铁三测试赛

其他 2020-08-04 10:15:13 阅读次数: 0

你是管理员吗?

1.下载password.txt

2.使用intruder爆破登录密码为’Nsf0cuS’

3.登录并使用burp抓包

4.在’Set-Cookie’中可以看到newpage参数值

HTTP/1.1 200 OK
Server: nginx
Date: Thu, 08 Mar 2018 07:24:40 GMT
Content-Type: text/html
Connection: close
Vary: Accept-Encoding
X-Powered-By: PHP/5.5.36
Set-Cookie: newpage=MjkwYmNhNzBjN2RhZTkzZGI2NjQ0ZmEwMGI5ZDgzYjkucGhw; expires=Thu, 08-Mar-2018 07:25:40 GMT; Max-Age=60
Content-Length: 1756

base64解码后得到新页面’290bca70c7dae93db6644fa00b9d83b9.php’
新页面是留言板,随便输入内容并提交抓包

POST /web/root/290bca70c7dae93db6644fa00b9d83b9.php?act=add HTTP/1.1
Host: ctf4.shiyanbar.com
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 9_2 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13C75 Safari/601.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://ctf4.shiyanbar.com/web/root/290bca70c7dae93db6644fa00b9d83b9.php
Cookie: IsLogin=0
DNT: 1
X-Forwarded-For: 8.8.8.8
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 57

content=fdsfdsf&userlevel=guest&Submit=%E7%95%99%E8%A8%80

IsLogin=0 修改为’1’
userlevel=guest 修改为’root’(因为URL中的目录名为’root’)即可

flag{C0ngratulati0n}

照猫画虎

使用burp抓包,可以看到cookie中的值是base64+urlencode编码,对其进行解码

GET /web/copy/index.php HTTP/1.1
Host: ctf4.shiyanbar.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: Visitor=MjY5OTowNDE1NzQwZWFhNGQ5ZGVjYmM4ZGEwMDFkM2ZkODA1Zg%3D%3D
DNT: 1
X-Forwarded-For: 8.8.8.8
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

解码后的到当前是第几位visitor和一个md5值

2699:0415740eaa4d9decbc8da001d3fd805f

md5解密后的值为2699
将这个值改为1234567890即可
构造payload:

MTIzNDU2Nzg5MDplODA3ZjFmY2Y4MmQxMzJmOWJiMDE4Y2E2NzM4YTE5Zg%3D%3D

注意md5对‘1234567890’加密的结果要用小写,不然无法获取到

shellcode

使用工具将shellcode转换为字符串

jXRfh-ch/shh/binR4echoZmxhZ3tTSEVsbGNvZGVfSVNfc29fQ29vbH0K|base64-dWS

将’echo ZmxhZ3tTSEVsbGNvZGVfSVNfc29fQ29vbH0K|base64 -d’在bash中运行得到flag{SHEllcode_IS_so_Cool}

IOS

根据题目需要更改user-Agent 头为 os 99 即可

Mozilla/5.0 (iPhone; CPU iPhone OS 99 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13C75 Safari/601.1

问题就在这

题目描述

找答案 GPG key: GhairfAvvewvukDetolicDer-OcNayd#

使用linux下的gpg对文件进行解密,得到一个pcap文件
使用wireshark的导出对象,选择http ,可以看到有几张png图片,经过分析,发现在logo.png有flag

image

使用stegsolve获取flag

image

你最美

winhex打开,是经过base64编码的png图片,使用在线工具,将图片恢复后是一张二维码,扫描即可得到flag

猜你喜欢

转载自blog.csdn.net/hardhard123/article/details/79487349
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
基本数据类型封装类比较 Java源码解读(一) 8种基本类型对应的封装类型
JS实现无缝滚动上
深入解析HashMap原理(基于JDK1.8)
mysql的连接池
关于.htc
linux下的ubuntu12.04图形界面
【数论】好推不好记的扩展欧几里德
设备树详解
cscope + tags 简单设置
xml学习
每日归档
更多
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022