jarvisoj_web_witerup

作者: 沙雕带你蒿羊毛 | 来源:发表于2018-03-17 20:30 被阅读0次

jarvisoj_web_witerup

PORT51

PORT51.png
该题提示我们需要使用51端口进入该站点
然而此站为http://web.jarvisoj.com:32770/ 它的端口已经是确定了的，所以只能更改我们的port了。
本来用的是kali虚拟机，不能通过外网，命令如下
curl --local-port 51 http://web.jarvisoj.com:32770/
自己试试，我就懒得弄win上的curl命令了

LOCALHOST

LOCALHOST.png

这道题跟上面的很像啊，道理还是一样的，就是通过localhost来访问该站点咯

图片.png
可以瞅瞅

Login
提示说要通过获得密码才能得到flag
第一个念头就是用burpsuit。。得到了网站的response

图片.png
这里可以看到一点小提示：Hint: "select * fromadminwhere password='".md5($pass,true)."'"
说明可以构造：select * from admin where password='"or 1=1 这样的绕过语句
so我们要找到一个password，这个password经过md5加密后可以变成类似"or 1=1 之类的语句绕过
password：ffifdyop
这种题还是在别的地方见过几次的，都是一样的payload

ffifdyop.png

神盾局的秘密
F12里面啥都没，就一段图片的连接，刚开始没注意，还以为问题出在图片里隐写了，后来也没看出来，才想到了图片链接的问题
http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLmpwZw==
这个img后面肯定是base64了，解密看一下：http://web.jarvisoj.com:32768/showimg.php?img=shield.jpg
我们把showing.phpbase64编码一下，得到c2hvd2ltZy5waHA=，然后放到"img= "后面,页面爆出php代码

showing.php.png
由此发现，img参数可以打开任意文件，那么我们打开index.php文件，查看一下里面除了那个白头鹰还有什么内容。
http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw

index.php.png 并且里面可以看到了反序列化参数

在这里可以看到，又有一层php文件，我们跟着打开shield.php
http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==

flag.png 一开始还以为flag就拿到了，

图片.png

结果发现并不是。。

仔细看看前面的php，我们可以利用通过class传参到pctf.php得到内容。

class.png

在index.php中传参得到了flag

flag.png

IN A Mess
这个是一点办法都没有，一开始还以为问题出在id上，试了几个id参数都一样。然后burpsuit抓包也没看出啥东西来。后来才知道是用phps来代码审计

phps.png
通过

if($data=="1112 is a nice lab!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

来获得flag；
eregi()函数在一个字符串搜索指定的模式的字符串。
在这里我们需要传递的data为"1112 is a nice lab!" a参数由于设置了stripos($a,'.')限制，只能用php伪协议，这里附带一个为协议的相关知识：http://blog.csdn.net/Ni9htMar3/article/details/69812306?locationNum=2&fps=1;
php弱类型相等（$id==0）>>id=a ;
strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)这里要求b参数长度大于5，and第一个字符为4，and第一个字符不等于4. 可以用00截断绕过：b=%004123456
如图：