H4rdy's blogs - SSCTF web writeup

web
1 信息获取

查看图片exif,得到

23696E636C7564652066696C653D22386630306232303465393830303939382E70687022

十六进制转ascii,得到

include file="8f00b204e9800998.php"

打开文件,查看cookie,解base64,得到key

2慧眼识珠

访问/index.php,修改cookie check=1 ,在跳转页面得到key

3 数据&暗语

修改referer http://www.seclover.com

得到{8430539047073256837093526630968}

根据提示,手机键盘密码,每个数字对应数字按键上的3个字母,0表示空格

解密得 the key is seclover welcome you

4 代理和搜索

访问robots.txt

然后访问/S$cL0ver/

用x-forwarded-for修改ip为www.seclover.com网站ip198.58.120.117,刷新页面

得到key

5编程&脚本

写脚本

#!/usr/bin/env python
import requests
import string
import hashlib
cookies={'Hm_lpvt_d2084f96b27000a527e605d821116de4':'1414822724',
'Hm_lvt_d2084f96b27000a527e605d821116de4':'1414493181,1414734461,1414805440','PHPSESSID':'cine99srjvcn6gat7sskgc0m45'}
headers={
    "Host": "ctf.sobug.com",
    "User-Agent": "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:33.0) Gecko/20100101 Firefox/33.0",
             "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
    }
url = "http://ctf.sobug.com/hack_game/f8495eeedb8e92ee/index.php#"
r = requests.get(url,cookies=cookies,headers=headers)
header = r.headers
pwd =  header['password']
print pwd
m=hashlib.md5()
m.update(pwd)
psw = m.hexdigest()
print psw
r = requests.post(url,data={'password':psw,'Submit':'%E7%A1%AE%E5%AE%9A'},cookies=cookies)
print r.content

6 windows密码机制

下载得到两张图片

用stegdetect处理,发现利用outguess加密算法,提示是windows弱口令,

查看key文件,得到windows的哈希

ed6c3eb3f56395a1f76ccb47241e3d88:0816f03b51a8ea50bcc7707896c93518

you can guess.what's this?

http://www.objectif-securite.ch/ophcrack.php 可破解

7 获取后台密码

在忘记密码处,爆破验证码,验证码正确,能得到一个密码,登陆得到key

8 U盘病毒

得到img文件,解压得到.exe文件,将.exe修改为.rar,解压得到1.exe,双击1.exe得到隐藏文件,文件内容的16位md5值为key

9 电报解码

修改需要改http head 语言为英文,就能得到莫斯密码

解密即可

10 SQL

用%00绕过

an%00d 1=2 Uni%00on se%00lect 1,flag,3  from HELLOCTF#

11 upload

将php文件后缀改为.jpg,上传时burp修改.jpg为.PHp,即可.大小写绕过.

tagged by none  

Post a new comment

© H4rdy's blog