黑客信息网:CTF训练之OneWayIn

访客4年前黑客工具972

你是否正在收集各类网安网安知识学习,合天网安实验室为你总结了1300+网安技能任你学,点击获取免费靶场>>

上次的题目counting star领悟透了吗?这次再介绍一道CTF真题吧,本次题目名称是onewayin,会用到代码解密等方面的知识。

今天介绍的CTF题目很有意思的。进入实验链接 OneWayIn,进入实验机操作。实验地址10.1.1.82。

headImg.action?news=c2f12653-4015-4617-a448-3bc09a63bb5a.png

你看到这个界面可以想到些什么呢?我们看到web题肯定首先就是看源码啊。

查看源码发现:

headImg.action?news=23c46934-6e43-489e-bc7a-04d0c444ac7d.png

我们来分析一下这个源码。这里说:

当0_usename=0_pwd的时候输出f1()

Crc32(0_usename)=Crc32(0_pwd)的时候输出f2()

不然就f3,东哥这里两个字符串的32位CRC相等需要输入的字符串相同吧,这不是跟前面的f1()判断冲突了吗?

这就不知道吧,我们这里是需要利用CRC32函数的一个缺陷,抓包把参数改成数组并且用户名和密码的值不同,如下图:

headImg.action?news=a92fdae6-2ee9-4230-ae9c-4bf24fed9c5a.png

这样就可以绕过crc32函数了吗?对,不信的话,我们来试验一下把这个数据放至Repeater模块里,

headImg.action?news=76ccf772-6ae5-4aaf-96fd-2cc1620178e3.png

点击go你会发现出现了不同的东西,

headImg.action?news=b2e33eba-8652-4781-bf71-a18c34fc44a1.png

再点击跟随跳转,

headImg.action?news=eefe220c-df57-460d-b0f6-3031f65933c0.png

然后再点击一次跟随跳转,

headImg.action?news=ed90f7bb-a01b-4071-a778-fed2dc465128.png

这出来好多十六进制,当然我们不能只看返回啊,看一下url那里是不是有一个base64编码。

我们把这个base64解密一下居然是test.txt,这里是file=多少。哇,那我们是不是可以进行文件读取。

headImg.action?news=0f5a658c-4c3f-47f2-be34-5899e830d803.png

我们可以试一下,看看能不能读index.php的源码,先把index.php编码,

headImg.action?news=a5607b84-a8d1-426c-afa1-0c1cb49575dc.png

把编码之后的替换到刚才url参数的位置并点击go。

headImg.action?news=e8cc7269-2a79-4741-a627-1d2b11dad273.png

看上去好像没什么东西啊?就一个<?php没什么用啊。仔细观察的话,可以看见还有一个num参数。改一下这个num参数试一试,感觉应该是解题关键了。我们试一下返回了一些代码,我估计这里的num是表示显示多少行的函数。

headImg.action?news=6db17980-8ab4-4efb-a3a2-00ff83cf86fa.png

果然提交不同的num参数会显示不同的源代码的行(num的值为1的时候显示index.php的之一行源代码)这底下是我记录的代码。

headImg.action?news=cfc16898-e574-47d4-a684-3ee049126c44.png

我们分析一下代码根据源码的提示想要访问flag.php,cookie必须有role_cookie这项,并且值为flagadmin。

直接在抓包文件上面构造一个cookie=flagadmin,我们按照这个来读取一下flag.php,这好像乱码了。

headImg.action?news=2e88f443-e2f2-4bb9-9559-c83f4a3390d3.png

不要急,我们可以用curl这个工具把源码下载下来

headImg.action?news=a8716590-cc04-4df4-9be3-3436c80fa8f7.png

这打开还是乱码?

headImg.action?news=0b73379a-9848-41d8-97e1-a618179c2ad6.png

嗯...不要急,把这个丢进php环境里看一下会运行出什么。

headImg.action?news=df6c12dc-8ef5-4af8-9bfb-33e970edbb37.png

这是一串base64的编码,我们操作解密一下就知道了,base64解密之后发现flag。

headImg.action?news=1f491688-1b64-43d8-a7dd-8723b7ef8182.png

这次的题目也颇有难度,CTF的每一道题感觉都要花不少功夫啊!当然,孰能生巧,熟练掌握这道题的解题技巧,下次碰到类似的题目可以节省很多时间。这道题利用函数缺陷,抓包,提交,解码等过程,都需要熟练掌握才能解题!

相关文章

一光年等于多少年(一光年等于多少公里)

光年是长度单位不是时间单位 光年,长度单位,指光在真空中一年时间中行走的距离,即约九万四千六百亿公里.更正式的定义为:在一儒略年的时间中(即365.25日,而每日相等于86400秒),在自由空间以及...

网曝90后小学教师两个月升副校长怎么回事?校方回应这么说

近日,有网友发帖称,湖塘桥实验小学的一名女教师任中层副职仅仅两个月后就晋升副校长,疑似“火箭式提拔”。 校方回应称,此举为大胆启用年轻干部,任用流程符合组织程序。 网友热议:武进百年名校来了位90...

支原体是什么病(支原体有哪些症状)

支原体是什么病(支原体有哪些症状)

点击右上角立即关注,更多健康内容不再错过,不定期惊喜送给你 致病支原体中,肺炎支原体起肺炎,支原体肺炎又称原发性非典型肺炎,支原体肺炎全年均可发病,以冬季多见,可有小流行。支原体脑炎是学龄前儿童及青...

记者手记:当美国的天津网通网速测试权力交接遭遇总统弹劾案

  记者手记:当美国的权力交接遭遇总统弹劾案   新华社华盛顿1月13日电 记者手记:当美国的权力交接遭遇总统弹劾案   新华社记者孙丁   13日,美国国会大厦西侧外墙已经挂上数面星条旗。一周之后...

上海国乐上海历史文化地标(上海国乐广场、上海国乐研究会) 子晨

上海国乐上海历史文化地标(上海国乐广场、上海国乐研究会) 子晨

黎佳琪的参赛作品与音乐有关——《回溯历史,乐奏芳华》以上海音乐厅为主题。 上海音乐厅不仅仅是一个演出场所。它更承载了无数的梦,无数的青春,无数的深情…… 黎佳琪通过短视频+文字的方式,诠释了上海音乐厅...

怎么找回爱人的微信聊天记录

11月8日,第十三届光华工程科技奖揭晓仪式在北京隆重举行。工程科技是推动人类进步的发动机,是产业革命、经济发展、社会进步的有力杠杆。光华工程科技奖由中国工程院主管,目前已是第十三届,被誉为"中国工程界...