Ricky's Blog


ctfshow web入门1000题 信息收集和爆破部分
2021-02-21

ctfshow 1000题挑战

信息收集

web1

查看源代码

web2

F12打不开, 抓包查看源代码

web3

藏在了header里面, 有个Flag: ctfshow{b12a3799-8ae8-40be-833f-beeecf1c9e6c}

web4

robots.txt >> /flagishere.txt

web5

phps源码泄露 >> /index.phps

web6

压缩包泄露 >> /www.zip >> 得知flag在/fl00g.txt

web7

git leak >> /.git/

web8

svn leak >> /.svn/

web9

vim备份文件泄露>> /index.php.swp

web10

cookie>>隐私

web11

域名隐藏txt>> ctfshow.com

20210210151804852

web12

admin/372619038 密码就在页面最底下的电话号码>>/admin/登录

web13

20210210152237362

默认后台地址:http://your-domain/system1103/login.php

默认用户名:admin

默认密码:admin1103

/system1103/login.php 登录

web14

/editor/ >> 插入文件 >> 文件空间 >> 泄露目录文件路径 >> /var/www/html/nothinghere/fl000g.txt

web15

邮箱泄露+密码问题逻辑简单

页面底部qq泄露 1156631961@qq.com 得知是西安的qq

/admin/ >> admin/admin7789

web16

雅黑探针 >> /tz.php >> PHPINFO查看信息

web17

ip查询 ctfer.com >> 子域名查询 >> flag.ctfer.com 解析 111.231.70.44

web18

js源码泄露, F12查看Flappy_js.js

if(score>100)
{
var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");
}
# 你赢了,去幺幺零点皮爱吃皮看看

/110.php

web19

F12发现密钥

    error_reporting(0);
    $flag="fakeflag"
    $u = $_POST['username'];
    $p = $_POST['pazzword'];
    if(isset($u) && isset($p)){
        if($u==='admin' && $p ==='a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04'){
            echo $flag;
        }
}

web20

mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了

/db/db.mdb 下载文件查找flag(通过txt查找flag或者mdb里面翻翻)

爆破

web21

tomcat base64基础认证

Authorization: Basic YWRtaW46YWRtaW4=

爆破成功

YWRtaW46c2hhcms2Mw== admin:shark63

结果截图

20210210155118778

web22

爆破子域名 ctfer.com

http://flag.ctfer.com/index.php 访问即可

flag{ctf_show_web}

web23

源码

<?php
include('flag.php');
if(isset($_GET['token'])){
    $token = md5($_GET['token']);
    if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
        if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
            echo $flag;
        }
    }
}else{
    highlight_file(__FILE__);
}
?> 

爆破token, 根据已知条件编写脚本

import hashlib

dic = '0123456789abcdefghijklmnopqrstuvwxyz'
key = ''

for i in dic:
    for j in dic:
        key = i+j
        token = hashlib.md5(key.encode('UTF-8')).hexdigest()
        if token[1:2]==token[14:15] and token[14:15]==token[17:18] and token[31:32]=='3':
            print('[+]token: '+key)
            break
# [+]token: 3j            

web24

源码

<?php
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(372619038);
    if(intval($r)===intval(mt_rand())){
        echo $flag;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
} 

伪随机数, 本题版本php7

<?php
mt_srand(372619038);
echo mt_rand();
// php7 1155388967
// php5 999695185

web25

源码

<?php
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(hexdec(substr(md5($flag), 0,8)));
    $rand = intval($r)-intval(mt_rand());
    if((!$rand)){
        if($_COOKIE['token']==(mt_rand()+mt_rand())){
            echo $flag;
        }
    }else{
        echo $rand;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
} 

让/?r=0得到随机数

PS: 每次不一样, 得到了以后爆破一下种子

下载 php_mt_seed4.0 我们在linux下面使用 gcc进行编译 gcc php_mt_seed.c -o php_mt_seed 之后运行脚本添加随机数 ./php_mt_seed 634881476

20210210172939134

然后尝试

<?php
mt_srand(1602339000);
$num = mt_rand();
if($num == 634881476) {
    echo(mt_rand() + mt_rand());
}
# 1325931547

成功截图

20210210173034174

web26

连接数据库, 爆破密码, 真的特别慢, 开满线程的速度也要好久

20210210174634070

web27

下载学籍名单, 得到一下的信息, 爆破生日, 选择Dates爆破

也可以直接去找https://tools.aizhan.com/rb/idcard.ifanyi.com.cn/

序号 姓名 专业 身份证号码 备注
1 高先伊 WEB 621022********5237
2 嵇开梦 MISC 360730********7653 党员
3 郎康焕 RE 522601********8092
4 元羿谆 PWN 451023********3419 生源地贷款
5 祁落兴 CRYPTO 410927********5570

高先伊 621022199002015237 查询以后会得到反馈信息 学号02015237密码为身份证号码

web28

爆破目录

20210210180239084

Leave your footprints

  • [*] Admin need to check, please send and wait :) Send
  • Looking forward to your comment :)
  • CTF, AWD, Knowledge Writed By Ricky   粤ICP备2021008996号 Powered by WP && Designed by Rytia && Modified by Ricky
    返回顶部