DDCTF2019web----滴~

最新推荐文章于 2022-08-20 00:20:17 发布
最新推荐文章于 2022-08-20 00:20:17 发布
阅读量353 收藏
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyl_wjl_1413/article/details/89646113
版权

题目链接
题目界面:
题目

首先,观察!!
1、titile和get传送的数据jpg的内容是一样的,而且很像是加密过的字符串
2、img函数提供的参数有提到base64,猜测其后的内容是base64加密的内容

然后,尝试:
1、将jpg后面的内容用base64解密,得到NjY2QzYxNjcyRTZBNzA2Nw==
2、看起来还是像base64加密的内容,再次解密,得到666C61672E6A7067
3、这次得到的不是base64加密的内容了,像什么呢?注意到,这串字符由数字和字母组成,而且字母不超过E,疑似十六进制数,用十六进制解密试试,得到flag.jpg(这一步也是看了题解才知道,凡是给出的条件没有哪个是多余的,一定要探索到最后,找出明确意义)
4、再联想:get传入的jpg的内容和题目中看到的内容,文字部分是一样的,图片部分,应该也是由传入的参数决定的
5、那么,考点来了:通过修改jpg参数的内容来获取想要的内容(本地文件泄露)
想看的自然是index.php了,所以将index.php经过一次十六进制加密,再经过两次base64加密,之后传入jpg参数,得到:
在这里插入图片描述
显然,想尝试把img中scr里的意思有用内容用base63解密,得到:

<?php
/*
 * https://blog.csdn.net/FengBanLiuYun/article/details/80616607
 * Date: July 4,2018
 */
error_reporting(E_ALL || ~E_NOTICE);


header('content-type:text/html;charset=utf-8');
if(! isset($_GET['jpg']))
    header('Refresh:0;url=./index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09');
$file = hex2bin(base64_decode(base64_decode($_GET['jpg'])));
echo '<title>'.$_GET['jpg'].'</title>';
$file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
echo $file.'</br>';
$file = str_replace("config","!", $file);
echo $file.'</br>';
$txt = base64_encode(file_get_contents($file));

echo "<img src='data:image/gif;base64,".$txt."'></img>";
/*
 * Can you find the flag file?
 *
 */

?>

这样就得到了inde.php里的内容。

首先读注释,发现是一个博客的url,又跟了一个日期,按照提示,找到对应博文,如下:
在这里插入图片描述
接着读index.php,发现确实验证了之前的猜测(还是需要一定的观察力的,一定要把已知内容进行联系)

最后提示,Can you find the flag file?说明到现在还没有找到flag文件,想一下已知线索,觉得应该去那篇博文里找

博文讲的是swp文件泄露(又一个考点),那到底应该去找哪一个swp文件呢?第一反应是搜索题目的url目录,用dirsearch也好,wwwscan也好都只能找到三个状态为200的文件(也许有更好的搜索方法,有待探索),看了wp发现,其实就是博文里反复提到的practice.txt.swp(远在天边近在眼前。。。)

查看该文件,得到:
在这里插入图片描述
看样子应该是flag的入口文件了,显然,还是想知道这个文件里的内容,故技重施,发现不太对。原因是由于正则表达式的存在,!被过滤了,但是,另一条str_replace语句提示,config和!之间有替换关系,所以最终构造的应该是f1agconfigddctf.php的三次编码后的值,最后传入jpg参数,得到:
在这里插入图片描述
和之前类似,可以得到f1ag!ddctf.php的内容:

<?php
include('config.php');
$k = 'hello';
extract($_GET);
if(isset($uid))
{
    $content=trim(file_get_contents($k));
    if($uid==$content)
	{
		echo $flag;
	}
	else
	{
		echo'hello';
	}
}

?>

到了这里,官方题解给的是,把k的值设为vsp地址,uid设为2333(这个值应该是因人而异),我百度了半天也不晓得vsp是什么,但是我尝试将uid设为各种值,发现都没用,最后一气之下,直接uid=就回车(也就是没设值)就得到flag了,后来想想其实也是,hello也不是一个文件,读取内容应该就是空,不过也是凑巧了,正确方法还有待学习

总结
1、一定要多观察、联想,所有的条件都会有一个合理的解释(虽然需要经验积累)
2、swp文件泄露、本地文件泄露算是再次巩固了
3、学海无涯,苦作方舟
-完结-

