guess next session源码:

<?php

session_start();

if (isset ($_GET['password'])) {

    if ($_GET['password'] == $_SESSION['password'])

        die ('Flag: '.$flag);

    else

        print '<p>Wrong guess.</p>';

}

mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));

?>

要求password=session时,输出flag,所以设置session值为0,提交password为0时可以成功

bp抓包出了问题,

右键删除PHPSESSID,空白密码提交,就出来了:

 FALSE:

<?php

if (isset($_GET['name']) and isset($_GET['password'])) {

    if ($_GET['name'] == $_GET['password'])

        echo '<p>Your password can not be your name!</p>';

    else if (sha1($_GET['name']) === sha1($_GET['password']))

      die('Flag: '.$flag);

    else

        echo '<p>Invalid password.</p>';

}

else{

    echo '<p>Login first!</p>';

?>

name!=password,但sha1后name=password时,可以成功

补充:sha1漏洞

md5 和 sha1 无法处理数组,返回 NULL

if (@sha1([]) ==  false)

    echo 1;

if (@md5([]) ==  false)

    echo 2;

echo var_dump(@sha1([]));

md5和sha1无法处理数组,所以可以设置为数组,得sha1值都为Null,于是构造:

http://ctf5.shiyanbar.com/web/false.php?name[]=1&password[]=2

注意,name!=password,取值要不同

 NSCTF web200

打开图片就是把给出的字符串逆着解码 ,于是逆着原来的编码进行解码:

 <?php

    function decode($str)

    {

        $_='';

        $a=base64_decode(strrev(str_rot13($str)));

        for($i=0;$i<strlen($a);$i++)

        {

            $_c=substr($a,$i,1);

            $__=ord($_c)-1;

            $_c=chr($__);

            $_=$_.$_c;

        }

        return strrev($_);

    }

    print decode("a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws");//解码得flag

?>

得到flag:

 程序逻辑问题:

看一下源码:

<html>

<head>

welcome to simplexue

</head>

<body>

<?php

if($_POST[user] && $_POST[pass]) {

    $conn = mysql_connect("********, "*****", "********");

    mysql_select_db("phpformysql") or die("Could not select database");

    if ($conn->connect_error) {

        die("Connection failed: " . mysql_error($conn));

}

$user = $_POST[user];//输入的用户名

$pass = md5($_POST[pass]);//输入密码的md5密文

$sql = "select pw from php where user='$user'";//从php表中检索用户登陆时输入的用户名的密码(pw列)

$query = mysql_query($sql);//执行sql变量的SQL语句

if (!$query) {

    printf("Error: %s\n", mysql_error($conn));

    exit();

}

$row = mysql_fetch_array($query, MYSQL_ASSOC);//声明row变量是把sql变量的SQL语句执行后返回的结果转换为数组

//echo $row["pw"];

  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {

    echo "<p>Logged in! Key:************** </p>";//如果row变量中pw的内容和用户登陆时输入的密码的MD5密码相同,则输出“Logged in!”并输出key

}

else {

    echo("<p>Log in failure!</p>");

  }

}

?>

<form method=post action=index.php>

<input type=text name=user value="Username">

<input type=password name=pass value="Password">

<input type=submit>

</form>

</body>

<a href="index.txt">

</html>

通过上述对代码的分析,因此,我们只需要让输入的密码的MD5密文和数据库检索出来的密码匹配就可以绕过验证,得到key

于是注入:

xxx' and 0=1 union select "C4CA4238A0B923820DCC509A6F75849B" # 密码输入1

输出flag:

【实验吧】guess next session&&FALSE&&NSCTF web200&&程序逻辑问题的更多相关文章

  1. 【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate('oauth-bearer', {session: false})

    问题描述 在前两篇博文中,对NodeJS Express应用 使用MSAL + AAD实现用户登录并获取用户信息,获取Authorization信息 ( ID Token, Access Token) ...

