Writeup of NCTF
来源:互联网 发布:破解软件大全网站 编辑:程序博客网 时间:2024/05/20 11:27
南京邮电大学网络攻防训练平台
md5 collision
<?php$md51 = md5('QNKCDZO');$a = @$_GET['a'];$md52 = @md5($a);if(isset($a)){if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}";} else { echo "false!!!";}}else{echo "please input a";}?>
PHP弱类型,在url后面构造< ?a=* >(*的md5为0e开头)即可。
flag: nctf{md5_collision_is_easy}
签到2
按照题目说的做,输入口令“zhimakaimen”,然后点击开门,然而没有生效。
这时检查一下视图:
发现value一项为空。我们编辑一下:
<input type="password" value="zhimakaimen" name="text1" maxlength="10">
再点击一下开门,得到flag
nctf{follow_me_to_exploit}
这题不是WEB
打开题目后看到一张gif图,又说不是web题,那就把图片下载下来查看一下。
因为我在linux上做的直接命令行 vim 2.gif ;
Windows上可以用notepad等直接打开。
得到flag: nctf{photo_can_also_hid3_msg}
单身二十年 and 单身一百年也没用
这两道题是相同的——302跳转,我们需要抓取跳转过程中的网页。
可以用Python中的requests模块解决这类问题。
import requestsu='http://chinalover.sinaapp.com/web9/index.php'print requests.get(u,allow_redirects=False).headers
只需要3行代码就搞定。
需要注意的是:前者的flag在content中,后者在headers中。
flag: nctf{yougotit_script_now};nctf{this_is_302_redirect}
COOKIE
打开题目后发现什么也没有,检查一下数据,发现:
Cookie: Login=0
根据提示 0==not ,我们用burpsuite抓包,把 0 改成 1 即可。
flag: nctf{cookie_is_different_from_session}
MYSQL
其实这是一道代码审计题。
打开题目后跟着提示,在url后面加上robots.txt ,回车,发现一段代码。
<?phpif($_GET[id]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(SAE_MYSQL_DB); $id = intval($_GET[id]); $query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'")); if ($_GET[id]==1024) { echo "<p>no! try again</p>"; } else{ echo($query[content]); }}?>
要求:既要让
这其中有一个函数 intval() ,作用是取整。
那么我们在sql.php提交 id=1024.1 即可。
flag: nctf{query_in_mysql}
Download~!
“想下啥就下啥~别下音乐,不骗你,试试下载其他东西~”
点击TIPS,没有反应,看一看源代码吧。
<p><a href="download.php?url=eGluZ3hpbmdkaWFuZGVuZy5tcDM=" target="_blank">星星点灯</a></p> <p><a href="download.php?url=YnV4aWFuZ3poYW5nZGEubXAz" target="_blank">不想长大</a></p>
很明显,url后面的文件名是base64加密的。
我们访问一下download.php,被禁止了,不妨把页面下载下来,其base64加密的值为 ZG93bmxvYWQucGhw 。
打开源码
<?phperror_reporting(0);include("hereiskey.php");$url=base64_decode($_GET[url]);if( $url=="hereiskey.php" || $url=="buxiangzhangda.mp3" || $url=="xingxingdiandeng.mp3" || $url=="download.php"){ //…………}else { echo "Access Forbidden!";}?>
我们发现了一个名为”hereiskey.php”的文件,同样base64加密后下载
下来。
得到flag :nctf{download_any_file_666}
/x00
代码审计,题目直接给出源码:
if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag); else echo '骚年,继续努力吧啊~'; }
根据提示,用00截断。ereg()函数对 %00 后面的内容不做检查。
其实还有一种骚操作。
首先说明一下PHP中三个等号”===”的作用:在不经过类型转换的情况下,直接判断是否相等。
ereg()函数按照正则表达式对字符串进行检查,换句话说,对与其它类型的变量,函数直接报错。
所以我们提交一个数组上去:nctf[]=#biubiubiu 。
得到flag:nctf{use_00_to_jieduan}
bypass again
“依旧是弱类型”
打开题目后发现源码:
if (isset($_GET['a']) and isset($_GET['b'])) {if ($_GET['a'] != $_GET['b'])if (md5($_GET['a']) === md5($_GET['b']))die('Flag: '.$flag);elseprint 'Wrong.';}
要求:a与b的值不相等而md5值相等,准确得说是md5完全一样。
所以0e**** 就不管用了,但是md5一定存在吗?数组可不能求md5。
于是提交:?a[]=1&b[]=2
flag: nctf{php_is_so_cool}
变量覆盖
——听说过变量覆盖么?
