2. 程式人生 > >i春秋——“百度杯”CTF比賽 十月場——Login

i春秋——“百度杯”CTF比賽 十月場——Login

阿新 發佈:2018-10-13
cat dex this HERE session wake ima base64 query

根據頁面源碼提示的 test1 test1 登錄

技術分享圖片

刷新此頁面並抓包,有個show=0值得關註

技術分享圖片

在發送的包的header中加一句show:1,即可得到member.php的源碼

技術分享圖片

 1 <?php
 2     include ‘common.php‘;
 3     $requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
 4     class db
 5     {
 6         public $where;
 7         function __wakeup()
 8         {

 
 9             if(!empty($this->where))
10             {
11                 $this->select($this->where);
12             }
13         }
14 
15         function select($where)
16         {
17             $sql = mysql_query(‘select * from user where ‘.$where);
18             return @mysql_fetch_array
 
($sql);
19         }
20     }
21 
22     if(isset($requset[‘token‘]))
23     {
24         $login = unserialize(gzuncompress(base64_decode($requset[‘token‘])));
25         $db = new db();
26         $row = $db->select(‘user=\‘‘.mysql_real_escape_string($login[‘user‘]).‘\‘‘);
27         if($login[‘user‘] === ‘ichunqiu‘)

 
28         {
29             echo $flag;
30         }else if($row[‘pass‘] !== $login[‘pass‘]){
31             echo ‘unserialize injection!!‘;
32         }else{
33             echo "(╯‵□′)╯︵┴─┴ ";
34         }
35     }else{
36         header(‘Location: index.php?error=1‘);
37     }
38 
39 ?>

array array_merge ( array $array1 [, array $... ] ) //將一個或多個數組的單元合並起來,一個數組中的值附加在前一個數組的後面。返回作為結果的數組。
string gzuncompress ( string $data [, int $length = 0 ] )  //此函數解壓縮字符串。與gzcompress()對應
mysql_real_escape_string()   //函數轉義 SQL 語句中使用的字符串中的特殊字符:\x00  \n  \r  \  ‘  "  \x1a

特別註意array_merge() 如果輸入的數組中有相同的字符串鍵名,則該鍵名後面的值將覆蓋前一個值。然而,如果數組包含數字鍵名,後面的值將不會覆蓋原來的值,而是附加到後面。

接著看題,根據源碼,只要提交符合條件的token就可拿到flag,但我們並沒有在post,get,cookie中提交token,然而服務器卻返回"(╯‵□′)╯︵┴─┴",說明token是在SESSION中,那我們只要在cookie裏覆蓋token即可

技術分享圖片

技術分享圖片

於是構造

技術分享圖片

然後在cookie中提交

技術分享圖片

i春秋——“百度杯”CTF比賽 十月場——Login

相關推薦

i春秋——“CTF比賽 十月——Login

cat dex this HERE session wake ima base64 query 根據頁面源碼提示的 test1 test1 登錄 刷新此頁面並抓包,有個show=0值得關註 在發送的包的header中加一句show:1,即可得到member.ph

i春秋 CTF比賽 十月 login

pos ima alt bsp coo 通過 都是 信息 cookie 出現敏感的信息,然後進行登錄 登錄成功發現奇怪的show 然後把show放到發包裏面試一下 出現了源碼,審計代碼開始 出flag的條件要user 等於春秋 然後進行login來源於反序列化後的l

i春秋CTF比賽 十月 web題 Backdoor

解釋 而不是 tro base href alt backdoor pri eat 0x00: 打開題目,題目中告訴我們這題是文件泄露。 0x01: 通過掃描目錄,發現可以掃到的有3個文件 index.php flag.php robots.txt 但是瀏覽flag.

i春秋CTF比賽 十月Not Found

https://www.ichunqiu.com/battalion?t=1&r=0 這道題目考察的是HTTP的幾種請求方法,當我們使用GET方法請求網站根目錄時,會出現404錯誤,在返回頁面中出現X-Method欄位,值為haha,其實這就是在提示我們考慮請求方法,HTTP

i春秋CTF比賽 十月 Exec

https://www.ichunqiu.com/battalion?t=1&r=0 進入題目連結,是一隻貓咪 檢視網頁原始碼: <html> <head> <title>blind cmd exec</title> &

i春秋CTF比賽 十月 Vld

https://www.ichunqiu.com/battalion?t=1&r=0 opcode中的 BEGIN_SILENCE就是@,不顯示報錯資訊 猜測opcode中的 EXT_STMT就是;,表示一個語句的結束 opcode中的FETCH_R意思是從某個變數中取出

i春秋——“CTF比賽 九月——123(Apache解析pht,phtml,php3等 php別名)

