比赛平台:https://ctf.jasec.cn/
比赛时间:2019年4月6日9:00-17:00
比赛账号:orange
比赛群号:130684480
WEB1 web签到
题目地址:http://120.79.1.69:10001/
页面中提示flag在这里,但是点击这个链接之后,并没有跳转到有flag的页面。而是404页面。使用burpsuite抓包看看。发现有一个flag.php文件进行302重定向了。
点开flag.php的http相应头信息,发现多了一个Flag,通过base64解密得到flag。
flag:jactf{jasafe110qweasdzxc}
WEB2 文件下载
点击下载flag文件,可以下载到flag.txt。但是里面没有flag
从查看源码发现提示存在文件flag.php,如下
于是试着构造如下下载url,看存不存在任意文件下载,url如下:
http://120.79.1.69:10002/index.php?file=flag.php发现可以下载,打开文件代码审计如下:
<?php
header('Content-Type: text/html; charset=utf-8'); //网页编码
function encrypt($data, $key) {
$key = md5 ( $key );
$x = 0;
$len = strlen ( $data );
$l = strlen ( $key );
for($i = 0; $i < $len; $i ++) {
if ($x == $l) {
$x = 0;
}
$char .= $key {$x};
$x ++;
}
for($i = 0; $i < $len; $i ++) {
$str .= chr ( ord ( $data {$i} ) + (ord ( $char {$i} )) % 256 );
}
return base64_encode ( $str );
}
function decrypt($data, $key) {
$key = md5 ( $key );
$x = 0;
$data = base64_decode ( $data );
$len = strlen ( $data );
$l = strlen ( $key );
for($i = 0; $i < $len; $i ++) {
if ($x == $l) {
$x = 0;
}
$char .= substr ( $key, $x, 1 );
$x ++;
}
for($i = 0; $i < $len; $i ++) {
if (ord ( substr ( $data, $i, 1 ) ) < ord ( substr ( $char, $i, 1 ) )) {
$str .= chr ( (ord ( substr ( $data, $i, 1 ) ) + 256) - ord ( substr ( $char, $i, 1 ) ) );
} else {
$str .= chr ( ord ( substr ( $data, $i, 1 ) ) - ord ( substr ( $char, $i, 1 ) ) );
}
}
return $str;
}
$key="MyCTF";
$flag="o6lziae0xtaqoqCtmWqcaZuZfrd5pbI=";//encrypt($flag,$key)
?>
由代码审计可知道,这个flag是由encrypt函数加密了。但是文件提供了加解密函数。我们可以编写代码调用解密函数对密文解密得到flag:
flag:myCTF{cssohw456954GUEB}
WEB3 猜密码
此题有问题,下架了题目,这里就照搬了解题报告了
查看页面源码可知,这个密码是两个当下时间戳拼接。我们可以尝试把为了的时间戳都做成字典,让后用burpsuite去爆破。但是这个字典制作比较繁琐。
<html>
<head>
<title>猜密码</title>
</head>
<body>
<!--
session_start();
$_SESSION['pwd']=time();
if (isset ($_POST['password'])) {
if ($_POST['pwd'] == $_SESSION['pwd'])
die('Flag:'.$flag);
else{
print '<p>猜测错误.</p>';
$_SESSION['pwd']=time().time();
}
}
-->
<form action="index.php" method="post">
密码:<input type="text" name="pwd"/>
<input type="submit" value="猜密码"/>
</form>
</body>
</html>
不过我们可以尝试以下方法:将cookie中的PHPSESSID随便改掉(我直接全部删除)。使得服务器无法找到对应的session。这样$_session['pwd']为空,然后我们再使得提交的参数pwd也为空。这样就可以使得它们相等。
flag:jactf{09fb10c51810d92e1b7405d143332886}
- 备注:题目源码如下:
<?php
header('Content-Type: text/html; charset=utf-8'); //网页编码
$flag="jactf{sfakdjgnasasdasde}";
session_start();
if (isset ($_POST['pwd'])){
if ($_POST['pwd'] == $_SESSION['pwd'])
die('Flag:'.$flag);
else{
print '<p>猜测错误.</p>';
$_SESSION['pwd']=time().time();
}
}
?>
<html>
<head>
<title>猜密码</title>
</head>
<body>
<!--
session_start();
$_SESSION['pwd']=time();
if (isset ($_POST['password'])) {
if ($_POST['pwd'] == $_SESSION['pwd'])
die('Flag:'.$flag);
else{
print '<p>猜测错误.</p>';
$_SESSION['pwd']=time().time();
}
}
-->
<form action="web3.php" method="post">
密码:<input type="text" name="pwd"/>
<input type="submit" value="猜密码"/>
</form>
</body>
</html>
只要传参$_POST['pwd']为空的话,$_SESSION['pwd']也设置也为空,也就拿到了 flag 了。
WEB4 该网站已被黑
题目地址:http://120.79.1.69:10004/
题目提示该网站被黑,说明有可能存在黑客留下的webshell。我们可以利用御剑目录扫描,扫除webshell的路径。
访问该页面是一个webshell
使用burp抓包暴力破解,发现密码为hack。登录得到flag
flag:jactf{1de2eec615d88f83a0297062f7d2dab2}
WEB5 曲折的人生
题目地址:http://120.79.1.69:10005/
根据题目提示,访问站点发现为后台登陆界面,发现用户名输入会返回值怀疑可以进行注入,进一步测试此页面有有过滤规则,还有点击提交是几秒后会刷新页面
通过burp抓包进行注入,过滤了空格,union,select, or ,但是大写或者双写就可以绕过,空格过滤用%0a或者/**/绕过,通过多次尝试判断为字段数为3,并且2的位置是显位
进行爆库,得到库名为xiaowei
爆表名,得到表名为admin
爆列名,得到列明为Id、username、password
爆字段值:
- 得到账号信息
用户名:goodboy_g-60Hellowor
密码:ajahas&&*44askldajaj
接下来绕过验证码,要求3秒算出式子,并提交,编写脚本,计算并提交
PHP create_function()代码注入
参考资料
2019掘安杯Web
【2019年掘安杯网络安全技能挑战赛】Web-writeup
Jactf 部分WriteUp【臭鱼烂虾】
2019掘安杯原题复现
