iscc 2018 部分题解wp(更新中)

WEB1 比较数字大小

看一下源代码：发现 输入的值只能为3 那么就改大一点吧

获得flag

WEb2 

首先先看一下那个代码吧

发现是一个strcmp 函数 只须要传递一个password 过去那么构造为 password[]=abc就能够绕过了

本地诱惑

点进去看了一下

首先仍是看一下源代码

发现了flag

你能跨过去吗？

首先进行URL解码 去除没必要要的字符,截取一段base64解码得到:alert("key:/%nsfocusXSStest%/")<

将key填入后提交得到flag

一切都是套路

看到提示了。好像有个文件忘记删了 

请ping个人ip 看你能Ping通吗？

看了一下是一个命令执行

 

Please give me username and password!

继续更新

 昨天是打红帽杯耽误了，红帽杯线下的AWD 实在是大佬太多了！！！！！！！！

而后没时间去写WP ，就叫老虎发了一份给我。下面的这些是china.H.L.B 的WP  发给你们看看吧

你能绕过吗？

 

随便点一个，以下图所示；

把id=2，修改为6668952，以下图所示；

 发现id后没有过滤，因此尝试文件包含漏洞，读取包含flag的文件，以下图所示；

这个是base64的弄到一个页面

web02

题目连接中文字中有本机连接，因此抓包修改http请求头，以下图所示；

 

Client-IP:127.0.0.1

点击Intercept is on 放包，以下图所示；

查看网页，以下图所示；

 

SQL注入的艺术

 点击我的信息，以下图所示；

把连接放入sqlmap，尝试注入，以下图所示；

发现是宽字符注入而且提示有WAF，因此更尝试绕过WAF，以下图所示；

sqlmap -u “http://118.190.152.202:8015/index.php?id=1“ —tamper unmagicquotes.py —batch -v 3 —level 3 –dump

试试看

打开连接，以下图所示；

在img=的地方，测试是否有文件包含漏洞，以下所示；

发现有文件包含漏洞，如图形所示；

A. payload，如图下所示；

B. 证实存在的文件包含漏洞，如图下所示；

（4） 构造payload，如图下所示；

（5） 打开网页后是空白，如图下所示；

（6） 打开网页源码，如图下所示；

Collide

打开连接发现是代码审计题目，以下图所示；

（2） 审计源码后，使用HashPump攻击；
（3） 安装HashPump；

A.方法一：
git clone https://github.com/bwall/HashPump.git
apt-get install g++ libssl-dev
cd HashPump
make
make install
B.方法二：
pip install hashpumpy
（4） 运行HashPump而且将x替换成%后用hacbar urldecode，以下图所示；

（5） 运行hackbar，以下图所示；

（6） 用burp截包改md5值，以下图所示；

 

Only admin can see flag

 

（1） 打开题目连接，发现只有一个登陆对话框。以下图所示；

（2） 查看源码，发现有一个index.txt的提示，以下图所示；

（3） 打开index.txt，审计源码，发现是CBC反转漏洞，以下图所示；

（4） 下面介绍一下CBC字节翻转攻击的原理，以下图所示；

 

（5） 如上图所示，CBC加密的原理图；
A. Plaintext：待加密的数据。
B. IV：用于随机化加密的比特块，保证即便对相同明文屡次加密，也能够获得不一样的密文。
C. Ciphertext：加密后的数据。
D. 在这里重要的一点是，CBC工做于一个固定长度的比特组，将其称之为块。在本文中，咱们将使用包含16字节的块。
（6） 整个加密的过程简单说来就是；
A.首先将明文分组(常见的以16字节为一组)，位数不足的使用特殊字符填充。
B.生成一个随机的初始化向量(IV)和一个密钥。
C.将IV和第一组明文异或。
D.用密钥对C中xor后产生的密文加密。
E.用D中产生的密文对第二组明文进行xor操做。
F.用密钥对E中产生的密文加密。
G.重复E-G，到最后一组明文。
H.将IV和加密后的密文拼接在一块儿，获得最终的密文。
从第一块开始，首先与一个初始向量iv异或（iv只在第一处做用），而后把异或的结果配合key进行加密，获得第一块的密文，而且把加密的结果与下一块的明文进行异或，一直这样进行下去。所以这种模式最重要的特色就是：
（7） 前一块的密文用来产生后一块的密文,以下图所示；