正則 並不是 src 內容 img 直接 ctf inf bubuko 網頁源碼提示用戶信息在user.php中,直接訪問是不會有顯示的,於是查找相應的備份文件,vim交換文件等,最後發現/user.php.bak 用burp采用如下配置開始爆破 最後爆破

i春秋——“CTF比賽 九月——Test(海洋cms / seacms 任意代碼執行漏洞)

jpg com ctf比賽 ima 命令 () nbsp 上傳 菜刀 打開發現是海洋cms,那就搜索相關漏洞 找到一篇介紹海洋cms的命令執行漏洞的文章:https://www.jianshu.com/p/ebf156afda49 直接利用其中給出的poc /sea

i春秋CTF比賽 九月 再見CMS

這道題剛做的時候是沒有頭緒的,看了一眼writeup,得知要通過網站下方的備案記錄來查詢除網站相關資訊,並進而得知該網站所使用的的cms,但是我照著做的時候卻查不出來結果,ICP/IP官網返回說無匹

i春秋CTF比賽 九月 SQLi

這道題相當坑爹,我是看了writeup才知道該怎麼做 進入題目連結後檢視原始碼,提示說注入點是login.php,但是這個注入點是假的,累死你也注不出來任何內容,看一下題目連結和點進去之後瀏覽器搜

i春秋CTF比賽 九月 123

首先檢視原始碼,得到提示說使用者資訊在user.php中,但是我們訪問user.php是得不到任何資訊的,得不到任何線索,看writeup得到提示,關鍵詞檔案讀取漏洞、備份檔案 於是我就試著訪問了

i春秋 CTF比賽(二月) Misc&&web題解 By Assassin

爆破-1 開啟題目我們直接就看到原始碼,加上註釋如下 <?php include "flag.php"; //包含flag.php這個檔案 $a = @$_REQUEST['hello']; //$a

CTF比賽 十月_Login

array flag -s mysql base ssi ech ken pan 題目在i春秋ctf大本營 打開頁面是兩個登錄框,首先判斷是不是註入 嘗試了各種語句後,發現登錄界面似乎並不存在註入 查看網頁源代碼,給出了一個賬號 用帳密登陸後,跳轉到到member.php

Login ------------------ “CTF比賽 十月

登入介面 右鍵檢視原始碼 沒有什麼資訊(才怪嘞(╯‵□′)╯︵┻━┻),往下劃拉,最底下有驚喜 應該就是賬號密碼了,用它們登入後只有一個表情,好像也沒啥資訊 檢視原始碼也木有發現 用Burp抓包看看,響應包裡面有個show引數很可疑啊 在請求包裡改

CTF比賽 九月_YeserCMS

AD query live username 發現 data tps 報錯 註入 題目在i春秋ctf大本營 題目的提示並沒有什麽卵用,打開鏈接發現其實是easycms,百度可以查到許多通用漏洞 這裏我利用的是無限報錯註入 訪問url/celive/live/header

CTF比賽 九月_123(文件備份,爆破,上傳)

lag 註釋 alt png 一個 頁面 圖片 比賽 src 題目在i春秋ctf訓練營 翻看源碼,發現提示: 打開user.php,頁面一片空白,參考大佬的博客才知道可能會存在user.php.bak的備份文件,下載該文件可以得到用戶名列表 拿去burp爆破:

CTF比賽 九月_Test(海洋cms前臺getshell)

OS 技術分享 href 連接 post ive s/4 九月 hive 題目在i春秋ctf訓練營 又是一道cms的通用漏洞的題,直接去百度查看通用漏洞 這裏我使用的是以下這個漏洞: 海洋CMS V6.28代碼執行0day 按照給出的payload,直接訪問url+/sea

CTF比賽 九月SQLi ---------mozhe

題目連結:https://www.ichunqiu.com/battalion 點選進去,檢視原始碼  發現login.php?id=1 一般是存在sql注入的,可是我測試了好幾遍,sqlmap也跑過了,也沒發現啥 沒辦法,查看了官方wp,說是存在index

WP 4 i春秋_CTF比賽(九月第一

CODE base64檔案包含,.idea目錄結構洩露,加解密 開啟頁面後,看到一張圖片,且連結為如下形式: http://528c1f8ff4fe439482ce4069e858e805ad9172679385471a.ctf.game

i春秋-十月-EXEC

進入網站,檢視原始碼,發現是用vim編輯,而抓包沒有有效資訊,加引數也無果。百度查了一下vim能形成什麼檔案。找到答案說,用vim編輯文字xxx.php中途退出,會自動建立一個檔案.xxx.php.swp。然後我們下載這個檔案。 用 vim -r 命令恢復檔案,得到原始碼: <html&g