CUMT2017赛宁杯 GUESS

于 2019-01-14 11:49:21 发布
阅读量354 收藏 1
点赞数 1
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy_259/article/details/86474387
版权

打开文件是一个这样的界面,发现可能存在文件包含漏洞,于是想到用php://filter/协议流去读取文件的源码(其中最重要的就是upload源码,index并不重要)
在这里插入图片描述
如下图所示:源码如下:
在这里插入图片描述
在这里插入图片描述

感觉最重要的是下面的部分:
$seed = rand(0,999999999);
mt_srand($seed);
$ss = mt_rand();
$hash = md5(session_id() . $ss);
setcookie(‘SESSI0N’, $hash, time() + 3600);
查到mt_srand()函w3school给的介绍是 mersenne twister随机数生成器
mt_srand(seed) 参数seed用来给随机数播种
mt_srand() 播种 Mersenne Twister 随机数生成器。语法
mt_srand(seed)
mt_rand() 使用 Mersenne Twister 算法返回随机整数。语法
mt_rand(min,max)

以上这段代码的意思就是用 rand函数随机生成(0,999999999)之间的一个种子数,然后给mt_rand播种,再赋值给 s s 此 时 返 回 的 h a s h 就 是 s e s s i o n i d ( ) 和 ss 此时返回的hash就是session_id()和 sshashsessionid()ss一块的hash ,我们提交的时候将session_id删掉,这样的话就可以解出来$ss的值,我们首先创建一个php的文件,内容为一句话,然后添加到压缩包文件,再把压缩包改名为jpg,最后利用Zip://协议流解析里面的内容,如下图所示:
在这里插入图片描述
在这里插入图片描述
然后可以用php_mt_seed这款工具暴力破解出随机数的种子,
(下载地址 https://www.openwall.com/php_mt_seed/)
在这里插入图片描述
在这里插入图片描述
mt_srand()为刚才求出的种子,然后访问这个脚本,就可以拿到文件的路径
在这里插入图片描述
根据源代码可以推测出文件的路径,然后利用zip://包含文件 解析PHP代码
在这里插入图片描述
最后链接菜刀拿flag就可以了

Sybzdd111
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 8952
NJCTF 2017 web Writeup
2017 NJCTF Web Guess
wywwzjj
12-30 1765
PHP 伪随机数安全问题
CUMT2017赛宁杯
weixin_34129145的博客
06-07 283
由于下午去学生在线要验收任务,就做了大半天吧 这些题目,学长们都懒得出wp了。。。。我就稍微写点东西吧 upload 打开页面,上传页面,上传绕过,直接上传php,有拦截,修改JS 然后传个大马,掏出bp function check(){ upfile = document.getElementById("upfile"); submit = document.getElementByI...
cumt2017第一次训练赛题解
weixin_30955341的博客
04-03 133
2017年4月3日 cumt2017春季——训练赛(1) A.HihoCoder 1339 (dp) 思路:   比较清晰呢,就是个dp吧。定义一下状态,dp[i][j]:前i个骰子,扔出点数和为j的方案数。然后不就很好写了嘛递推式,dp[i][j] = dp[i - 1][j - k](1<=k<=6)。   好像题就做完了诶,可是窝wa了两发什么鬼。第一发爆int,第二发...
cumt12月双月赛部分RE
WocW的博客
12-17 311
好像是第一次觉得自己在参加比赛... 1.RE-open the gate of RE 查看文件头是elf文件 使用IDA打开,查看字符串发现什么都没有 然后使用linux的edb打开动态调试。开头直接jmp到这个函数,F8执行完这个函数就显示了字符串 然后F7跟进这个函数 继续往下执行第二个syscall会卡住,然后直接跳过到执行下面的循环 阅读汇编得知这里...
CUMT微机原理练习题
08-23
CUMT微机原理的复习题
cumt.rar_cumt_opnet_拓扑图
09-23
《OPNET技术详解:基于cumt.rar_cumt_opnet_拓扑图的深入学习》 在信息技术领域,网络性能分析和模拟是至关重要的环节。OPNET(Optimized Network Engineering Tool)是一款强大的网络仿真与性能分析工具,广泛应用...
CUMT2021算法导论OJ(python版).rar
11-16
《CUMT2021算法导论OJ(python版).rar》是一个压缩包,包含的资源主要用于学习和实践算法,特别强调了Python语言的应用。这个资源可能出自中国矿业大学(CUMT)的一门课程,旨在帮助学生掌握算法基础,并通过在线判题...
CUMT校园网自动登录.rar
04-24
【CUMT校园网自动登录】是中国矿业大学(CUMT)学生或教职员工为了解决频繁手动登录校园网认证问题而开发的一种自动化解决方案。这个压缩包包含了一个详细的使用教程文档(必读-CUMT校园网自动登录教程.docx)和可能...
Neville插值CUMT,neville插值算法,Python
09-10
在给定的“Neville插值CUMT”项目中,这个方法被应用于处理GPS(全球定位系统)相关的数据,特别是精密星历文件。 CUMT( Coordinate Universal Modulation Time,通用坐标调制时间)是与GNSS(全球导航卫星系统)...
SWPUCTF 2018 Web两道
柠檬木有枝
12-20 893
前言 西南石油大学比赛,做出了一道xss+tar提权,flask卡在了构造继承链 用优惠码 买个 X ? flag在/flag中 URL http://123.207.84.13:22333 注册个账号登录 登录提示送你优惠码 优惠码保存在cookie中的Auth中 输入优惠码提示要输入24位的优惠码 http://123.207.84.13:22333/www.zip 源码泄露 只有个s...
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
07-08
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
2003-2023年飞机航线信息数据.xlsx
07-08
2003-2023年飞机航线信息数据 1、时间:2003-2023年 2、来源:高铁航线数据库(Chinese High-speed Rail and Airline Database,CRAD) 3、指标:起点城市、起点城市所属地级市、起点城市所属省份、起点机场、终点城市、终点城市所属地级市、终点城市所属省份、终点机场、航空公司、更新日期、航班、出发时间、到达时间、准点率、班次_周一、班次_周二、班次_周三、班次_周四、班次_周五、班次_周六、班次_周日
Xilinx Vitis 2020工程源目录修改
07-08
Xilinx Vitis可以做standalone程序开发,不过其工程中使用的路径为绝对路径。工程更换位置后编译将会显示错误。例如:源目录为D:/work,复制到同事电脑上放到C:/work(同事电脑只有一个C盘)。利用Vitis打开工程编译会有一堆错误,提示文件找不到。本脚本用来解决该问题。
1000__gpt_4_prompts.md
07-08
1000__gpt_4_prompts
电子行业点评:算力需求持续提升,景嘉微强势入局.pdf
最新发布
07-08
电子元件 电子行业 行业分析 数据分析 数据报告 行业报告
Python设计指导文件
07-08
Python设计指导文件
Java软件开发实战 Java基础与案例开发详解 9-8 练习题 共4页.pdf
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
12306车票信息爬虫
07-08
12306车票信息爬虫 12306车票信息爬虫 12306车票信息爬虫 12306车票信息爬虫
cumt网络安全实验
11-11
cumt网络安全实验是中国矿业大学(北京)开设的一门实践课程,旨在培养学生对网络安全领域的理论知识和实际操作技能。这门课程内容涵盖了网络攻防技术、安全漏洞挖掘、数据加密与解密、安全协议设计等方面的内容。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值