——我读书少,没听说过。
google了一下:变量覆盖是指可以用我们自定义的参数值替换程序原有的变量值。
查看源码:
<?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?> <?php extract($_POST); if ($pass == $thepassword_123) { ?> <div class="alert alert-success"> <code><?php echo $theflag; ?></code> </div> <?php } ?> <?php } ?>
要求:
不是说变量覆盖吗,那我两个变量都提交好了。
import requestsu='http://chinalover.sinaapp.com/web18/index.php'd={'pass':'123','thepassword_123':'123'}print requests.post(u,d).content
得到flag: nctf{bian_liang_fu_gai!}
PHP是世界上最好的语言
打开题目,根据提示访问index.txt,发现源码:
<?phpif(eregi("hackerDJ",$_GET[id])) { echo("<p>not allowed!</p>"); exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "hackerDJ"){ echo "<p>Access granted!</p>"; echo "<p>flag: *****************} </p>";}?>
要求:id既不等于hackDJ,又等于hackDJ。(太无赖了)
但是题中有一个函数:urldecode(),那么我们就对”hackDJ” urlencode()一下。
比如我们把h转码(h的ASCII为104,转16进制为68,再加个百分号)——%68,提交。
然而失败了,因为浏览器会对地址栏的内容自动解码。
让我们再把百分号转码一下(%25),提交 ?id=%2568ackDJ
得到flag: nctf{php_is_best_language}
pass check
题目直接给出源码:
<?php$pass=@$_POST['pass'];$pass1=***********;//被隐藏起来的密码if(isset($pass)){if(@!strcmp($pass,$pass1)){echo "flag:nctf{*}";}else{echo "the pass is wrong!";}}else{echo "please input pass!";}?>
关键在strcmp()这个函数,当两个字符串相同时返回0,所以函数前有了非运算。
但如果参数不是字符串,那么让函数返回False,即可绕过。
import requestsu='http://chinalover.sinaapp.com/web21/'d={'pass':'123'}print requests.post(u,d).content
得到flag: nctf{strcmp_is_n0t_3afe}
∞挖坑待续……
续……
- Writeup of NCTF
- NCTF 南京邮电大学网络攻防训练平台 WriteUp
- NCTF 南京邮电大学网络攻防训练平台 WriteUp
- nctf-wireshark
- nctf-密码
- nctf-web
- nctf-php
- nctf-/x00
- 0ctf final world of fastbin writeup
- Writeup of love(reverse) in BugKu
- Writeup of Mountainclimbing(reverse) in BugKu
- nctf-web-2
- Writeup of BlueDon CTF's MISC-1:杂项全家桶
- Writeup of NJUPT CTF platform's some easy Reverse
- (未完)Writeup of Take the maze (reverse) in BugKu
- 南京邮电大学nctf web部分题解
- ACTF writeup
- ACTF writeup
- Linux中实施加密
- 关于TV android开发system.img,tvconfig.img等解包打包问题并出现停留在开机logo。
- 利用AdaBoost元算法提高分类性能
- HDU1004(数组实现)
- css3(7)
- Writeup of NCTF
- java中volatile关键字的含义
- 安卓工作室 android studio 汉化后,报错。 设置界面打不开。Can't find resource for bundle java.util.PropertyResourceBundl
- Hadoop_HBase.x64 位分布式安装指南
- okhttp post提交参数完成登录功能 保存返回的token
- [7-03]反射小结
- ATX笔记:输入文字方法
- 工作-2017.08.06-周记总结篇(二)
- java 对两个整数变量的值进行互换。三种方法