【网络安全 | CTF】攻防世界 lottery 解题详析

已于 2024-05-31 09:36:58 修改
阅读量6.7k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: CTF新手入门实战教程 文章标签: web安全 安全 网络安全
于 2023-07-23 09:44:58 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/131752048
本文详细解析了攻防世界CTF挑战中的lottery题目,通过AWVS扫描发现git泄露,利用Githack获取源代码。题目关键在于PHP的弱比较特性,当金额达到5000000时可以购买flag。通过修改请求参数,利用弱比较(==)的类型转换规则,使金额满足条件,成功购买flag。

文章目录

姿势

使用AWVS扫一遍该应用程序,扫描出git泄露

在这里插入图片描述

故使用githack获取目录结构源代码

详情参考:【Python | 网络安全】Git漏洞之Githack工具基本安装及使用详析 | 优快云秋说

在这里插入图片描述

发现关键语句:

在这里插入图片描述
代码审计:

使用for循环遍历数字数组numbers,循环变量i从0到6,共7次循环。

在循环体中,使用if语句判断当前索引位置上的数字是否等于中奖数字数组$win_numbers中对应索引位置上的数字。如果相等,则将same_coun

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF攻防世界 supersqli 解题
等风来
05-27 5182
堆叠注入(stacked injection)是一种SQL注入攻击的技术手段,它会在同一行代码中多次使用已知的SQL注入漏洞,从而达到绕过安全措施、执行恶意代码和窃取数据库信息等目的。堆叠注入攻击利用了SQL语句的连贯性,通过在查询语句中嵌入多个SELECT语句或在UPDATE语句中嵌入多个SET赋值的情况来强行插入额外的恶意代码段。表示注释掉其后面的内容,因此程序会执行两次SQL语句,并忽略掉密码的条件,最终返回敏感数据的行数,从而达到了窃取数据库敏感信息的目的。断开原有语句,再插入新的SQL语句。
网络安全 | CTF攻防世界 shrine 解题
等风来
07-24 5883
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界 cat、Confusion1、lottery
weixin_52268949的博客
04-12 1143
进入题目是一个类似于买彩票的东西我们先去注册个账号,然后发现可以buy flag,大概理解题目意思,我们要么只能在买彩票的时候让我们中大奖要么只能改变自己的余额,原题目应该使用dirsearch扫描发现git泄露然后使用Githack复原的但是攻防世界这边直接把源码给了我们。django项目下一般有个settings.py文件是设置网站数据库的路径,所以我们去读取settings文件,这里需要注意django项目生成时settings.py会存放在以项目目录下再以项目名称命名的文件夹下面。
攻防世界 lottery
weixin_51441054的博客
03-26 3887
打开页面发现是个彩票页面 发现需要注册,然后买彩票,得到足够的钱买flag 没有思路,查看robots.txt 发现git,怀疑是git泄密 利用githack将源文件下载下来 下载成功了,果然存在git泄密 查看代码,发现api.php中有一行代码存在问题 requests是json格式的 ​ 比较彩票数字与用户数字采用==弱比较 ​ 而且是一位一位的比较的 ​ 由于使...
攻防世界lottery
最新发布
2402_88743313的博客
10-26 1591
本文分了一个CTF题目中的彩票抽奖系统漏洞。通过.git泄露获取源码后发现api.php存在弱比较漏洞,在buy()函数中彩票号码比较使用"=="而非"==="。利用PHP弱类型特性,当布尔值true与任意字符串比较时结果为真。通过Burp Suite拦截请求,将numbers参数修改为全部为true的数组,即可实现每次抽奖都中大奖。重复操作积累足够虚拟币后,即可在market.php购买flag。关键点在于发现并使用弱类型比较漏洞绕过中奖逻辑验证。
攻防世界-lottery
m0_62094846的博客
03-17 1570
得到flag要$9990000 通过抽奖的方式获得钱,基本要7个数字都相同 扫目录,依次点开 robots.txt中有 /.git/ 用git下载,或者直接下载附件1(源码) 然后打开api.php <?php require_once('config.php'); header('Content-Type: application/json'); function response($resp){ die(json_encode($resp)); } f...
