那些年踏过的CTF坑--VID~(一)!

最新推荐文章于 2021-01-28 11:26:09 发布
最新推荐文章于 2021-01-28 11:26:09 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: CTF 安全 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011215939/article/details/79088998
版权

在i春秋的线下培训基地–Web安全就业班CTF比赛中我遇到了这样一些坑:今天列出来给各位看光瞧瞧:

网站IP
就是这个VLD

我们先访问目标网站:http://106.75.26.211:1111/
这里写图片描述
一句很和谐的话告诉我们这里没有任何东西,但是实际上呢?我们看看网页源代码:
这里写图片描述
看吧CTF的东西哪有那么简单?!于是乎访问这个页面:
这里写图片描述
完整代码如下:

Finding entry points
Branch analysis from position: 0
Jump found. Position 1 = 23, Position 2 = 38
Branch analysis from position: 23
Jump found. Position 1 = 26, Position 2 = 35
Branch analysis from position: 26
Jump found. Position 1 = 29, Position 2 = 32
Branch analysis from position: 29
Jump found. Position 1 = 34
Branch analysis from position: 34
Jump found. Position 1 = 37
Branch analysis from position: 37
Jump found. Position 1 = 40
Branch analysis from position: 40
Return found
Branch analysis from position: 32
Jump found. Position 1 = 37
Branch analysis from position: 37
Branch analysis from position: 35
Jump found. Position 1 = 40
Branch analysis from position: 40
Branch analysis from position: 38
Return found
filename:       C:\ctf\index.php
function name:  (null)
number of ops:  44
compiled vars:  !0 = $a, !1 = $b, !2 = $c
line     # *  op                           fetch          ext  return  operands
---------------------------------------------------------------------------------
   2     0  >   EXT_STMT
         1      ECHO                                                     'do+you+know+Vulcan+Logic+Dumper%3F%3Cbr%3E'
   3     2      EXT_STMT
         3      BEGIN_SILENCE                                    ~0
         4      FETCH_R                      global              $1      '_GET'
         5      FETCH_DIM_R                                      $2      $1, 'flag1'
         6      END_SILENCE                                              ~0
         7      ASSIGN                                                   !0, $2
   4     8      EXT_STMT
         9      BEGIN_SILENCE                                    ~4
        10      FETCH_R                      global              $5      '_GET'
        11      FETCH_DIM_R                                      $6      $5, 'flag2'
        12      END_SILENCE                                              ~4
        13      ASSIGN                                                   !1, $6
   5    14      EXT_STMT
        15      BEGIN_SILENCE                                    ~8
        16      FETCH_R                      global              $9      '_GET'
        17      FETCH_DIM_R                                      $10     $9, 'flag3'
        18      END_SILENCE                                              ~8
        19      ASSIGN                                                   !2, $10
   6    20      EXT_STMT
        21      IS_EQUAL                                         ~12     !0, 'fvhjjihfcv'
        22    > JMPZ                                                     ~12, ->38
   7    23  >   EXT_STMT
        24      IS_EQUAL                                         ~13     !1, 'gfuyiyhioyf'
        25    > JMPZ                                                     ~13, ->35
   8    26  >   EXT_STMT
        27      IS_EQUAL                                         ~14     !2, 'yugoiiyhi'
        28    > JMPZ                                                     ~14, ->32
   9    29  >   EXT_STMT
        30      ECHO                                                     'the+next+step+is+xxx.zip'
  10    31    > JMP                                                      ->34
  11    32  >   EXT_STMT
        33      ECHO                                                     'false%3Cbr%3E'
  13    34  > > JMP                                                      ->37
  14    35  >   EXT_STMT
        36      ECHO                                                     'false%3Cbr%3E'
  16    37  > > JMP                                                      ->40
  17    38  >   EXT_STMT
        39      ECHO                                                     'false%3Cbr%3E'
  19    40  >   NOP
  22    41      EXT_STMT
        42      ECHO                                                     '%3C%21--+index.php.txt+%3F%3E%0D%0A%0D%0A'
        43    > RETURN                                                   1

