2. 程式人生 > >學習週記(二)暨GXNNCTF WEB題writeup與重解

學習週記(二)暨GXNNCTF WEB題writeup與重解

阿新 發佈:2019-01-01

WEB題writeup與重解

比賽時間:2018年12月15日至2018年12月16日
重解時間:2018年12月22日至2018年12月29日
1.超簡單writeup(php ereg函式00截斷):
題目連結:http://gxnnctf.gxsosec.cn:12311/
首先開啟連結,我們看到如下介面:


首先,對程式碼進行分析,上網搜尋瞭解到isset()函式用來檢測變數是否設定,且不為NULL值。即第一個條件:REQUEST[‘no’]存在且不為NULL值。
接下來進入到含有ereg()函式的第二個條件。繼續搜尋瞭解到,ereg()函式用指定的模式搜尋一個字串中指定的字串,如果匹配成功返回true,否則,則返回false。搜尋字母的字元是大小寫敏感的。但是ereg()函式存在漏洞,即NULL截斷漏洞。%00截斷及遇到%00則預設為字串的結束,可以繞過驗證。這一點對解題還是有很大幫助的。
繼續往下走,當ereg()函式返回true後,進入in_array()函式,即第三個條件是REQUESTS[‘no’]值為0~9之間的數,且字串長度大於1。那麼,現在只需結合上面提到的ereg()的00截斷漏洞,即構造no=1%00,輸入後即可看到flag。


當然no=後面的數字在0~9範圍內均可,但是不能沒有,或是大於9。例如,如果輸入no=10%00,返回的是you are so dark.;如果沒有,返回的是no must be number.
本題解題的關鍵就是ereg()的00截斷繞過驗證,這道題對於我這樣的初學者來說還是有一點難度的,畢竟PHP函式還沒有學明白,但上網搜尋後,也確實發現這道題並沒有想象中的那麼難,通過這道題,也確實學到了一些東西,加深了對php的瞭解,收穫還是有的。
2.帽子商城(重解):(條件競爭)
題目連結:http://gxnnctf.gxsosec.cn:12313/
開啟連結,出現下圖
在這裡插入圖片描述
一開始看這道題並沒有頭緒,雖然後來官方給出了’1s’的tip,我也上網查了許多關於註冊的web題型,但是直到比賽結束也沒有解出flag,後來看了一下大佬們的writeup,發現自己一開始就想的不太對。
網上給出了兩個做法,第一種同一賬號開兩個瀏覽器。這樣就有了兩個Cookie,條件競爭在短時間內獲得flag,而這個短時間就是官方給出的’1s’。師傅們結合這一種想法給出了py程式,並進行了實踐。考慮到一些因素,在此不再用此種方法重解。
第二種做法用我們熟悉的burpsuite,我們可以發現,開啟網頁原始碼第一關的’order’是base64編碼的,解碼後得到{“good”:1,“price”:500},而我們想的是,修改price,因為通過前期的賬號購買,不修改的情況下,是無法通過第二關的。因此我們修改為{“good”:1,“price”:1}。這樣得到下圖:
在這裡插入圖片描述