攻防世界-Web-lottery
2301_80797059的博客
10-11 771
1.php弱判断中,true和其它任何类型比较时,任何其他类型会转换为bool。
攻防世界——lottery
m0_62063669的博客
06-23 698
攻防世界——lottery进入题目后,这是一个彩票平台输入7个数字购买,对应数字相同就可以获得奖励如果要获得flag,就要用$9990000来买抓个包看看,发现api.php是对文件进行POST发送从题目下载附件,查看api.php API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数以下代码,只是截取了进行数字对比的部分 关键函数是 if($numbers[$i] == $win_numbers[$i]){$same_count++;}..
网络安全 | CTF攻防世界 inget 解题
等风来
07-23 6746
由于该语句为真,却无回显,故可排除数字型注入。语句,再根据回显做下一步判断。思路:尝试利用or构造。使用sqlmap爆数据。
网络安全 | CTF攻防世界 upload1 解题
等风来
05-24 6733
其中用到了 JavaScript 中的 Array 原型对象和条件判断语句。该代码通过扩展 Array 原型对象添加了一个名为 contains 的函数,用于判断一个对象是否在数组中,主要应用于判断上传文件的扩展名是否属于指定的图片格式,这里是 [‘jpg’,‘png’]这段代码的作用是检查上传文件的扩展名是否符合要求,如果是图片格式(jpg或png),则启用提交按钮,否则禁用提交按钮并弹出提示消息。上传时抓包,修改filename文件后缀为。考察文件上传,具体原理及姿势不再赘述。
攻防世界----lottery
qq_44418229的博客
07-20 1617
攻防世界----lottery .git信息泄露和php弱类型比较
lottery(攻防世界
m0_70819573的博客
02-24 296
4.是php弱类型相等的漏洞,用surp suite抓包,修改。2.首先通过githack运用.git获取源码。3.经过代码审计后,发现漏洞在api.php。1.打开环境,审计代码。
攻防世界-lottery-(细操作)做题笔记
qq_43715020的博客
06-15 3597
攻防世界-lottery-(细操作)做题笔记
攻防世界lottery
wangzhemvp的博客
04-15 652
随便输入7个数字,抓包,把numbers改为数组:[true,true,true,true,true,true,true](5) 空数组 [ ] (注意,一旦包含元素,就算包含的元素只是一个空数组,也是true)本题已提供源码,如果没提供,输入/robots.txt,发现/.git。(9)所有其它值包括-1都被认为是 TRUE (包括任何资源)(6)不包括任何成员变量的对象(仅 PHP 4.0 适用)(1)尽管代码在多,也要认真看(一般靠直觉 )。(7)特殊类型 NULL(包括尚未赋值的变量)
攻防世界 - Web - Level 3 | lottery
Blue17 の 小窝
12-31 1387
本题考查的是 PHP 代码审计,随题附赠的是目标网页的后端代码,当然,如果题目不提供,我们也可以通过目录扫描工具发现目标存在 robots.txt 页面,进而发现目标可能存在 .git 文件泄露,通过工具,我们也同样可以获得目标网页的后端代码。经过对文件功能的分,我们可以确定我们的渗透目标为 api.php,如果能找到一串必赢数字,我们就可以很轻松的购买到 flag,下面的内容是对于 api.php 文件的分。好的,那么下面,我们来分一下,什么作为载体,帮我传递这 7 个 true,到目标上呢?
攻防世界33-lottery-CTFWeb
LH1013886337的博客
10-21 514
我么发现了随机生成的win_number[i]呵numbers[i]是弱比较,能不能绕过呢?flag是要9990000买到的,初始账户只有20,买一次2块。如果是输入true肯定跟1,2是==的。源码中api.php里有buy方法。规则就是2个相同的数字赢5块…
攻防世界--lottery、ez_curl、ics-05
qq_75120258的博客
06-12 1525
array()函数是用来创建一个PHP数组json_decode :对 JSON 格式的字符串进行解码,转换为 PHP 变量。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值