branch: #  0; line:     2-    6; sop:     0; eop:    22; out1:  23; out2:  38
branch: # 23; line:     7-    7; sop:    23; eop:    25; out1:  26; out2:  35
branch: # 26; line:     8-    8; sop:    26; eop:    28; out1:  29; out2:  32
branch: # 29; line:     9-   10; sop:    29; eop:    31; out1:  34
branch: # 32; line:    11-   13; sop:    32; eop:    33; out1:  34
branch: # 34; line:    13-   13; sop:    34; eop:    34; out1:  37
branch: # 35; line:    14-   16; sop:    35; eop:    36; out1:  37
branch: # 37; line:    16-   16; sop:    37; eop:    37; out1:  40
branch: # 38; line:    17-   19; sop:    38; eop:    39; out1:  40
branch: # 40; line:    19-   22; sop:    40; eop:    43
path #1: 0, 23, 26, 29, 34, 37, 40,
path #2: 0, 23, 26, 32, 34, 37, 40,
path #3: 0, 23, 35, 37, 40,
path #4: 0, 38, 40,
do you know Vulcan Logic Dumper?<br>false<br><!-- index.php.txt ?>

看吧就这些,两眼一懵逼,这是神马?!汇编语言?!好好瞧了瞧,我还是找找万能的度娘吧:使用最后几行代码搜到这样一篇文章:PHP一些优先级的问题,看看大神的文章再结合以前学的粗浅的汇编,明白了一些!简单的说就是讲PHP语言的运行流程展示出来细化了过程,可以结合这篇大神的文章的代码相互对比理解:PHP一些优先级的问题
在index.php.txt中有提示,代码是如何运行的,我们需要访问http://106.75.26.211:1111/index.php这个页面,在这个页面中进行GET提交数据,分析可知有三个变量,当这三个变量同时赋予相应的值,就可以执行下一步操作;如下:
这里写图片描述
提交数据
这里写图片描述
页面会回显提示:返回一个压缩包
这里写图片描述
现在我们需要下载这个压缩:
这里写图片描述
压缩包里面是一个网站的源代码:当时我的第一反应是,需要在本地搭环境,运行网站获取flag,后来我发现我错了,错的离谱!
首先我把源代码解压,使用phpstudy搭建网站,访问这个网站:
这里写图片描述
这是一个很普通的网站,但是呢需要我获取flag,应该是SQL注入,需要代码审计,找出注入点,于是修改配置文件,连接数据库;后来发现,这个网站没有建立表的语句!flag是怎么爆出来呢?当时就脑子宕机了,后来才反应过来,应该是线上有一个网站,把源代码给我们,就是进行代码审计,再找出注入点,在线上获取flag,免得我们搞崩了网站…………
在网站的注册页面中,

register.php
 $number = is_numeric($_POST['number']) ? $_POST['number'] : 1;
 $username = $db->safe_data($_POST['username']);
 $password = $db->my_md5($_POST['password']);
dbmysql.class.php
 public function safe_data($value){
        if( MAGIC_QUOTES_GPC ){
            stripcslashes($value);
        }
        return addslashes($value);
    }

对输入的username进行了过滤,单引号被转意,number的非数字字符被过滤,而且还有长度限制……
在登录页面中

$username = $db->safe_data($_POST['username']);
$password = $db->my_md5($_POST['password']);
$number = is_numeric($_POST['number']) ? $_POST['number'] : 1;
$username = trim(str_replace($number, '', $username));

同样的对username,number进行了过滤,但是多了一个对username使用number对数字替换的功能,所以我们可以在登录login.php中对网站进行注入:
这里必须使用%00进行单引号绕过,%00是一个特殊的字符;
首先我们使用burpsuite对网站进行抓包,在burpsuite中注入,比较方便(直接访问login.php网页抓包):
这里写图片描述
在login.php中填写必要信息
这里写图片描述
burpsuite抓取数据包
这里写图片描述
action中将数据发送到repeater中
这里写图片描述
接下来我们就构造语句进行注入了:

number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),1),1) #&password=pass&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2

