6.12ctf练习

于 2024-06-13 21:41:39 发布
阅读量748 收藏 28
点赞数 11
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74020633/article/details/139626323
版权

[西湖论剑 2022]Node Magical Login

源码在这里:GitHub - CTF-Archives/2022-xhlj-web-node_magical_login: A web challenge in 2022 西湖论剑大赛打开

打开环境是个登录框,先进行了扫描和抓包都没有看见什么有价值的东西,看源码

大致连接到存在flag1和flag2


function LoginController(req,res) {
    try {
        const username = req.body.username
        const password = req.body.password
        if (username !== "admin" || password !== Math.random().toString()) {
            res.status(401).type("text/html").send("Login Failed")
        } else {
            res.cookie("user",SECRET_COOKIE)
            res.redirect("/flag1")
        }
    } catch (__) {}
}
function Flag1Controller(req,res){
    try {
        if(req.cookies.user === SECRET_COOKIE){
            res.setHeader("This_Is_The_Flag1",flag1.toString().trim())
            res.setHeader("This_Is_The_Flag2",flag2.toString().trim())
            res.status(200).type("text/html").send("Login success. Welcome,admin!")
        }
        if(req.cookies.user === "admin") {
            res.setHeader("This_Is_The_Flag1", flag1.toString().trim())
            res.status(200).type("text/html").send("You Got One Part Of Flag! Try To Get Another Part of Flag!")
        }else{
            res.status(401).type("text/html").send("Unauthorized")
        }
    }catch (__) {}
}

从这两部分代码中能够知道登录成功的条件是"admin/生成随机数转换为的字符串",爆破随机数这个不太可能,应该就要从别的地方入手

由于每次调用 Math.random() 都会产生一个新的随机数,密码验证几乎不可能成功,除非每次用户输入的密码恰好是 Math.random().toString() 的结果(这在实际情况下是不可能的)

看登录成功之后会生成一个名为user的cookie,值为SECRET_COOKIE,再重定向到flag1

在下一部分的代码中,当从客户端发送的cookie中user=admin就会返回第一部分的flag

所以直接抓包flag1修改cookie

接下来获取flag2

function CheckController(req,res) {
    let checkcode = req.body.checkcode?req.body.checkcode:1234;
    console.log(req.body)
    if(checkcode.length === 16){
        try{
            checkcode = checkcode.toLowerCase()
            if(checkcode !== "aGr5AtSp55dRacer"){
                res.status(403).json({"msg":"Invalid Checkcode1:" + checkcode})
            }
        }catch (__) {}
        res.status(200).type("text/html").json({"msg":"You Got Another Part Of Flag: " + flag2.toString().trim()})
    }else{
        res.status(403).type("text/html").json({"msg":"Invalid Checkcode2:" + checkcode})
    }
}

路由

app.post("/getflag2",(req,res)=> {
    controller.CheckController(req,res)
})

请求体中的checkcode长度要为16,并且在toLowerCase()转换为小写后字符串=="aGr5AtSp55dRacer"

在 Web 应用的安全性验证中,toLowerCase() 的验证逻辑如果没有针对输入的数据格式做严格的检查,可能会被利用 JSON 数据结构进行绕过

利用JSON数组来绕过

解释一下这个数组的构造思路

JSON数组的结构

{"数组名称":["a","b","c"]}

"aGr5AtSp55dRacer"在数组中为一个值,所以要满足长度为16,还需要添加除了预期字符串之外的一系列数字,验证代码简单地提取 checkcode 字段,而没有检查其类型,就直接使用整个数组,导致 toLowerCase() 等字符串操作被绕过

