前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >护网杯部分writeup

护网杯部分writeup

作者头像
用户5878089
发布2019-07-25 16:19:50
1.2K0
发布2019-07-25 16:19:50
举报
文章被收录于专栏:网络攻防实战知识交流

签到

拿到

AAoHAR1WX1VQVlNVU1VRUl5XXyMjI1FWJ1IjUCQnXlZWXyckXhs=

提示是异或,没想到的是和多少异或,所以签到也卡了半天,写脚本测试:

每一位和0~105异或的时候可以得到flag:

flag{09360535374819EEE70A4E6BA8009AB8}

Web

一、EASY_TORNADO

在hint.txt得到了signature的算法为

md5(cookie_secret + md5(filename))

有在flag.txt里得到了flag文件为/fllllllllllag,那思路很明确就是算出signature,然后读取/fllllllllllag文件里的内容就可以,其中cookie_secret是未知的,通过/error?msg={{globals}} 可以发现msg参数存在ssti

接下来就是爬坑的半天,下意识以为

cookie_secret是在cookie里,打了半天的

cookie,都不知道该调用什么函数来做了…… 然后在handle.setting中发现了cookie_secret

拿到cookie_secret就简单了,写一个计算

signature的php代码:

计算得出signature,直接访问payload:

/file?filename=/fllllllllllag&signature=240eaef73c2f70d5e30051d91417a18c

二、ITSHOP

这题懵了好久,半天没有思路的。首先发现可以条件竞争因为要5包大辣条才可以换1包辣条之王,而只给了买4包的钱,那么要么通过伪造数据,要么就是条件竞争用5元买多包辣条了......这个逻辑没毛病,各种伪造测试不通,就尝试条件竞争,用brupsuit多线程跑,把线程设置大一些

用brupsuit多开几个爆破就可以买到超过4包数量的大辣条

第二点是整数溢出,毕竟想要条件竞争得到9999999*5包大辣条不太可能,所以要么伪造数据,要么就是整数溢出,各种尝试伪数据出不成功,所以就尝试整数溢出,数字最大为

0XFFFFFFFFFFFFFFFF,所以0XFFFFFFFFFFFFFFFF + 1 就可以溢出,又5包大辣条换一包辣条之王,所以可以换的辣条之王的最大值应该是0XFFFFFFFFFFFFFFFF/5 所以批量换的数量为0XFFFFFFFFFFFFFFFF/5 + 1 转化为整数为3689348814741910324

成功溢出换的*********(用不完的)数量,直接兑换Flag:

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-10-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 无级安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档