这里写图片描述

构造好语句,点击“go”发送数据
这里写图片描述
返回了表名,有一个flag表,这应该就是我们需要的;
然后我们再构造语句爆出flag
这里写图片描述
构造好语句,点击“go”发送数据
这里写图片描述
爆出了flag,但是只有一部分,所以我们还需要修改substr中参数,截取数据,
这里写图片描述
修改参数
这里写图片描述
爆出后面一部flag,这样flag就全部获取了,只需要拼接一下就可以了。

ctf VID
cs_xiaoqiang的博客
01-18 1062
这次的ctf的题目如下图:访问目标连接   http://106.75.26.211:1111 页面上的信息,完全没有给我解题的思路。按照惯例先打开页面源码看看有什么,果然在源码里发现了个路径直接访问发现有3个flag,粗略看了下没有看到flag的值,但仔细观察发现每个flag在后面都有相对应的值将flag的值赋给flag,并且将flag与连接服按照顺序连接起来 :flag1=fvhjjih
ctf (seelog)
cs_xiaoqiang的博客
01-17 2182
这次要说的和上篇样,也是道i春秋下的ctf。给的题目如下图: 依旧是找flag,题目为seelog,直接访问连接  http://106.75.86.18:3333给出的提示是:不是内部网站。我第时间想到的是会不会这个服务器上还有其他的网站,进过尝试发现方向不对。再仔细从头看,题目为seelog(看日志),解题思路应该与log有关。经过无数的尝试,发现在url后面加上log就可以访问到日志。
【转】个4CTF入门者自述:曾经掉过的与干货总结
knaha的博客
07-09 4272
转载自 https://zhuanlan.zhihu.com/p/21685384?utm_source=qq&utm_medium=social&utm_oi=791204951979339776 个巧合的机会,成为了CTF夺旗爱好者,ctf小白。从12开始国内大大小小的CTF比赛我都看过,那会还没有统CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技...
那些踏过CTF--GetFlag~(三)
u011215939的博客
01-19 3000
遇到个写脚本的CTF了,刚刚开始我还以为需要SQL注入之类的,但是分析网页源码发现没有action操作,应该是本文件自己提交,自己验证的!具体情况如下: 访问IPhttp://106.75.26.211:2222/ 呃呃呃~很简单的页面,只有个login的登录按钮,网页源码没有什么特别的,所以直接访问下个页面,看看有什么妖气! 个登录页面,经过分析,就像刚
SQL报错注入结合sqli lab和百度杯CTF VId
weixin_30477293的博客
08-05 197
0x00 背景 学习记录下报错型的注入,经各方整理和自己总结形成。 所有的注入原理都是样,即用户输入被拼接执行。但后台数据库执行语句产生错误并回显到页面时即可能存在报错注入。 0x01概念 报错型注入的利用大概有以下3种方式: 1:?id=2’ and (select 1 from (select count(*),concat( floor(rand(0)*2),(select...
i春秋-CTF
爆破胡同的博客
01-19 3379
VID 查看网页源代码发现有个文件路径 访问的看到了有三个参数用get方式提交 在url后提三个参数和对应的值就看到了个1chunqiu.zip 访问就可以下载文件 这里需要进行代码审计 先看log.php界面if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['numb
CTF竞赛之misc-base64
逐梦的博客
09-10 7625
Base64知识点定义:base64是种编码方式,是把二进制数据编码为可写的字符形式的数据。这是种可逆的编码形式。用base64这种方式编码后得到的是个字符串,其中的字符可以包括a-z、A-Z、0-9、+、\ 共64个字符。字符表: 【注:其实是65个字符,“=”是填充字符】。编码过程:把三个8位字节编码为4个6位字节 例:xue经编码后为WHV1 例二:xu经编码后为WHU= 例三
CTF过程(Writeup)
热门推荐
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
CTF编写
02-15
2020 大量未完成的求解器; p 0ctf-表情符号,emoji_misc,flash_1 cce-babyshell,simple_cmdshell,simple_pwn,simple_rop,simple_uaf,tpu dreamhack-检查标志 hacklu-sparc 卡夫-shadowstack kapo-cnc,...
CTF线下攻防赛总结
Sp4rkW的博客
10-01 3万+
原文链接:http://rcoil.me/2017/06/CTF%E7%BA%BF%E4%B8%8B%E8%B5%9B%E6%80%BB%E7%BB%93/ 作者:Rcoll 总结的非常好,转载收藏,感谢表哥的分享~ 张常规的CTF线下攻防思维导图 SSH登陆 两三个人进行分工,个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改...