{"checkcode":["aGr5AtSp55dRacer",0,0,0,0,0,0,0,0,0,0,0,0,0,0,0]}

记得把类型改为json,否则会报错

[NCTF 2018]Easy_Audit

源码

<?php
highlight_file(__FILE__);
error_reporting(0);
if($_REQUEST){
    foreach ($_REQUEST as $key => $value) {
        if(preg_match('/[a-zA-Z]/i', $value))   die('waf..');
    }
}

if($_SERVER){
    if(preg_match('/yulige|flag|nctf/i', $_SERVER['QUERY_STRING']))  die('waf..');
}

if(isset($_GET['yulige'])){
    if(!(substr($_GET['yulige'], 32) === md5($_GET['yulige']))){         //日爆md5!!!!!!
        die('waf..');
    }else{
        if(preg_match('/nctfisfun$/', $_GET['nctf']) && $_GET['nctf'] !== 'nctfisfun'){
            $getflag = file_get_contents($_GET['flag']);
        }
        if(isset($getflag) && $getflag === 'ccc_liubi'){
            include 'flag.php';
            echo $flag;
        }else die('waf..');
    }
}


?>

借这题也是比较清楚的认识了php的超级全局变量,现在开始一层一层分析源码

第一层
if($_REQUEST){
    foreach ($_REQUEST as $key => $value) {
        if(preg_match('/[a-zA-Z]/i', $value))   die('waf..');
    }
}

foreach,一个遍历数组并把值赋给value,但是这个$_REQUEST是什么?

$_REQUEST 是 PHP 中的一个超级全局变量数组,用于收集通过 GET、POST 和 COOKIE 发送到当前脚本的请求数据。它整合了 $_GET$_POST$_COOKIE 三个数组中的数据。

同时$_REQUEST还具有一个特性,当同时通过POST和GET传参时,如果POST和GET中含有相同的变量时,只会获取POST传参的变量值

那么第一层就利用POST传参进行变量覆盖,且post传参的值中不能出现字母,绕过第一层的判断

第二层

if($_SERVER){
    if(preg_match('/yulige|flag|nctf/i', $_SERVER['QUERY_STRING']))  die('waf..');
}

$_SERVER也是一个超级全局变量, $_SERVER['QUERY_STRING']指获取get传参的变量和值

http://xxx.com?a=123
那么 $_SERVER['QUERY_STRING']就获取a=123

所以就限制了get传参中不能出现被正则过滤的变量,编码绕过就行

第三层
if(isset($_GET['yulige'])){
    if(!(substr($_GET['yulige'], 32) === md5($_GET['yulige']))){         //日爆md5!!!!!!
        die('waf..');
    }else{
        if(preg_match('/nctfisfun$/', $_GET['nctf']) && $_GET['nctf'] !== 'nctfisfun'){
            $getflag = file_get_contents($_GET['flag']);
        }
        if(isset($getflag) && $getflag === 'ccc_liubi'){
            include 'flag.php';
            echo $flag;
        }else die('waf..');
    }
}
一.md5强比较