在這裡插入圖片描述
在這裡插入圖片描述
下面結合官方的tip:1s,我們開啟無痕瀏覽,兩個cookie同時購買,用burpsuite截包,在intruder裡發起攻擊。
在這裡插入圖片描述
Attack一下,得到flag:
在這裡插入圖片描述
3.SQL(重解):(git洩露)
題目連結:http://gxnnctf.gxsosec.cn:12312/
開啟網站後出現如下介面:
在這裡插入圖片描述
結合題目"SQL"我們第一種想法就是利用sqlmap跑一下,但是我作為一個新手,對於sqlmap瞭解很少,更不用說使用了,不知道往哪個方向上去想。後來看了一下別的師傅的wp,才知道是git原始碼洩露。git原始碼洩露也是網頁漏洞的一種,通過利用這個漏洞,可以使攻擊者獲得部署網頁所用的原始碼。
對於這道題而言,我們可以先用git_extract.py(
https://github.com/style-404/Git_Extract )跑一下,出來以下內容:
在這裡插入圖片描述
這樣,就找到了我們想要的index.php,用Notepad開啟看一下:
在這裡插入圖片描述
接下來進行我們熟悉的程式碼審計工作,首先mysqli的出現意味著資料庫的連線,進入if語句,select where語句的出現意味著過濾,一直往下走,我們不難發現username,即其對應的id是在被過濾的。因此想到利用case when特性繞過,判斷變數是否為空,若為空賦值為2,不為空的話查詢結果為1。第一次查詢返回2,第二次查詢返回1。在這裡用select語句定義變數ctf,並對其進行賦值,@ctf:=2
在這裡插入圖片描述
由於程式碼中id對應的username需要經過兩次檢測, 即id經過兩次查詢。第一次id=2,第二次id=1。 結合下面的’backdoor’=‘Melonrind’,構造payload:http://gxnnctf.gxsosec.cn:12312/?id=case when @ctf is null then @ctf:=2 else @ctf:[email protected] end&backdoor=Melonrind
得到flag:
在這裡插入圖片描述
4.幾點感悟:
(1)作為一個新手,第一次打CTF的比賽,還是很生疏的,首先對一些方法或者說是技巧掌握不到位,遇到題只知道一個大概,然後就沒有然後了,東拼西湊,有什麼工具用什麼工具。但是通過這次比賽,也學到了一些解題的思路,雖然沒有固定的方法,但還是要形成自己發散的思維,要多去想為什麼。
(2)第二題與第三題都是參考過網上師傅們的writeup後重解的,不得不說非常佩服他們,本人在此一併感謝,如有侵權,還請諒解。
(3)git洩露:https://www.jianshu.com/p/0ea09975169d
條件競爭:http://v0w.top/2018/08/16/條件競爭/

相關推薦

學習週記GXNNCTF WEBwriteup

WEB題writeup與重解 比賽時間:2018年12月15日至2018年12月16日 重解時間:2018年12月22日至2018年12月29日 1.超簡單writeup(php ereg函式00截斷): 題目連結:http://gxnnctf.gxsosec.cn:12311/ 首先開

PyTorch 學習筆記:PyTorch的資料增強資料標準化

本文擷取自《PyTorch 模型訓練實用教程》,獲取全文pdf請點選:https://github.com/tensor-yu/PyTorch_Tutorial 文章目錄 transform的使用 在實際應用過程中,我們會在資

web全棧學習教程:本系列教程介紹

系列教程 trap soft 切圖 think html4 style pes html 一、發布周期 計劃2-3天發一篇,半年左右完成。 二、教程大綱 web全棧介紹與優勢分析 本系列教程介紹 切圖與圖片介紹 html4.01 html5 css2.0 css3 頁面布

學習筆記:使用K近鄰演算法檢測Web異常操作

使用全量比較,而不是最頻繁和最不頻繁的比較。 1.資料蒐集        我們使用詞集的模型,將全部命令去重後形成一個大型向量空間,每個命令代表一個特徵,首先通過遍歷全部命令,生成對應詞集。 with open(filename) as f: fo

Spring Boot 學習筆記—— WEB相關配置

一、前言 上次我們快速搭建了一個Spring Boot專案,我們只需新增業務邏輯就能直接執行訪問了,說明Spring Boot已經自動為我們做完了配置工作,這次我們就來看看具體是哪些工作,如果我們想接管配置又該怎麼做。 二、WEB相關配置 檢視WebMvcAutoConfigur

Java Web學習筆記

Servlet的註冊與執行: Servlet程式必須通過Servlet容器來啟動執行,並且儲存目錄有特殊要求,需要儲存在< WEB應用程式目錄 >\WEB-INF\classes\目錄中。 Servlet程式必須在WEB應用程式的web.xml檔案中進行註冊和對映其訪問路徑

Java Web 學習筆記

一、JavaScript簡介      JavaScript 是一種輕量級的程式語言。      JavaScript 是可插入 HTML 頁面的程式設計程式碼。 二、JavaScript 使用      

web框架】【 Cloud-Admin學習筆記】【前後端分離的釋出配置】

因為spirng前後端分離設計,釋出流程略有不同,前後端單獨釋出,通過nginx整合 1、前端專案打包 #轉到前端專案根目錄 cd D:\001\myProject\GitHub\AG-Admin-v2-UI # 構建生成環境 cnpm run build:prod 然後等待伺服

