Tagged: writeup Toggle Comment Threads | 键盘快捷键

  • jinzihao am12:09 on 2016年5月18日 链接地址 | 回复
    Tags: , writeup,   

    [writeup] web {1, 2, 3, 4} – Bluelotus-Exercise 

    web1:

    打开网址,在网页源代码中看到下列注释:

    输入的$user和$pass被单引号包围,可通过在$user中输入

    利用MySQL的\转义机制,将后一个单引号转义为字符串的一部分;在$pass中输入

    (%23为#的URL转义)利用MySQL的#注释机制注释掉后面的部分,包括紧随其后的单引号
    此时SQL语句为:

    其中只剩两个单引号,恰好配对为一个字符串,后面OR 1=1的存在即可取出表中所有的记录。
    输入?user=flag\&pass= OR 1=1%23后得到flag:CTF{Welc0me_T00_t3e_Web_W0r1d}


    web2:

    在网页注释中看到:

    尽管$str经过了addslashes处理,但addslashes只会在单引号、双引号、反斜线、空字符前添加一个反斜线,故可以在$str中输入一个

    PHP中双引号内的${}内的代码可被解释运行,输入?str=${echoflag()}得到flag为CTF{D0llAr_I3_Ama2inG}


    web3:

    (此题提示信息中$secretId = 12315应改为$secretId = 1)
    本题中id参数在PHP代码中被存为float类型,如果这个浮点数类型的id与secretId相等则不会进行else分支中的数据库查询。但浮点数判等就会有精度问题,利用PHP和MySQL浮点数的精度差别,使$id和$secretId在PHP中不等,而在MySQL中相等。于是构造一个id=1.00000000000001,PHP认为1.00000000000001 != 1,从而进入else分支。而MySQL认为1.00000000000001 = 1,从而取出了id为1的记录:id: 1, message: CTF{W3ll_D0wn}


    web4:

    if($_CONFIG[‘extraSecure’])内的代码对$kw进行了过滤,使得注入代码难以进入最终的SQL语句中。但前面两重foreach循环,提供了一个修改$_CONFIG的机会。对于所有$_GET[‘key’] = ‘value’、$_POST[‘key’] = ‘value’、$_REQUEST[‘key’] = ‘value’、$_COOKIE[‘key’] = ‘value’,PHP都会销毁key变量。于是以GET参数的形式传入一个?_CONFIG=xxx,便可以销毁$_CONFIG,从而使$_CONFIG[‘extraSecure’]为空,绕过了preg_replace的过滤。接下来再在kw中进行联合查询:

    先用’结束LIKE后面的字符串,用and 0使第一条查询查不出任何记录,否则第一条记录就不一定是user表中admin的密码了。接下来union select便可以取出user表中id为1的记录。查询得到结果:id: admin, message: CTF{G00d_J0b}

     
  • jinzihao pm11:31 on 2016年5月17日 链接地址 | 回复
    Tags: , writeup,   

    [writeup] misc {1, 2, 3, 4, 5} – Bluelotus-Exercise 

    misc1:

    查字典可知,这五个字读作(dà)(xiàng)(de)(yīng)(wén),于是flag输入大象的英文elephant即可。


    misc2:

    在键盘上找到这些字母和数字对应的位置,恰好构成了大写字母LIC,flag即为LIC。


    misc3:

    此题为一段base32编码的数据,在http://emn178.github.io/online-tools/base32_decode.html解码得到

    再从左到右将每两位16进制数转换为一个ASCII字符(在线转换工具:http://string-functions.com/hex-string.aspx),得到flag:ctf{Enc0d1ng_1s_f3n)}


    misc4:

    flag.zip
    本题的zip文件看似需要密码才能打开,实际为伪加密,使用unpack.txt(请将扩展名改为.py)解压flag.zip:

    得到flag.docx,打开显示ctf{Hu33y_Up}即为flag。


    misc5:

    flag.docx
    打开flag.docx文件只看到蓝莲花图片,将扩展名改为.zip,解压,在word\media\下面看到两个png图片,打开image2.png,看到flag:ctf{My_G0g}

     
c
写新的
j
下一篇文章/下一个回复
k
前一篇文章/以前的回复
r
回复
e
编辑
o
显示/隐藏 回复
t
回到顶部
l
go to login
h
show/hide help
shift + esc
取消