记一次CTF过程(Writeup)
前言
在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~
第一题:Robot
题目名称:Robot
有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。
那我们就抓个包看看吧,用burpsuite爬一下,说不定有收获呢?
果然看到了熟悉的身影——robots.txt,访问一下试试。
有好东西出现了,可以看到robots.txt显示有个/admin/3he11.php,那我们就看一下吧。访问过后空白一片,难道思路不对?等一下!好像忘了什么,没错!网页源代码,这可是网页最直观的东西啊。
哈哈,flag找到了,so easy!
第二题:seelog
题目名称:seelog
访问链接,看到“本站是内部网站,非请勿入”但是题目中提到了seelog。。。。这是什么含义?想一下,see log拆开看log是日志文件的扩展名,难道和日志有关?不管了,先试一下吧,访问一下log.txt,可惜并没有返回404,那访问一下log目录吧。
两个日志文件,挨个看一遍吧,打开access.log看一下,都是一些访问记录。
都是404?就没有200的状态吗,很简单搜索一下啊,按Ctrl+F,输入“HTTP/1.1" 200”(为什么这么输入呢?因为只输入200,查询结果太多了)搜索几下看到这样一个奇怪的记录:
不合常理啊,复制一下链接访问一下看看,果然有蹊跷啊,flag出来了!
第三题:VID
题目名称:VID
访问链接,看到网页显示如下:
这是什么鬼?一脸的问号?没关系先看一下网页源代码吧,上面也说道了,它是页面最有价值的东西了,果然有蹊跷啊。
访问index.php.txt文件看一下,可以看到以下代码:
简单说让以GET方式传入参数:flag1,flag2,flag3并赋值,那么我们就传入参数“?flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi”。提示:next step is 1chunqiu.zip,是一个压缩文件,下载下来看看吧。
打开压缩包看到四个php文件,两个html文件和一个css文件夹:
打开php文件看一下
在login.php文件中发现文件是以POST方式传入“username”、“password”、“number”并且在"$username"将两头的“number”替换为“”,那么这就存在sql注入了,根据源代码构造payload:“number=0&username=123%00' and updatexml(1,concat(12, substr((sel0ect flag from flag),10,25)),1)%23&password=1”和“number=0&username=123%00' and updatexml(1,concat(12, substr((sel0ect flag from flag),25,35)),1)%23&password=1”。并访问/1chunqiu/login.php,用POST发包的方式将payload发到数据库中。
将两段flag合在一起就可得到完整的flag了
第四题:天下武功为快不破
题目名称:天下武功唯快不破
访问链接,发现给力一段源代码:
意思是:设置cookie的“key=token”和“value=hello”,判断cookie是否为真,如果为真,那么将“flag.php”文件中的内容以字符串的方式写到$filename中,并命名为u/md5(mt_rand(1,1000)).txt(中间的意思为:在1-1000中随机产生一个数并用MD5的方式加密)。在延迟10秒后删除文件。
所以我们就可以用python脚本来解题了,代码如下:
import requests as rq
import hashlib
import threading
import Queue
url = 'http://106.75.26.211:3333'
queue = Queue.Queue()
def make_queue():
for i in range(1, 1001):
m = hashlib.md5()
m.update(str(i))
furl = url + '/u/' + m.hexdigest() + '.txt'
queue.put(furl)
def worker():
count = 0
while not queue.empty():
count = count + 1
print count
u = queue.get()
result = rq.get(u).text
if '404' not in result:
print result
break
queue.task_done()
def main():
make_queue()
for i in range(50):
t = threading.Thread(target = worker)
t.daemon = True
t.start()
queue.join()
if __name__ == '__main__':
main()
脚本运行中会看到flag已经显示出来了。
第五题:fuzzing
题目名称:fuzzing
访问链接,会看到页面只显示“there is nothing”除此之外什么都没有,网页源代码也是只有“there is nothing”,所以我们先用burpsuite抓包看一下。在burpsuite的repeater模块中在访问http://106.75.108.111:2222是返回的response并没有什么异样:
但是在链接的重定向跳转的http://106.75.108.111:2222/test.php中,我们在repeater的模块中的response中发现了异常:
response中显示:hint: ip,Large internal network(最大内网ip),内网ip中最大的网段应该就是10.0.0.0了,所以我们伪造ip再一次访问题目链接,那么如何伪造ip呢?我们可以用火狐的插件伪造,也可以用burpsuite伪造,小编用的插件(modify headers)随便伪造了10.0.0.0网段的ip,点击start。
再次访问题目链接,发现页面已经变化:
“show me your key”看到这里那么想到的是传入参数key,有两种方式:一、GET方式,二、POST方式,首先用最常见的GET方法,没有任何变化。换一种用POST方法,发现页面显示“key is not right,md5(key)==="5a2a7d385fdaad3fabbe7b11c28bd48e",and the key is ichunqiu[a-z0-9]{5}”。
提示:key经过MD5加密后为"5a2a7d385fdaad3fabbe7b11c28bd48e",并且前八位是ichunqiu,后五位是由[a-z0-9]组成,那么我们可以用穷举法得到后五位,用Python编写脚本来穷举得到key。脚本代码如下:
import hashlib
def md5(data):
m = hashlib.md5()
m.update(data)
a = m.hexdigest()
return a
a = 'ichunqiu'
b = 'qwertyuiopasdfghjklzxcvbnm0123456789'
for q in b:
for w in b:
for e in b:
for r in b:
for t in b:
if md5(a+q+w+e+r+t)=='5a2a7d385fdaad3fabbe7b11c28bd48e':
print q+w+e+r+t
运行脚本后,得到后五位是618ok,所以key=ichunqiu618ok
将参数传入进去,得到以下提示:
接下来访问/xx00xxoo.php,得到以下提示:
提示说源代码在“x0.txt”中,并且flag加密后的结果已经给出,我们只需要解密就可以了。访问/x0.txt,将源代码复制到本地。
将加密后的flag写入$string,key写入到$key中,并且echo加密函数“authcode”本地运行就可以得到flag了
转载请注明原地址:http://blog.csdn.net/lf794536440/article/details/79088457