刷微博正好看到P神的活动，学习了。

• javacon
• 难度：medium
• 源代码：https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar
• URL：http://51.158.75.42:8081/

阅读剩余部分 –

浙江首届大学生CTF比赛，大型网友线下见面活动，主要过来和师傅们学习下。
分享下比赛时候做出的题目和复现时放出的隐藏题目的做法以及思路。

阅读剩余部分 –

首先感谢下安恒举办的比赛，还有大神们的讲解，学习了

再来个友情链接

发现.git泄漏，拿到源码

发现上传文件，代码审计

发现upload.php里面的条件竞争漏洞，先上传文件再删除文件。但是程序开头会检查权限，需要登录后才能操作。因此解题思路为结合CSRF+条件竞争。

因为程序添加友情链接时候会先去访问这个文件

所以我们可以写个自动上传文件的js,利用csrf去上传绕过user判断，然后利用时间差，在还没删除temp文件时快速去访问/temp上传成功的php，并自动创建一个一句话shell

poc:

阅读剩余部分 –

fd

ssh连上

找到fd的源码

首先，程序接收一个参数argv[1]，转换为整数型之后减0x1234 ，读入buf ，比较是否与LETMEWIN相同，如果相同则get flag

read函数

read()会把参数fd所指的文件传送nbyte个字节到buf指针所指的内存中。若参数nbyte为0，则read()不会有作用并返回0。返回值为实际读取到的字节数，如果返回0，表示已到达文件尾或无可读取的数据。错误返回-1,并将根据不同的错误原因适当的设置错误码。

linux文件描述符

也就是我们可以令fd=0 使得标准输入，buf的值就可以键入了

又因为

所以我们令fd=0x1234的10进制4660然后键入LETMEWIN

collision

先看代码

分析源码，首先输入长度为20的字符然后与关键函数check_password比较

p强制转化为指针,32位下指针一般与char的大小相同，所以相当于分成5组（char1个字节，int4个字节）

然后把每四个字符看成一共int型的数字，进行5次循环相加，结果放入res中

最后符合hashcode = 0x21DD09EC; 拆分一下符合20长度限制，如下

注意下是小端模式

bof

给的源码：

key == 0xcafebabe 即可拿到shell但实际传的key为0xdeadbeef

又看到gets 可以溢出

IDA打开编译好的c

发现char s //[sp + 1Ch] [bp – 2Ch]说明，这个字符串s 是从[bp – 2Ch]处开始进入栈缓冲区的，所以我们只要覆盖2C字节，再加上EBP和EIP的8个字节，总共52个字节就可以成功覆盖第一个变量，也就是func里面的参数覆盖为0xcafebabe

这里盗个图方便理解

所以EXP为

拿到flag

include

比较经典的文件包含题，记录一下

首先看phpinfo里allow_url_include为On

所以可以使用php://input包含执行命令

关键文件在dle345aae.php

配合

读取源码

爆破1

这里用到PHP超全局变量

$GLOBALS — 引用全局作用域中可用的全部变量

$GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量（从函数或方法中均可）。

PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。

payload:

http://4687f7fdd5d64157a0dea153446a49728bbc8a7ce1bd49c6.game.ichunqiu.com/?hello=GLOBALS

爆破2

代码注入一下就ok

看来只有flag.php

然后我们直接输出源码就行

比较坑的是i春秋带了waf…我们改成post再传个值绕过

水过..

最近准备刷一下实验吧的题，抽空做个小记录

题目连接：http://ctf5.shiyanbar.com/web/5/index.php

题目就是登陆成功用户后获得flag

首先获得php源码

其中

显然可以注入

接着往下看

这里把sql语句执行得到的数据放到row 并且判断其中的pw是否与输入的md5($_POST[pass]);相等

因为这里把用户和密码的判断分开 所以我们没法按常规注释掉密码的sql判断

但是因为row的数组结果是之前$sql的语句，所以我们其实可以通过sql注入生成一个密码来绕过

那就好办了，首先先试出来用户名为username

接下来构造sql语句

密码处填写123 成功拿到flag

一般是缺少文件头，也有情况缺少头和尾…

zip的数据信息：

维吉尼亚密码(Vigenère Cipher)是在单一恺撒密码的基础上扩展出多表代换密码，根据密钥(当密钥长度小于明文长度时可以循环使用)来决定用哪一行的密表来进行替换，以此来对抗字频统计.

密表:

阅读剩余部分 –

最近又水了一个CTF，分享一道web题

打开界面可以看到需要输入一个ip地址 会返回ping结果 所以可以尝试 | 来执行下一个命令 但发现被过滤了

换一个方法

找到上传入口

可以看到一个上传和查看源码

查看源码利用的

base64解密

首先可以看到后端对文件后缀做了白名单验证 加上php版本都没有解析漏洞 最后试了好多方法 半夜想到可以试试伪协议，因为下面可以用文件包含来使用绕过，两种问题必须配合用才可以（感觉好多web题都涉及开伪协议了）

常见php伪协议：

* file:// — 访问本地文件系统

* http:// — 访问 HTTP(s) 网址

* ftp:// — 访问 FTP(s) URLs

* php:// — 访问各个输入/输出流（I/O streams）

* zlib:// — 压缩流

* data:// — 数据（RFC 2397）

* glob:// — 查找匹配的文件路径模式

* phar:// — PHP 归档

* ssh2:// — Secure Shell 2

* rar:// — RAR

* ogg:// — 音频流

* expect:// — 处理交互式的流

所以我们可以写一个读取flag的1.php

然后压缩为zip

上传时修改后缀为.png 但type的zip类型不要改

上传成功，继续往下看代码

设置了一个文件名的随机数

学长帮写了一个爆破程序

爆破出来 文件名假设最后为305005900_1.png

然后..

继续看代码

一个文件包含，最后会自动加上.php，这也是比较纠结的一个点，最后的解决办法就是上面说的可以配合伪协议使用

(题目的难点就是只能上传图片后缀的文件，但却只能读取.php的文件)

所以最后利用phar解里面的1.php

构造的payload为：