用户
搜索
  • TA的每日心情
    开心
    2016-10-10 15:25
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    版主

    Rank: 7Rank: 7Rank: 7

    41

    主题

    152

    帖子

    904

    魔法币
    收听
    0
    粉丝
    13
    注册时间
    2016-7-11

    美女勋章

    发表于 2016-10-10 17:41:07 3434694
    本帖最后由 一口盐汽水 于 2016-10-10 19:20 编辑

    百度杯十月场第一周WP重磅来袭

    本场比赛无论是在赛题难度以及赛题数量上都有较大的变化,题目数量增至6道,其中三道misc题,题目全都是CTF中的基础题,分值全为10分。比赛赛制的改革是为了让表哥表弟能参与到百度杯的比赛中,体验一个极致的CTF夺旗之旅






    0X00 misc

    1、签到题


    据说签到这题巨奇葩巨不能忍,好多人想要暴打出题人
    和出题人聊聊??更有甚者传言表姐我为出题人。
    这!真!的!不!能!忍!
    表姐我人见人爱花见花开温柔美丽善良
    活泼恩爱聪明伶俐文雅矜持贤淑热情···············
    所以对于那些误解我的人,我只想说(如图所示)
    u=3516594368,3855097266&fm=21&gp=0.jpg

    好了,相信说到这大家也都会相信出题人不是我了,那么言归正传
    签到题怎么做???
    这个时候我们就需要看一眼题目了

    对百度杯用时下最流行的表白(去调戏i春秋公众号)大声说出你的爱!!!


    Tips提示说用时下最流行的表白,时下最流行的表白当然是么么哒啦。
    而且是对百度杯表白,那么一定是告诉“百度杯么么哒
    就是这么聪明自信又简单。

    u=1730938518,710090943&fm=21&gp=0.jpg


    2、那些年我们追过的贝丝
    出题人用心良苦,又是提示贝丝又是2的6次方,这不是base64解码是什么
    将题目中的字符串
    Base64解码就可以了
    ZmxhZ3tpY3FlZHVfZ29nb2dvX2Jhc2U2NH0=

    3、我要变成一只程序猿
    读附件代码可知 输入进字符串后倒序输出,所以flag就是ba1f2511fc30423bdb的倒序


    0X01 web

    1、GetFlag
    首先需要登陆 但登陆需要有验证码 算法给出了substr(md5(captcha), 0, 6)
    这里猜测验证码为纯数字
    所以用python写个遍历数字加密md5程序 然后算一下就可以了
    (长时间没算出来就刷新一下换个验证码继续算)
    算出来后果然用户名输入admin加单引号 果然报错了
    然后这种注入成本太高 所以直接用万能密码


    图片1.png

    登陆成功跳转到action=file,访问链接后有一个文件下载功能
    过滤了../这些符号 所以无法用相对路径跳到flag.php所在文件夹
    于是直接用绝对路径 网站路径猜测为/var/www/html

    图片2.png 图片3.png

    读到了flag.php的源代码
    代码很简单 接收post参数flag 并赋值给spaceone 然后判断spaceone等于flag时输出flag
    这里helloctf.php是用任意文件下载是下不到的 做了过滤 所以还是乖乖按题意走吧

    图片4.png
    flag后需要有分号。。。。。。


    2、Login
    查看源代码可知用户密码为 test1/test1,登录之后就跳转到了memeber.php

    图片5.png
    并返回了一个show等于0的http头,在请求头中加入show字段,值为1


    图片6.png

    返回了member.php的源代码,
    代码很好理解从GET POST SESSION COOKIE数组合并并赋值给requset参数,
    Request[token]做三个解码操作,最后判断login[user]等于ichunqiu则输出flag,
    本地写一个php 反过来进行三次编码。

    图片7.png

    把输出的$a值放到cookie中的token值上,
    因为session中登陆时添加了token参数
    所以在session前面的get
    post数组会被覆盖所以只能用cookie,最后getflag。


    图片8.png 图片9.png




    3、Backdoor

    存在.git泄露,拿工具下载之后,查看log
    1.jpg

    分析源码,得到文件

    2.jpg

    存在swo文件,下载,得到源码

    3.jpg

    分析源码最终提交:
    Accept-Language: ah;q=0.8,an-US;q=0.1,an;q=0.2,an;q=0.3Referer:
    http://114.114.114.114/?q0=hahaha&q1=83b&q2=TPocyB4WLfrhNnivHmqzgzJmH0I2
    hw&q3=0e5

    4jpg.jpg

    解密得到目录下文件 b4ckdo0r.php flag.php index.php robots.txt this_i5_flag.php
    查看 this_i5_flag.php 的内容, 得到 flag


