ahuCTFwp

我们学校的CTF平台终于搭起来了，膜一波包子大佬~~

目前题目还不是很多，大部分是web，写个write up，希望对大家有所帮助

1.XSS-50

这题是XSS，可以通过各种花式操作得到flag，不过....有个最简单的方法: 右键查看元素，点击网络，查看cookie，emmmmmm出来了...这题就是这么神奇

2. XSS-100

其实吧，这题和上面一题差不多，查看cookie，出来了，不过这不是常规解法，可以看下源代码，然后根据那段php构造payload就行了

3. SQLi-50

这一题不会写，难受，先放这

更新：这一题，历经磨难，终于做出来了，请恕我有空再写，可以参考博客：http://blog.sina.com.cn/s/blog_5c92dd1f0102vjfg.html

4.SQLi-100

这一题用万能密码就行

username= 1’=’0

password= 1’=’0

或者

username:admin’=’

password:admin’=’

其实这题和实验吧有一题是一样的，p神写的很详细了，copy过来（侵删）

假设sql语句如下

select * from user where username='用户名' and password='密码'

当提交username=pcat'='&password=pcat'='

语句会变成如下：

select * from user where username='pcat'='' and password='pcat'=''

这时候还不够清晰，我提取前一段判断出来（后面的同样道理）

username='pcat'=''

这是有2个等号，然后计算顺序从左到右，

先计算username='pcat' 一般数据库里不可能有我这个小名（若有，你就换一个字符串），所以这里返回值为0（相当于false）

然后0='' 这个结果呢？看到这里估计你也懂了，就是返回1（相当于true）

所以这样的注入相当于

select * from user where 1 and 1

也等于 select * from user

（这题只有筛选出来的结果有3个以上才会显示flag，没有就一直说“对不起，没有此用户！！”）

好了，继续唠叨几句，上面那个比较是弱类型的比较，

以下情况都会为true

1='1'

1='1.0'

1='1后接字母(再后面有数字也可以)'

0='除了非0数字开头的字符串'

（总体上只要前面达成0的话，要使语句为true很简单，所以这题的万能密码只要按照我上面的法子去写一大把）

5.WEB-150

这一题嘛，上来先常规操作，看看源代码，发现没什么luan用，那就继续常规操作，看看消息头啥的，这时候发现有点不太对

有个Don!t-Decrypt,这个可不是常规消息头里面会出现的，而且后面那段明显是base64，那拿去揭秘喽，结果是20170521，然后拿去提交，显示错误。什么鬼！？再回头看看，这个Don!t-Decrypt的意思好像是不要解密，那就直接提交试试，返回一段有趣的东西

URL？就是个网址呗，那把_改成.进去看看

进去就显示flag，舒服

6.WEB-200

这题看起来也很眼熟，和实验吧有道题很像啊，我这么菜，当然是借（chao）鉴（xi）下dalao们的wp发到这来啦

点开链接之后，任意输入什么，都会弹框出来

你邮箱收到的重置密码链接为 ./step2.php?email=youmail@mail.com&check=???????

于是我们访问以下看一看http://old-ctf.ahusec.cn/web/findpass/step2.php?email=youmail@mail.com&check=???????

出现了step2的界面，但是马上又回到了原来的界面。可以抓包来看一下

email:

token:

在包中发现了submit.php，查看一下看看

但是不能访问，不是admin

但是我们可以知道这是vim，会有临时文件，应该没有禁用

一、vim备份文件

默认情况下使用Vim编程，在修改文件后系统会自动生成一个带~的备份文件，某些情况下可以对其下载进行查看；

    eg:index.php普遍意义上的首页，输入域名不一定会显示。   它的备份文件则为index.php~

二、vim临时文件

vim中的swp即swap文件，在编辑文件时产生，它是隐藏文件，如果原文件名是submit，则它的临时文件

 .submit.swp。如果文件正常退出，则此文件自动删除。

所以我们查看临时文件

访问http://old-ctf.ahusec.cn/web/findpass/.submit.php.swp

里面有很多乱码，但还是有两段可读的代码

CREATE TABLE IF NOT EXISTS `user` (

  `id` int(11) NOT NULL AUTO_INCREMENT,

  `username` varchar(255) NOT NULL,

  `email` varchar(255) NOT NULL,

  `token` int(255) NOT NULL DEFAULT '0',

  PRIMARY KEY (`id`)

) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ;

if(!empty($token)&&!empty($emailAddress)){

if(strlen($token)!=10) die('fail');

if($token!='0') die('fail');

$sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";

$r = mysql_query($sql) or die('db error');

$r = mysql_fetch_assoc($r);

$r = $r['num'];

if($r>0){

echo $flag;

}else{

echo "澶辫触浜嗗憖";

}

}

从代码里可以知道，

token初始化为0，但if语句中要让他长度为10，可以置为0000000000

在网页的源代码里面我们可以从刚才的源代码中知道admin的邮箱

所以

http://old-ctf.ahusec.cn/web/findpass/submit.php?emailAddress=admin@ahusec.com&token=0000000000

7.'!'操作

这道题是密码学，下载下来是张二维码不过扫不出来，根据题目'!'的提示，反色之后就能扫了，扫出的结果是rot13啥啥的，那就是rot13加密呗，拿去解密一下，get，恕我懒得截图了

8.RSA

不会RSA加密，没学过现代密码学，听大佬说这题就是纯套公式，去自学一下公式，然后编程解决就行了，不过我这么懒，自学密码学是不可能的，这辈子不可能去自学密码学的，Web又不会做，只能靠sqlmap扫扫人家数据库，才能混混比赛这样子

9.复杂计算

这题就是编程题，先找规律，25以后的后五位都是0，那就算1到24的阶乘之后咯，写段代码算就行了，不会写的百度上一大堆。这题告诉我们，CTF里面也可能出现纯编程题，包子学长说的好，学习信息安全，编程的基础能力也很重要。虽然我个人认为，不以攻防为目的的敲代码都是耍流氓，一点都不酷。哈哈哈，个人拙见。

10.隐写-header

这题杂项是考隐写术，下载下来是个压缩包，解压出个misc格式的文件，misc这种格式肯定是不存在的，那它到底是什么文件呢，根据题目的提示，header，那就先转换成txt看看头是啥，然后就发现

看到个NG,那不就是PNG格式呗，作为图片打开，get flag！

11.隐写 - 种~

下载压缩包，解压解压再解压，最后是个jpg文件，拿stegsolve查看也没啥问题，改成txt也没看出隐藏了什么东西，然后就注意到了这个文件的名字，exif，我们去百度一下

信息？？？懒得去下专门的软件去查看了，看看文件属性里面的详细信息那一栏

优秀！

12.抓黑客

这一题很多人把它想复杂了，其实就是把黑客的ip填进去就行

先用wireshark打开数据包

‘

第一次碰见这么短的数据包，舒服得一批

发现黑客就是进行了一个ping操作，过滤一下

发起ping的不就是黑客嘛，提交下ip地址，搞定

这一题还是很简单的，不过对数据包进行分析最好去系统学一下wireshark的使用，还是很有用的

题目不多，还是有两题不会写，RSA那题就算了，还有题sql注入的不会写，巨TM难受，再研究一下，写出来再更新。

第一次写WP，有不对的地方请大家指正，谢谢~