实验吧-忘记密码了

最新推荐文章于 2021-03-25 19:12:18 发布
最新推荐文章于 2021-03-25 19:12:18 发布
阅读量320 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qingchenldl/article/details/84576425

忘记密码了

原题链接

http://ctf5.shiyanbar.com/10/upload/step1.php

分析

注册,发现有content,直接填
查看了一下源码,发现好像还有东西:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1" />
    <meta name="renderer" content="webkit" />
    <meta name="admin" content="admin@simplexue.com" />
    <meta name="editor" content="Vim" />
<br />

注意有个Vim。难道是提示说有vim的源码泄露?试了一下step1.php.swp也不对啊。。。

注册后得到提示

你邮箱收到的重置密码链接为 ./step2.php?email=youmail@mail.com&check=???????

容易得到我们的重置密码链接
http://ctf5.shiyanbar.com/10/upload/step2.php?email=admin@nuptzj.cn&check=???????

问题是check是什么呢?先不管,访问看看,然后一闪而过,回到了原来的注册页面。应该是由于check的问题,但是一闪而过的页面是什么样的呢?

于是抓包看了一下,发现重要信息,有一个新页面submit.php,step2.php,实际上是把数据传给了submit.php

11129189-33bfc2adbb9e74f3.png

那么Vim的源码泄露,找到罪恶之源了。
http://ctf5.shiyanbar.com/10/upload/.submit.php.swp


........这一行是省略的代码........

/*
如果登录邮箱地址不是管理员则 die()
数据库结构

--
-- 表的结构 `user`
--

CREATE TABLE IF NOT EXISTS `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) NOT NULL,
  `email` varchar(255) NOT NULL,
  `token` int(255) NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ;

--
-- 转存表中的数据 `user`
--

INSERT INTO `user` (`id`, `username`, `email`, `token`) VALUES
(1, '****不可见***', '***不可见***', 0);
*/


........这一行是省略的代码........

if(!empty($token)&&!empty($emailAddress)){
    if(strlen($token)!=10) die('fail');
    if($token!='0') die('fail');
    $sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";
    $r = mysql_query($sql) or die('db error');
    $r = mysql_fetch_assoc($r);
    $r = $r['num'];
    if($r>0){
        echo $flag;
    }else{
        echo "失败了呀";
    }
}

注意到这一句

if(strlen($token)!=10) die('fail');
    if($token!='0') die('fail');

token 为10位,且为0,邮箱必须是管理员邮箱,在step1.php里有管理员邮箱admin@simplexue.com
那就简单了
token=0e12345678

这里用的是submit.php

如果还是用step2.php 还是会闪回step1.php,这里有点坑。
还有一个坑点就是,submit.php和step2.php的提交参数不一样,
这一点在抓包的源码中可以看出来。

email:<input name="emailAddress" type="text" <br />
<b>Notice</b>:  Use of undefined constant email - assumed 'email' in <b>C:\h43a1W3\phpstudy\WWW\10\upload\step2.php</b> on line <b>49</b><br />
value="admin@simplexue.com"  disable="true"/></br>
        token:<input name="token" type="text" /></br>
        <input type="submit" value="提交">
    </form>
</body>

emailAddress&token

于是有了payload
http://ctf5.shiyanbar.com/10/upload/submit.php?emailAddress=admin@simplexue.com&token=0e12345678

flag

SimCTF{huachuan_TdsWX}

知识点

vim写文件造成swp源码泄露
简单审计
查看html源码隐藏信息

一点吐槽,其实题目不难,但是硬是卡了很久,原因就在于,用它填充的密码或者随便注册个密码,它会闪回到step1.php
让我不知所措,还好后来想起来,用Burp抓包看看过程。

