iscc 2018 部分題解wp(更新中)

WEB1 比較數字大小

看一下源代碼：發現 輸入的值只能爲3 那麼就改大一點吧

獲得flag

WEb2 

首先先看一下那個代碼吧

發現是一個strcmp 函數 只須要傳遞一個password 過去那麼構造爲 password[]=abc就能夠繞過了

本地誘惑

點進去看了一下

首先仍是看一下源代碼

發現了flag

你能跨過去嗎？

首先進行URL解碼 去除沒必要要的字符,截取一段base64解碼得到:alert("key:/%nsfocusXSStest%/")<

將key填入後提交得到flag

一切都是套路

看到提示了。好像有個文件忘記刪了 

請ping個人ip 看你能Ping通嗎？

看了一下是一個命令執行

 

Please give me username and password!

繼續更新

 昨天是打紅帽杯耽誤了，紅帽杯線下的AWD 實在是大佬太多了！！！！！！！！

而後沒時間去寫WP ，就叫老虎發了一份給我。下面的這些是china.H.L.B 的WP  發給你們看看吧

你能繞過嗎？

 

隨便點一個，以下圖所示；

把id=2，修改爲6668952，以下圖所示；

 發現id後沒有過濾，因此嘗試文件包含漏洞，讀取包含flag的文件，以下圖所示；

這個是base64的弄到一個頁面

web02

題目連接中文字中有本機連接，因此抓包修改http請求頭，以下圖所示；

 

Client-IP:127.0.0.1

點擊Intercept is on 放包，以下圖所示；

查看網頁，以下圖所示；

 

SQL注入的藝術

 點擊我的信息，以下圖所示；

把連接放入sqlmap，嘗試注入，以下圖所示；

發現是寬字符注入而且提示有WAF，因此更嘗試繞過WAF，以下圖所示；

sqlmap -u 「http://118.190.152.202:8015/index.php?id=1「 —tamper unmagicquotes.py —batch -v 3 —level 3 –dump

試試看

打開連接，以下圖所示；

在img=的地方，測試是否有文件包含漏洞，以下所示；

發現有文件包含漏洞，如圖形所示；

A. payload，如圖下所示；

B. 證實存在的文件包含漏洞，如圖下所示；

（4） 構造payload，如圖下所示；

（5） 打開網頁後是空白，如圖下所示；

（6） 打開網頁源碼，如圖下所示；

Collide

打開連接發現是代碼審計題目，以下圖所示；

（2） 審計源碼後，使用HashPump攻擊；
（3） 安裝HashPump；

A.方法一：
git clone https://github.com/bwall/HashPump.git
apt-get install g++ libssl-dev
cd HashPump
make
make install
B.方法二：
pip install hashpumpy
（4） 運行HashPump而且將x替換成%後用hacbar urldecode，以下圖所示；

（5） 運行hackbar，以下圖所示；

（6） 用burp截包改md5值，以下圖所示；

 

Only admin can see flag

 

（1） 打開題目連接，發現只有一個登陸對話框。以下圖所示；

（2） 查看源碼，發現有一個index.txt的提示，以下圖所示；

（3） 打開index.txt，審計源碼，發現是CBC反轉漏洞，以下圖所示；

（4） 下面介紹一下CBC字節翻轉攻擊的原理，以下圖所示；

 

（5） 如上圖所示，CBC加密的原理圖；
A. Plaintext：待加密的數據。
B. IV：用於隨機化加密的比特塊，保證即便對相同明文屢次加密，也能夠獲得不一樣的密文。
C. Ciphertext：加密後的數據。
D. 在這裏重要的一點是，CBC工做於一個固定長度的比特組，將其稱之爲塊。在本文中，咱們將使用包含16字節的塊。
（6） 整個加密的過程簡單說來就是；
A.首先將明文分組(常見的以16字節爲一組)，位數不足的使用特殊字符填充。
B.生成一個隨機的初始化向量(IV)和一個密鑰。
C.將IV和第一組明文異或。
D.用密鑰對C中xor後產生的密文加密。
E.用D中產生的密文對第二組明文進行xor操做。
F.用密鑰對E中產生的密文加密。
G.重複E-G，到最後一組明文。
H.將IV和加密後的密文拼接在一塊兒，獲得最終的密文。
從第一塊開始，首先與一個初始向量iv異或（iv只在第一處做用），而後把異或的結果配合key進行加密，獲得第一塊的密文，而且把加密的結果與下一塊的明文進行異或，一直這樣進行下去。所以這種模式最重要的特色就是：
（7） 前一塊的密文用來產生後一塊的密文,以下圖所示；