#Super Pig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019.4 DDCTF web题-- writeup
04-14
DDCTF,2019年4月比赛,web题,第一题-- writeup,及flag
DDCTF-Normal
07-03
DDCTF中的安卓题目打包
[ACTF2020 新生赛]Include WriteUp(超级详细)
lunan的博客
04-22 1870
[ACTF2020 新生赛]Include   打开靶机发现一个超链接,点击之后出现一段话 “Can you find out the flag?” 查看源码注入,无果 仔细看url,发现有flag.php   根据题目提示,该题应该是文件包含漏洞,因此可以判断出此题是PHP伪协议题目,构造payload如下 ?file=php://filter/read=convert.base64-encode/resource=flag.php   此时可以得到base64的编吗后的
CTF
qq_50025258的博客
02-01 486
[极客大挑战 2019]HTTP 查看源码,发现php文件 href="Secret.php" BurpSuite抓包 提示:it不是来自https://www.Sycsecret.com HTTP请求首部字段 Referer:http://www.Sycsecret.com` 作用:告知服务器请求的原始资源的URI 提示:请use"Syclover"浏览器 User-Agent:Syclover 作用:将创建请求的浏览器和用户代理名称等信息传达给服务器 提示:No!!! you can only r
DDCTF2019-WRITEUP
郁离歌丶的博客
05-04 2900
WEB ~ 进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。 内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
DDCTF2019-web1~
Sea_Sand息禅
06-06 431
Web 1、~ url中这一串字符串经过两次base64解码,一次16进制解码,得到flag.jpg,看来这是一个文件的读取,而且从源码可以看出,读取的结果是base64码,尝试读取index.php的源码: 传递jpg=TmprMlJUWTBOalUzT0RKRk56QTJPRGN3,把源码中的base64解码得到index.php的源码: <?php /* * ht...
DDCTF2018出题心得
08-24
DDCTF 2018出题心得与题解分享-欧家俊, 什么是好的 CTF
ddctf_fix_success.exe
01-12
脱壳修复成功
ddctf_dump.exe
01-12
dump出来得东西
2019DDCTF 部分Writeup
观樂。的博客
04-19 1959
2019DDCTF 部分Writeup 太菜了,就只做了四道题,而且其中不乏大佬们的提示,这里就记录下做了的题… Web ~ 题目地址:http://117.51.150.246 打开后题目跳转到这个地址:http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 界面显示如下图: 然后看传入的jpg的值是bas...
DDCTF2019——reverse1_final
汐白
04-23 948
(DDCTF 19)reverse1_final 直接拉进od,发现进去之后不像是在正常的程序领空,PEiD查一下,发现是一个UPX类型的壳。 百度下载脱壳机,脱壳。 然后拉入od分析,发现我们输入的字符串被程序加密后与“DDCTF{reverseME}”作比较; 也就是flag输入进去之后会被程序加密为“DDCTF{reverseME}”; 将其拉入ida分析 很明显,该函数便是加密函数;进入内...
DDCTF2019 web-writeup
weixin_41038469的博客
04-19 702
又是没有进入复赛的ctf 继续留下没有技术的泪水 希望下次再加油吧! 1 ~ 2 web签到题 3 Upload-IMG 4 大吉大利今晚吃鸡 5 Misc-wireshark 1 ~ 察觉到jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09有问题 发现加密形式是base64_encode(base64_encode(bin2hex($jpg)) 解密得到是flag...
DDCTF 2019 逆向题writeup(二)
每昔的博客
04-13 3478
文章目录总结脱壳分析定位关键call逆向分析编写脚本 总结 其实输入只能是0-9和A-F有很大的提示作用,开始没想明白 and和add没看清,走了很多弯路 python模块itertools的排列组合函数 结合IDA分析会简便,但是太烂不想脱壳dump 脱壳分析 首先是一个ASPack 2.12 -> Alexey Solodovnikov。利用ESP定律脱壳。 定位关键call 这个c...
一道DDCTF题–~
stars77的博客
05-31 2436
这道题涉及到常见的编解码、变量覆盖、过滤等知识点,接下来看题。
CTF】DDCTF-2019
最新发布
网络安全从业者的学习笔记
08-20 233
虽然刚导出的http文件中包含一个已存在的看似相同的风景图片,但文件大小却不相同,可以猜测一个是加密之前的图片,另外一个则是被加密后的。将多余的信息删除,只留下PNG文件(以89 50 4E 47 开头,以49 45 4E 44结尾)。下载附件,是一个PCAPNG文件,使用wireshark包打开,并搜索http协议的包。那么另外一张图片就是加密图片了,通过之前寻找到的网站进行解密,得到base16的密文。选择文件时可以看到带有钥匙的图片明显存在高度被隐藏。,还有一些PNG等文件,将文件导出。
CTFWeb找Flag题目(1)
热门推荐
TLXX1126的博客
07-13 3万+
今天做的一个题,题目上给了一个链接,链接是一个网页,网页上让输入一个pass key, 做题步骤是先用BP抓包,然后repeter看返回包 其中Content-Row是一个用base64加密过的一串字符,然后将其解码便得到了pass key 听火种CTF中胖虎大佬讲解是这么说的: 这个功能就是抓包和看返回包的过程 就跟你要看一个网站,你就得把你的IP地址各种请求告诉网站,
DDCTF2019 confused WP
qq_41252520的博客
10-27 367
前言 有一段时间没更新博客了,主要是事情太多。这是上半年的比赛遗留下的问题,决心好好琢磨一番。后续会更新hackgame2019的部分题解和其他平台上的题解。 分析 这是一道ELF64位的虚拟机逆向。首先通过初始化虚拟机函数: void *__fastcall init_vm(VM *vm, const void *input) { vm->reg_0 = 0; vm-&gt...
php中的curl的用法总结
一颗程序猿
04-16 1146
一、curl简介 百度百科给的解释是:数据传输神器。那它神器在什么地方那,通过查找资料得出curl可以使用url的语法模拟浏览器来传输数据,因为是模拟浏览器所以它支持多种的网络协议。目前支持http、https、ftp、gopher、telnet、dict、file和ldap协议。libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FT...
TAMUCTF2019 web writeup
stepone4ward的博客
03-05 808
Not Another SQLi Challenge 万能密码 payload:username=admin&amp;amp;amp;password=1'or 1=1# Buckets 针对BUCKET的探针,使用浏览器打开Amazon提供的自动分配的S3 URL,格式为http://bucketname.s3.amazonaws.com 也就是修改url为http://tamuctf.s3.amazonaws...
DDCTF2020 Writeup
郁离歌丶的博客
09-11 3398
DDCTF2020 Writeup 全靠lfy带飞orz. Web Web1 照着来一遍请求,拿到jwt,jwt.io看一下是hs256 跑一下key是1,伪造即可拿到client client抓请求发现signature对即可: 逆client,得到signature请求逻辑,根据输出格式、输出长度以及输入,判断出签名是hmacsha256算法,然后密钥是DDCTFWithYou,写个签名脚本打一下 import requests import json import hmac import bas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值