GET传参yulige,截取前32位和md5加密后的值相同,其实就是一个md5的强比较,传入数组为空即成立

二.正则表达式的绕过

"$"表示正则匹配的位置,这里放在了末尾说明在字符串的末尾进行正则匹配,所以只要在"nctfisfun"前面加数字或者字母就行,只要末尾能匹配到要求字符串就行

三.php伪协议

file_get_contents读取$flag,赋值给getflag==='ccc_liubi',用data伪协议写入就行

所以完整的GET传参payload

yulige[]=1&nctf=1nctfisfun&flag=data://text/plain,ccc_liubi

POST传参

yulige=1&nctf=1&flag=1

MissAnYou
关注
  • 11
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF练习:靶场夺旗
qq_43233085的博客
11-23 5891
CTF练习:靶场夺旗环境准备信息收集ssh登录靶机 靶机地址: 链接:https://pan.baidu.com/s/1bi2wi7tEuegoXPSdpqJWzQ 提取码:532d 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172.19.75.143 查看靶机的IP,为172.19.75.100 ping一下,测试连...
BUUCTF admin
biggerpig的博客
09-24 935
buuctfweb类型admin题目
shutTD的CTF之旅WEB篇(1)--某个DASCTF
shutTD的博客
09-26 911
某个不知道源头的DASCTF题个人wp
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2652
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
渗透测试--CTF--FLAG
qq_50034496的博客
12-06 5450
渗透测试--CTF--FLAG
CTF题目pingpingpongpong--获取flag
weixin_52937457的博客
03-17 1819
ctf获取flag入门
CTFHub
qq_51553814的博客
06-08 1103
CTF技能树备份文件下载 bak文件 打开环境 ![图片](https://img-blog.csdnimg.cn/20210608103827205.png) 由题目告知,flag在index.php.bay文件中 直接在url栏后加入index.php.bat可以得到一个下载文件 ![图片](https://img-blog.csdnimg.cn/20210608104038469.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,s
CTF-入门练习
10-30
这个“CTF-入门练习题”很可能包含了一系列这样的挑战,旨在帮助初学者提升在网络安全领域的技能。 【网络攻防】 网络攻防是CTF中的核心部分,涉及攻击者与防御者的对抗。攻击者可能试图寻找系统漏洞,进行SQL注入...
web渗透-CTF杂项练习
最新发布
08-11
压缩包中有各种CTF杂项练习题,每种题型各一个,部分题目文件已将答案(如分离好的图片)一并包含,请细心鉴别以防做题时引发误解
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF之web——cookie
weixin_61167540的博客
11-23 1806
在cmd中输入:curl -i http://challenge-5460ffbe35aa75a0.sandbox.ctfhub.com:10800/ --cookie "admin=1"这里之所以设置cookie为admin=1,是因为上图中看到网页的请求头里admin=0,也就是设置的不是admin用户去访问的,改成1就好啦。cookie是存储再客户端上的一小段数据,浏览器(即客户端)通过HTTP协议和服务器端进行cookie交互,通常用来存储一些不敏感信息。
CTFshow——信息收集1-10
lee_maple的博客
01-15 6098
Web1 鼠标右键查看源码,即可看到flag Web2 找到开发者选项,看网页源码,即可获得flag Web3 使用burp对该页面抓包,即可获得flag Web4 首先了解robots协议: robots协议: robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3531
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
CTF解题-web类
qq_42936836的博客
08-24 5705
记录的一些CTFweb题目~~~
[V&N2020 公开赛]HappyCTFd
weixin_45689999的博客
03-04 1454
[V&N2020 公开赛]HappyCTFd 网站里除了user里面有一个admin有信息,其他页面和F12没有可用信息 所以猜测flag是在admin里面的,就是要登录admin账户 是一个账户接管漏洞,参考大佬bloghttps://www.colabug.com/2020/0204/6940556/amp/ 所以步骤就是 利用添加空格绕过限制来注册一个与受害者用户名相同的账号 生成忘...
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 953
任务环境说明:服务器场景:Server1。
CTFsql注入练习
07-29
回答: CTFsql注入练习题是一种用于训练和测试SQL注入技巧的题目。在这些题目中,参与者需要通过注入恶意的SQL代码来绕过应用程序的安全机制,从而获取敏感信息或者执行未授权的操作。这些题目通常包含了不同的注入场景和技巧,例如基于时间的盲注、报错注入、布尔盲注、宽字节注入等等。参与者需要通过分析应用程序的行为和结构,构造合适的注入语句来实现攻击目标。在解决这些题目的过程中,参与者可以提高对SQL注入漏洞的理解和掌握,并学习如何防范和修复这类漏洞。 #### 引用[.reference_title] - *1* *2* [CTF-SQL注入入门题型](https://blog.csdn.net/weixin_43080961/article/details/121939366)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [i 春秋 CTF训练营 web——SQL注入 1(字符型注入)(手动注入)](https://blog.csdn.net/AAAAAAAAAAAA66/article/details/121626527)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值