【原创】实验吧此处无声WP
zoleo8088的博客
08-14 288
实验吧此处无声 writeup
CTF-实验忘记密码
才不是小弱鸡的博客
05-10 2029
题目地址:http://www.shiyanbar.com/ctf/1808先看源码,发现并没有什么卵用QAQ,那就随便写个东西提交一下吧。发现弹出了这个框显然有个step2.php的网址,那我们输入url查看一下这个网址,发现马上跳回了step1.php既然这样,那就看一下step2.php的源码,在url前面加上view-source:就可以看到源码啦~然后我们发现了一些有趣的东西管理员邮箱,...
实验--忘记密码
qq_41281571的博客
07-31 587
实验吧–忘记密码了 知识点:vim编辑器会产生备份文件.swp 解题流程: 打开链接发现就是一个页面,什么提示也没有,源代码也好像没什么 接下来,我们就随便写一个email上去,他显示 你邮箱收到的重置密码链接为 ./step2.php?email=youmail@mail.com&amp;check=??????? 然后我我们访问这个step2.php地址,发现他会马上跳转到...
实验忘记密码了?wp
keep coding
03-09 600
ACM刷着累,不如刷道web玩一玩,这题是一个改密码的场景,随便填点东西提交,发现返回了一段话:emmm...那就去step2.php看看....发现进去后会秒回step1.php,那就直接看源码吧看到这个:那就去submit.php瞧一瞧,发现只有一句话。。。admin....难不成是找到管理员账号就可以登录了?那咋办,回去step1.php和step2.php找找看,step1没啥信息。。。但...
实验忘记密码了wp
0verWatch的博客
03-18 594
这个题一开始给了一个登录框 先不管输入东西抓一个包看一下 发现有几样有用的东西 第一个是admin对应的邮箱admin@simplexue.com 第二个是一个Vim。。。。 这里就要讲一下一个知识点 一、vim备份文件 默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看; eg: index.php普遍意义上的首页,输入域名不...
实验---忘记密码
weixin_34041003的博客
06-06 181
今天做实验吧的题目遇到了这个问题,一步一步的走出来, 现在我把解题过程写一下,希望能够帮助到那些需要帮助的人 写的比较详细,希望你们不要嫌弃!!!永远爱你们的———新宝宝 忘记密码了分值:20 来源:Justatest 难度:中 参与人数:10531人 Get Flag:3167人 答题人数:3389人 解题通过...
实验吧web--忘记密码了(vim编辑器备份文件)
Sea_Sand息禅
12-08 346
打开网页,查看源代码,好像发现了管理员邮箱而且还是用vim编辑的。 我们提交一下这个邮箱,虽然提交成功了,但好像并没什么用。 我们随便提交一个,会弹出 看来好像还有个step2呢,我们查看源代码(在这只能用输入view-source:的方式),发现还有个submit.php 于是我们再查看supmit.php,发现: 题做这里貌似突破点就是submit.php,但...
实验吧 web 输入密码
xiaohajunsky的博客
04-23 1783
首先打开是一个空白页面,打开控制台查看代码发现空白标签: a src="1.txt">a> 打开1.txt if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) die('Flag: '.$flag); else print '离成功更近一步了';
实验-FALSE
苟有恒,必有三更眠,五更起。
08-08 286
FALSE 原题链接 http://ctf5.shiyanbar.com/web/false.php 分析 &lt;?php if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '&...
php用户注册登录实验总结,实验吧web-简单的登录题
weixin_34323587的博客
03-22 802
该wp学习自Pcat大佬在实验吧的wp题目地址:http://ctf5.shiyanbar.com/web/jiandan/index.php随便提交一个id,看到后台set了两个cookieiv和cipher这两个数据每次刷新都会发生变化,应该是每次刷新的时候,后台重新随机生成了一个iv,并用来加密某个数据,可能是我们提交的id,然后将密文cipher存入cookie中。iv和cipher在翻译...
实验忘记密码
Gunther的博客
08-30 3926
忘记密码 通过看成step1.PHP的源代码,发现是通过vim编写的,一般的vim编写可能会产生遗留问题,就是一个备份文件.swp,但是直接用似乎不行,然后我们通过抓包, 用burpsuit在访问http://ctf5.shiyanbar.com/10/upload/step2.php?email=youmail@mail.com&check=???????%22截获包如下: H
实验-忘记密码了?writeup
qq_24966613的博客
11-26 2071
知识点:vim产生的备份文件.swp 1.打开链接发现就是页面,什么提示也没有 http://ctf5.shiyanbar.com/10/upload/step1.php?emailAddress=2.我们直接构造了一个邮箱发送:它显示 你邮箱收到的重置密码链接为 ./step2.php?email=youmail@mail.com&check=???????
CTF实验-WEB专题-4
qq_18661257的专栏
12-21 4028
1.忘记密码了 题解 通过看成step1.php的源代码,发现是通过vim编写的,一般的vim编写可能会产生遗留问题,就是一个备份文件.swp,但是直接用似乎不行,然后我们通过抓包,发送数据发现step2.php中要提交给另外一个submit.php文件,试一试.submit.php.swp是不是存在,OK,发现源代码.接下来,你懂得,源代码都知道了,还有什么好说的,根据源代码提示说不是管理员邮
引入flag.php文件,flag在php中咋解决
weixin_33982355的博客
03-10 2815
该楼层疑似违规已被系统折叠隐藏此楼查看此楼include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";...
PHP序列函数 flag
weixin_45960266的博客
11-24 1535
源代码 <?php error_reporting(0); include "flag.php"; $KEY = "D0g3!!!"; $str = $_GET['str']; if (unserialize($str) === "$KEY") { echo "$flag"; } show_source(__FILE__); <?php $flag='flag{f1ag_1s_here!}' ?> 解题思路: 观察第一个源代码,要求把str反序列化之后 与 KEY相等 才能
CTF-Web9(涉及php代码审计)
→_→
08-25 759
9.忘记密码了 知识点 vim写文件造成swp源码泄露 简单审计 查看html源码隐藏信息 (首先首页让你输入注册邮箱找回密码,尝试admin,有弹窗显示消息: 复制提示信息至地址栏: 发现可以看到step2的内容然后瞬间变成step1内容,打开burpsuite准备逐步查看,获取step2页面内容: 查看step2的内容: 代码中被选中的这一行很有意思,告诉了你编辑器是vim,思考下vim的特性,自动备份: 一、vim备份文件 默认情况下使用...
ctf题php反序列化,从一道CTF题来理解PHP反序列化中的字符逃逸漏洞
weixin_39588432的博客
03-25 527
一、前言首先来看一下题目源码:
实验吧——WEB-简单的登录题、后台登录、加了料的报错注入、你真的会PHP吗?
迷风小白
03-29 2885
一. 简单的登录题 这道题确实一点都不简单 二、后台登录 这道题打开就是一个登录框,输入一个1,提示密码错误,查看源代码。 <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $r...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值