（8） 这是解密过程，解密的过程其实只要理解了加密，反过来看解密过程就也很简单了，一样的，前一块密文参与下一块密文的还原。
A.从密文中提取出IV，而后将密文分组。
B.使用密钥对第一组的密文解密，而后和IV进行xor获得明文。
C.使用密钥对第二组密文解密，而后和2中的密文xor获得明文。
D.重复B-C，直到最后一组密文。
（9） 这幅图是咱们进行翻转攻击的原理图：

 

这里能够注意到前一块Ciphertext用来产生下一块明文，若是咱们改变前一块Ciphertext中的一个字节，而后和下一块解密后的密文xor，就能够获得一个不一样的明文，而这个明文是咱们能够控制的。利用这一点，咱们就欺骗服务端或者绕过过滤器。
（10） 在登陆对话框随意输入一个账号和密码而且使用bp抓包，以下图所示；

 

（11） 查看返回包，以下图所示；

 

（12） 使用脚本进行反转，以下图所示；

 

（13） bp中的cookie中设置iv和翻转后的cipher而且把post值清空后提交，以下图所示；

（14） 返回结果以下图所示；

 

（15） 服务器提示反序列化失败，可是其实咱们这个时候只要对这个进行base64解码就会发现，咱们的username已经变成了admin；缘由是在咱们为了修改mdmin为admin的时候，是经过修改第一块数据来修改的，因此第一个块数据被破坏了。由于程序中要求username要等于admin因此不能利用文章里的说的填充字符。 又由于是第一个块数据被破坏，第一个块数据是和IV有关，因此只要将在CBC字符翻转攻击，获得新的IV就能够修复第一块数据。以下图所示；

 

（16） 把获得的数值替换iv，cipher不动而后提交。以下图所示；

 

 

 

PHP是世界上最好的语言           

这个其实能够扫描的。也能够用0e 绕过

 （1） 打开连接发现是代码审计，以下图所示；

（2） 使用扫描器扫描，发现有no_md5.php文件。以下图所示；

（3） 审计题目所给的源码，发现是文件包含。以下图所示；

（4） 因此这样构造语句，以下图所示：

/no_md5.php?a=GLOBALS

 

 

Only Admin

（2） 使用扫描器扫描一下，发现了备份文件。以下图所示；

（3） 把备份文件解压缩，以下图所示；

（4） 打开config.php发现了须要审计的代码，以下图所示；

（5） 在登陆对话框的email地方输入’ or 1#而且随意输入password，以下图所示；

 

（6） 点击login，以下图所示；

（7） 运行脚本写入cookie中，以下图所示；

 （8） 脚本运行后会在cookie中增长一条以下图所示；

 

（9） 打开审核元素，以下图所示；

为何这么简单啊

（1） 打开连接发现是一个闯关，以下图所示；

（2） 看到了这俩个要素，以下图所示；

’

（3） 这点就相似于DDCTF 2018里边的web题目了，使用BurpSuite抓包而且修改HTTP头，以下图所示；

（4） 点击GO，获得的返回结果以下图所示；

（5） 获得第二关地址而且发现须要输入密码才能够获取flag，以下图所示；

（6） 点击鼠标右键选择查看网页源代码，以下图所示；

'

（7） 点击源代码中的./password.js,以下图所示；

（8） 发现一段base64代码，以下图所示；

（9） 进行base64解密，以下图所示；

（10） 输入密码而且点击获取flag，以下图所示；

 

Sqli

（1） 打开连接发现是一个登录对话框，以下图所示；

（2） 使用BurpSuite抓包，以下图所示；

（3） 在登陆对话框的username输入：-1’ OR (1=1*) or ‘，password输入x，以下图所示；

（4） 把抓包内容保存成TXT，以下图所示；

 

（5） 使用sqlmap注入，以下图所示；
A. 注入命令语句，以下图所示；

 

B. 注入结果，以下图所示；

 

 

 

有种你来绕

（1） 打开连接发现是一个登录对话框，以下图所示；

 

 （2） 使用BurpSuite抓包而且登陆尝试，以下图所示；

（3） 经过返回结果获得用户名是admin，以下图所示；

 

（4） 使用BurpSuite抓包而且进行注入，以下图所示；

 

（5） 返回结果以下图所示：

 

（6） 使用脚本跑密码，以下图所示；

（7） 获得password密码为：nishishabi1438
（8） 使用账号密码登陆，以下图所示；

 

（9） 输入flag获取flag，以下图所示；