CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯

合集 - CTF之web专题(37)

1.CTFer成长记录——web专题·本地访问网址2023-06-262.CTFer成长记录——web专题·一句话木马2023-06-273.CTFer成长记录——Web专题·从cookie中获取信息2023-06-274.CTFer成长记录——Web专题·双写绕过2023-06-275.CTFer成长记录——Web专题·robots协议2023-06-286.CTFer成长记录——Web专题·Linux中的.swp文件2023-06-297.CTFer成长记录——Web专题·修改页面元素2023-06-298.CTFer成长记录——Web专题·判断绕过2023-07-099.CTFer成长记录——CTF之Web专题·初识反序列化2023-07-1410.CTFer成长记录——CTF之Web专题·攻防世界-PHP22023-07-2011. CTFer成长记录——CTF之Web专题·bugku-Simple_SSTI_22023-07-2412.CTFer成长记录——CTF之Web专题·bugku-eval2023-07-2413.CTFer成长记录——CTF之Web专题·bugku-变量12023-07-2714.CTFer成长记录——CTF之Web专题·[ACTF2020 新生赛]Include2023-07-27

15. CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯2023-07-28

16.CTFer成长记录——CTF之Web专题·攻防世界—easyupload2023-07-2917.CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀2023-07-2918.CTFer成长记录——CTF之Web专题·攻防世界—easyphp2023-07-2919. CTFer成长记录——CTF之Web专题·buuctf—secretfile2023-07-2920.CTFer成长记录——CTF之Web专题·19强网杯—随便注2023-07-3021.CTFer成长记录——CTF之Web专题·攻防世界—file_include2023-07-3122.CTFer成长记录——CTF之Web专题·攻防世界—unseping2023-07-3123.CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter2023-07-3124.CTFer成长记录——CTF之Web专题·极客大挑战 2019—http2023-08-0225.CTFer成长记录——CTF之Web专题·极客大挑战—Upload2023-08-0226.CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL2023-08-0327.CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection2023-08-0428.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize2023-08-0729.CTFer成长记录——CTF之Web专题·攻防世界-php_rce2023-08-0730.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_include2023-08-0731. CTFer成长记录——CTF之Web专题·buuctf-easy_tornado2023-08-0832.CTFer成长记录——CTF之Web专题·攻防世界—lottery2023-08-1033. CTFer成长记录——CTF之Web专题·攻防世界—ics-052023-08-1034.CTFer成长记录——CTF之Web专题·buuctf—admin2023-08-1035.CTFer成长记录——CTF之Web专题·buuctf—Cookies2023-08-1836. CTFer成长记录——CTF之Web专题·bugku—never_give_up2023-08-1837.CTFer成长记录——CTF之Web专题·[SWPUCTF 2021 新生赛]jicao2023-09-30

收起

一、题目链接

https://ctf.bugku.com/challenges/detail/id/83.html?id=83

二、解法步骤

  打开网站，发现是一串字符串：

  

  解码：[空密码]/[Empty String]，无结果。题目提示“备份是个好习惯”，那么尝试访问index.php.bak和index.php.swp，这两个文件，看看存不存在。

于是在index.php.bak中获取到了一段代码文件：

de_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";

  通过代码审计：

1. $str = strstr($_SERVER['REQUEST_URI'], '?'); 获取当前页面 URL 中 ? 后面的部分。
2. $str = substr($str,1); 去掉 $str 第一个字符（即去掉 ?）。
3. $str = str_replace('key','',$str); 将字符串中的 key 替换为空字符串。
4. if(md5($key1) == md5($key2) && $key1 !== $key2) 判断 $key1 的 MD5 哈希值是否等于 $key2 的 MD5 哈希值，并且 $key1 不等于 $key2。
5. 如果条件满足，则输出 $flag."取得flag"

  因此，这题是一个双写绕过和md5弱比较绕过，于是我们构造如下payload：

  ?kkeyey1=s878926199a&kekeyy2=s155964671a，这段payload利用了md5的值也是字符串，只要能确保他们都是0e开头，那么通过弱比较后的值就都为0；

  flag{30dc9a980306fc42b9603c068a709545}取得flag。

  当然，也能利用数组MD5返回为NULL的特性也能解决，构造payload：?kkeyey1[]='aaa'&kekeyy2[]='bbb'也可以获得flag

三、总结

  本题考察源码泄露中的备份文件泄露，如果不知道备份文件的格式，可以用kali自带的disearch扫下网站；接着是比较常见的双写绕过与MD5弱比较绕过，比较简单。主要是要看懂代码。