码加密解密学习
qq_40334963的博客
06-22 294
新手,第一次写博客,有点慌!如果有什么问题请指出,虚心接受,共求进步。 加密函数: <?php function encrypt($data,$key) { $key = md5('ISCC'); //获取密钥 $x = 0; $len = strlen($data); //待加密字符串...
CTF解题-Bugku_Web_WriteUp (下)
道阻且长,行则将至。
08-16 2918
BugkuCTF 练习平台的 Web 题目往后越做越难……单独起新的博文记录该难度级别的题目。 No.1 Python脚本算数 题目“秋名山老司机”,查看解题链接: 百度知道这道题是快速反弹 POST请求,HTTP 响应头获取了一段有效期很短的 key 值后,需要将经过处理后的 key 值快速 POST 给服务器,若 key 值还在有效期内,则服务器返回最终的 flag,否则继续提示“请再加快速度!!!”。所以你别想手动传值了,必须使用python脚本了,python中有eval() 函数可以快速计算
Bugku CTF web33(Web
ChaoYue_miku的博客
03-16 263
0、打开网页,下载附件 与其说是web题,更像是密码题,只不过用了PHP语言 <?php function encrypt($data,$key) { $key = md5('ISCC'); $x = 0; $len = strlen($data); $klen = strlen($key); for ($i=0; $i < $len; $i++) { if ($x == $klen) {
ISCC2017 Basic write up附加题目文件
椰树ii
05-25 3987
Wheel Cipher 身为二战时期的密码专家,你截获了通信员身上的一段密文、密钥序列和加密列表。你能看懂吗? 加密表: 1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13:   密钥为:2,3,7,5,13,12,9,1,8,10,4,11,6 密文为:NFQKSEVOQOFNP 题目已经提示你了,W
Web shell 与 冰蝎、蚁剑、哥斯拉(新手必看)
热门推荐
weixin_54161921的博客
07-08 4万+
一、Web木马的概念 web木马:用Web系统语言(如:ASO,PHP,JSP等)编写的木马,木马上传服务器后当成页面被攻击者访问,常当做后门. Web木马危害: 做后门; 文件,数据库操作; 修改Web页面 二、Web木马的特点 Web的特点一:Web木马可大可小 Web的特点二:无法有效隐藏 Web的特点三:具有明显特征值 命令执行函数:ebval,system,popen,exeshell_exec等 文件功能函数:fopen,opendir,dirnam...
iscc_2018 web题解
Smity的博客
10-25 2232
一切都是套路 开头比较客气,试了.bak .swp .svn都没有出来,结果发现是.txt,还是自己想复杂了 典型的变量覆盖漏洞,不用想了,直接先将flag的值赋给flag的值赋给flag的值赋给_200变量,然后利用die($_200)将flag打印出来。 你能绕过吗 id那里是只允许输入int吧我估计。。。什么十六进制或者其他的字母都认不出来,可能我水平不够想不到其他注入了。 我...
哥斯拉加密WebShell过杀软
悦分享
08-03 2893
哥斯拉是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在:1、哥斯拉全部类型的shell均过市面所有静态查杀。2、静态免杀这个问题,要客观;工具放出来之后可能会免杀一段时间,后来就不行了,但是,改改代码还能继续过狗。重点还是要看流量加密和一些自带的插件。3、哥斯拉流量加密能过市面全部流量waf。4、哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的。如此简单的操作界面,实际效果和功能可绝不简单。MSF联动。...
Objective-C入门指南:面向对象编程基石
Objective-C 是一种面向对象的编程语言,它起源于C语言,并在此基础上扩展了类定义、方法、属性等概念,使其能够支持真正的面向对象编程。作为Smalltalk的一种变体,Objective-C的设计注重封装、继承和多态等面向...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值