CTF-06
渗透笔记
01-24 535
题目说明:VLD 1.打开链接,页面如图所示,问我懂不懂VLD 2.查看页面源码,提示index.php.txt文件 3.访问index.php.txt文件,返回的是index.php的操作码 Finding entry points Branch analysis from position: 0 Jump found. Position 1 = 23, Position
i春秋——“百度杯”CTF比赛 十月场——Vld(Vulcan Logic Dumper 、php opcode、sql 报错注入)...
weixin_30553837的博客
10-14 574
打开题目看到提示 "do you know Vulcan Logic Dumper?" ,再查看源码看到"<!-- index.php.txt ?>",访问后发现堆看不懂的东西 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念 PHP内核-Zend引擎:http://www.php.cn/php-weizijiaocheng-355597.ht...
CTF日记之 “百度杯”CTF比赛 十月场
sunleibaba的博客
01-28 519
CTF日记:“百度杯”CTF比赛 十月场 Vld 点开之后发现: 还是先查看源代码: 访问: index.php.txt 发现了堆这个东西,然后根据之前的界面上写的do you know Vulcan Logic Dumper?,百度下“Vulcan Logic Dumper”: 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念 PHP内核-Zend引擎:http://www.php.cn/php-weizijiaocheng-355597.html PHP中的opc
Web安全CTF 题初级试练
土豆回锅的博客
01-19 3万+
最近在整理CTF题,觉得很有意思,觉得有必要下!CTF对题目说明很重要,请务必重视! 1.Robot 熟悉web的人,看到题目应该想起robots协议,也被称为爬虫协议、机器人协议,网站通过robots协议告诉搜索引擎,哪些页面可以抓取,哪些页面不能抓取。 当个网页爬虫爬去站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定
关于CTF的简介及赛题模式
格子小七的个人博客
04-27 1万+
关于CTF 1、CTF简介 CTF(Capture The Flag)中文般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的种比赛形式。CTF起源于1996DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。 CTF竞赛模式具体分为以下三类:(解题模式(Jeopardy)、攻防模式(A...
百度杯WriteUp
weixin_30564901的博客
02-04 1652
比赛链接:http://www.ichunqiu.com/racing/ctf_54967 题目:getflag 类型:web 在登录界面看到substr(md5(captcha), 0, 6)=3c7258,意味着验证码(captcha)的md5值的前6位3c7258,写个python脚本爆破 #!/usr/bin/env python import hashlib...
i春秋安全勇士--些简单题wp
xuqi7
07-08 3244
基础题60分   用firebug可以发现段奇怪的js, 把eval改成alert,运行之后再改下,最后会就是冒号隔开的串数 然后改下格式  \x30  这种,然后转16进制,然后是md5解下就可以了     培根 我轻时注意到,我每做十件事有九件不成功,于是我就十倍地去努力干下去。—— 萧伯 纳 ABAABAABAAABBAAABBAAAAAAABAAAAAA
i春秋Vld
weixin_30701575的博客
09-02 270
进去就问我们懂不懂Vulcan Logic Dumper,然后下面是个报false。我们查看源码,在源码的最后提示我们index.php.txt的存在,话不多说,直接访问试试。 出现堆我们暂时还看不懂的代码 编译后的代码为(编译教程请看我另篇随笔https://www.cnblogs.com/wosun/p/11386434.html) ...
2020CTF编写技术总结与未解挑战
- **twctf**:这是指tw CTF比赛中的题目,其中可能涉及RSA加密挑战和vid(可能是指视频相关题目)。 #### 5. Python在CTF编写中的应用 Python作为种高级编程语言,在CTF编写中的应用非常广泛。以下是些使用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值