    5.jpg

    解密

    6.jpg








    本帖最后由 sanmang 于 2016-11-3 12:24 编辑

    用Java写了个工具来抓取.git泄漏的文件(有简单的UI),抓取文件后可以在目录下执行git命令
    $ git fsck
    Checking object directories: 100% (256/256), done.
    $ git checkout 12c6ddf4af0a5542c1cf6a9ab19b4231c1fd9a88
    Previous HEAD position was da06087... edit flag.php
    HEAD is now at 12c6ddf... test
    $ cat flag.php
    <?php
    echo "flag{true_flag_is_in_the_b4ckdo0r.php}";
    ?>源码放在github的JGitHack

    JGitHack.jar.zip

    39.84 KB, 下载次数: 88, 下载积分: 魔法币 -3

    使用道具 举报 回复
    sanmang 发表于 2016-11-3 00:54
    用Java写了个工具来抓取.git泄漏的文件(有简单的UI),抓取文件后可以在目录下执行git命令
    $ git fsck
    Che ...

    https://github.com/WangYihang/GitHacker 这个也是一个
    使用道具 举报 回复
    godmaple 发表于 2016-10-20 14:45
    问一下大神Backdoor this_i5_flag.php文件是在哪提示的

    在下载下来的git文件夹里的bd文件夹里
    使用道具 举报 回复
    不够成熟而已 发表于 2016-12-3 11:52
    还是不懂login test1获取方式

    额  你就差点页面源代码 看最下面 用尖括号包起来
    使用道具 举报 回复
    发表于 2017-1-10 22:10:03
    icqaa3cd87b 发表于 2016-10-12 11:03
    swo文件源码是如何分析出来那个refer和accept结果的?

    swo文件是如何下载的
    The quieter you become,the more you are able to hear......
    使用道具 举报 回复
    发表于 2017-1-9 15:14:28
    Getflag题目中 最后读取flag=flag; 为什么要加分号,还有源码中不是spaceone这个参数么 怎么变成flag了
    The quieter you become,the more you are able to hear......
    使用道具 举报 回复
    发表于 2016-10-10 21:04:01
    请问一下GetFlag那道为啥最后加了个分号就绕过了?
    虚心请教
    使用道具 举报 回复
    发表于 2016-10-10 22:41:52
    老锥 发表于 2016-10-10 21:04
    请问一下GetFlag那道为啥最后加了个分号就绕过了?

    因为eval中要执行的代码也必须是完整的PHP代码,PHP是以  ;  作为一个语句的结束符的
    使用道具 举报 回复
    git泄露利用用的工具名?
    使用道具 举报 回复
    发表于 2016-10-11 09:07:46
    LOGIN那题哪里查看源代码得到的用户名密码?
    使用道具 举报 回复
    发表于 2016-10-11 15:23:10
    git泄露那题怎么分析源码。。
    使用道具 举报 回复
    发表于 2016-10-11 17:50:09
    LMX23333 发表于 2016-10-11 09:07
    LOGIN那题哪里查看源代码得到的用户名密码?

    view page source,Ctrl + F: test1
    使用道具 举报 回复
    发表于 2016-10-11 23:05:06
    git泄漏用的什么工具??有个GitHack的工具貌似运行后没下载log
    使用道具 举报 回复
    发表于 2016-10-12 11:03:26
    swo文件源码是如何分析出来那个refer和accept结果的?
    使用道具 举报 回复
    发表于 2016-10-12 11:06:26
    TPp8VHv2Kv4DTuVN+hA0Z3ytfio1iVwExzRlTRJaIc59nxKjSB1xEj5sEn+r/ZWukpcHE2442cIiag==  这串怎么解密的?
    使用道具 举报 回复
    发表于 2016-10-15 08:37:28
    多谢大表姐分享!
    使用道具 举报 回复
    发表于 2016-10-16 10:06:28
    LOGIN那题哪里查看源代码得到的用户名密码?
    使用道具 举报 回复
    发表于 2016-10-16 10:18:51
    fakl0 发表于 2016-10-16 10:06
    LOGIN那题哪里查看源代码得到的用户名密码?

    ........kandaole
    使用道具 举报 回复
    发表于 2016-10-16 13:33:46
    getflag如何猜到flag.php位于challenge文件下面的呢
    使用道具 举报 回复
    发表于 2016-10-17 16:16:52
    本帖最后由 佐同95 于 2016-10-18 19:44 编辑

    Backdoor的.git使用rip-git.pl下载的。
    使用道具 举报 回复
    123下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册