Web 前端開發入門級學習筆記

  9.盒子模型:    它講了這樣一個事實:在HTML裡,在瀏覽器渲染頁面時,所有的元素都是要佔據一定空間的,而且這個空間一定是一個矩形的。在我們的瀏覽器中絕對不出現佔據圓形、不規則圖形這樣空間的元素存在。 簡單的來說,我們可以把頁面上的所有元素都當做

Retrofit2 學習總結 Rxjava +Retrofit +java web伺服器簡單小例子

通過一段時間的學習,Rxjava Retrofit2終於算是入了門,學習的過程中寫了個簡單的小例子,像我這樣的人學習東西還是喜歡有一個正確的例子用來學習的。 本demo已經上傳到了gitHup: java伺服器 :https://github.com/tanglonghui/Retrofit

php laravel框架學習筆記 數據庫操作

true 數據 mar sql show top 一行 ati del 原博客鏈接:http://www.cnblogs.com/bitch1319453/p/6810492.html mysql基本配置 你可用通過配置環境變量,使用cmd進入mysql,當然還有一種東

java學習筆記圖形用戶接口

star strong per getwidth cep runnable graphics s2d gb2 這個學期主要放在ACM比賽上去了,比賽結束了。不知不覺就15周了,這周就要java考試了,復習一下java吧。java的學習的目的還是讓我們學以致用,讓我們可以

數據結構學習筆記 線性表的順序存儲和鏈式存儲

出錯 初始化 node != test span 輸入 des val 線性表:由同類型數據元素構成有序序列的線性結構  --》表中元素的個數稱為線性表的長度  --》沒有元素時,成為空表  --》表起始位置稱表頭,表結束位置稱表尾 順序存儲:    1 package

React學習小結

display lin body -a 頁面 return 有時 borde size 一、組件的嵌套 1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="UT

Memcache 學習筆記---- PHP 腳本操作 Memcache 服務器

ext status ram var_dump 介紹 修改 memcache local dbn    PHP 腳本操作 Memcache 服務器 一、PHP腳本操作Memcache方法     使用 PHP 腳本操作 Memcache,在 PHP 手冊中有詳細的介紹,我們

javascript學習筆記:定義函數、調用函數、參數、返回值、局部和全局變量

兩個 cnblogs bsp 結果 value ava ase com 調用 定義函數、調用函數、參數、返回值 關鍵字function定義函數,格式如下: function 函數名(){ 函數體 } 調用函數、參數、返回值的規則和c語言規則類似。 1 <!DOC

神箭手爬蟲學習筆記

暫存 自動 表達 eve doc 常用 學習 數據 .sh 一,可以使用神劍手已經做好的爬蟲市場直接跑,不需要自己定義爬取規則 二,爬蟲市場裏沒有的網站,需要自己去定義規則來爬數據。 三,爬取的數據可以先存放在神劍手,也可以放到七牛暫存。(提醒下,網站需要數據備份如果數量不

thinkphp5.0學習筆記API後臺處理命名空間

mac code 輸入 -1 pub 基礎 select() color 第一個 命名空間 先來看命名空間吧; 命名空間是學習TP的基礎, <?php namespace app\lian\c1; class yi{ public $obj = "這是第一個

MongoDB學習筆記

.get 條件過濾 條件 $set system.in ins version tle 不存在 一、Mongodb命令 說明:Mongodb命令是區分大小寫的,使用的命名規則是駝峰命名法。 對於database和collection無需主動創建,在插入數據時,如果dat

ssh環境下客戶信息管理系統學習問題

2.3 根據 包括 style 有用 信息 org 翻譯 use 問題1: 這是包沖突的問題,jar包中存在兩個沖突的包,可以看到上面的Referenced Libraries中存在asm.jar和asm-2.2.3.jar兩個包,這兩個包沖突了