（8） 這是解密過程，解密的過程其實只要理解了加密，反過來看解密過程就也很簡單了，一樣的，前一塊密文參與下一塊密文的還原。
A.從密文中提取出IV，而後將密文分組。
B.使用密鑰對第一組的密文解密，而後和IV進行xor獲得明文。
C.使用密鑰對第二組密文解密，而後和2中的密文xor獲得明文。
D.重複B-C，直到最後一組密文。
（9） 這幅圖是咱們進行翻轉攻擊的原理圖：

 

這裏能夠注意到前一塊Ciphertext用來產生下一塊明文，若是咱們改變前一塊Ciphertext中的一個字節，而後和下一塊解密後的密文xor，就能夠獲得一個不一樣的明文，而這個明文是咱們能夠控制的。利用這一點，咱們就欺騙服務端或者繞過過濾器。
（10） 在登陸對話框隨意輸入一個賬號和密碼而且使用bp抓包，以下圖所示；

 

（11） 查看返回包，以下圖所示；

 

（12） 使用腳本進行反轉，以下圖所示；

 

（13） bp中的cookie中設置iv和翻轉後的cipher而且把post值清空後提交，以下圖所示；

（14） 返回結果以下圖所示；

 

（15） 服務器提示反序列化失敗，可是其實咱們這個時候只要對這個進行base64解碼就會發現，咱們的username已經變成了admin；緣由是在咱們爲了修改mdmin爲admin的時候，是經過修改第一塊數據來修改的，因此第一個塊數據被破壞了。由於程序中要求username要等於admin因此不能利用文章裏的說的填充字符。 又由於是第一個塊數據被破壞，第一個塊數據是和IV有關，因此只要將在CBC字符翻轉攻擊，獲得新的IV就能夠修復第一塊數據。以下圖所示；

 

（16） 把獲得的數值替換iv，cipher不動而後提交。以下圖所示；

 

 

 

PHP是世界上最好的語言           

這個其實能夠掃描的。也能夠用0e 繞過

 （1） 打開連接發現是代碼審計，以下圖所示；

（2） 使用掃描器掃描，發現有no_md5.php文件。以下圖所示；

（3） 審計題目所給的源碼，發現是文件包含。以下圖所示；

（4） 因此這樣構造語句，以下圖所示：

/no_md5.php?a=GLOBALS

 

 

Only Admin

（2） 使用掃描器掃描一下，發現了備份文件。以下圖所示；

（3） 把備份文件解壓縮，以下圖所示；

（4） 打開config.php發現了須要審計的代碼，以下圖所示；

（5） 在登陸對話框的email地方輸入’ or 1#而且隨意輸入password，以下圖所示；

 

（6） 點擊login，以下圖所示；

（7） 運行腳本寫入cookie中，以下圖所示；

 （8） 腳本運行後會在cookie中增長一條以下圖所示；

 

（9） 打開審覈元素，以下圖所示；

爲何這麼簡單啊

（1） 打開連接發現是一個闖關，以下圖所示；

（2） 看到了這倆個要素，以下圖所示；

’

（3） 這點就相似於DDCTF 2018裏邊的web題目了，使用BurpSuite抓包而且修改HTTP頭，以下圖所示；

（4） 點擊GO，獲得的返回結果以下圖所示；

（5） 獲得第二關地址而且發現須要輸入密碼才能夠獲取flag，以下圖所示；

（6） 點擊鼠標右鍵選擇查看網頁源代碼，以下圖所示；

'

（7） 點擊源代碼中的./password.js,以下圖所示；

（8） 發現一段base64代碼，以下圖所示；

（9） 進行base64解密，以下圖所示；

（10） 輸入密碼而且點擊獲取flag，以下圖所示；

 

Sqli

（1） 打開連接發現是一個登錄對話框，以下圖所示；

（2） 使用BurpSuite抓包，以下圖所示；

（3） 在登陸對話框的username輸入：-1’ OR (1=1*) or ‘，password輸入x，以下圖所示；

（4） 把抓包內容保存成TXT，以下圖所示；

 

（5） 使用sqlmap注入，以下圖所示；
A. 注入命令語句，以下圖所示；

 

B. 注入結果，以下圖所示；

 

 

 

有種你來繞

（1） 打開連接發現是一個登錄對話框，以下圖所示；

 

 （2） 使用BurpSuite抓包而且登陸嘗試，以下圖所示；

（3） 經過返回結果獲得用戶名是admin，以下圖所示；

 

（4） 使用BurpSuite抓包而且進行注入，以下圖所示；

 

（5） 返回結果以下圖所示：

 

（6） 使用腳本跑密碼，以下圖所示；

（7） 獲得password密碼爲：nishishabi1438
（8） 使用賬號密碼登陸，以下圖所示；

 

（9） 輸入flag獲取flag，以下圖所示；