  2. 实验十五 GUI编程练习与应用程序部署

    实验十五  GUI编程练习与应用程序部署 实验时间 2018-12-6 一:理论部分 1.Java 程序的打包:编译完成后,程序员将.class 文件压缩打包为 .jar 文件后,GUI 界面序就可以 ...

  3. ???Struts2框架03 session的使用、登录逻辑【session工作原理】

    1 登录逻辑 1.1 获取登录数据(例如:用户名.密码) 1.2 在控制层调用业务层来验证数据信息 1.3 登录成功:保存用户信息(服务器用session.浏览器用cookie),跳转到主页面 1.4 ...

  4. 理解session及微信小程序使用session

    session介绍 由于Http是无状态的协议,所以服务端需要记录用户的状态时,就需要某种机制来识别具体的用户,实现这个机制的方式就是session. 典型的场景比如购物车,当你点击下单按钮时,由于H ...

  5. 实验吧——NSCTF web200

    题目地址:http://ctf5.shiyanbar.com/web/web200.jpg 打开就是个自定义加密函数,只要写出相应的解密算法就行 <?php function encode($s ...

  6. 实验吧_Guess Next Session&Once More(代码审计)

    Guess Next Session 看题目提示,是一道代码审计: <?php session_start(); if (isset ($_GET['password'])) { if ($_G ...

  7. NSCTF web200

    Topic Link http://ctf5.shiyanbar.com/web/web200.jpg 1) 分析代码可知a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQ ...

  8. 实验吧-web-Guess Next Session(session简介)

    看代码: <?php session_start(); if (isset ($_GET['password'])) { if ($_GET['password'] == $_SESSION[' ...

  9. 实验吧—Web——WP之 FALSE

    打开链接,点击源码按钮,我们开始分析源码: 在这源码中我们能看出 如果名字等于密码就输出:你的名字不能等于密码 如果名字的哈希值等于密码的哈希值,那么就会输出flag 这就意味着我们要上传两个值,值不 ...

随机推荐

  1. 执行脚本 提示 command not found

    问题现象: 初学shell,写了个脚本, 1.从windows 写好 脚本,然后部署到 linux 上. 2.chmod +x之后执行提示command not found,系统环境redhat9,用 ...

  2. aix 推荐使用重启

    重启os AIX 主机 推荐 shutdown –Fr 在客户一次停机维护中,发现了这个问题. 环境是ORACLE 10G RAC for AIX6,使用了HACMP管理共享磁盘. 在停机维护时间段内 ...

  3. 项目用Git上传到coding

    关于这样的东西,网上很多教程,这里就结合自己看的还有自己的例子来说明一下吧: 1.你得下载一个git软件并成功安装 2.生成ssh: 关于这个,我觉得似乎不是一定的,因为通过https也可以连接到co ...

  4. nodejs 学习(1) http与fs

    var http=require("http"), fs=require('fs'); var server=http.createServer(function(req,res) ...

  5. performSelector withObject afterDelay 在子线程上调用不运行

    如题,这是最近在修改一个数据同步模块时发现的问题.整个数据同步的任务是在App启动后放在一个后台执行的线程中的,执行某个单条数据同步任务成功后,会使用 [self performSelector:(n ...

  6. PHP知识点总结2

    PHP5数据类型 String(字符串), Integer(整型), Float(浮点型), Boolean(布尔型), Array(数组), Object(对象), NULL(空值). 字符串 你可 ...

  7. Java开发中存在这样的代码,反而影响整体整洁和可读性

    不完美的库类 不完美的库类(Incomplete Library Class) 当一个类库已经不能满足实际需要时,你就不得不改变这个库(如果这个库是只读的,那就没辙了). 问题原因 许多编程技术都建立 ...

  8. IP Addresses of Google Global Cache

    Bulgaria 93.123.23.1 93.123.23.2 93.123.23.3 93.123.23.4 93.123.23.5 93.123.23.6 93.123.23.7 93.123. ...

  9. 用java代码写一个简单的网上购物车程序

    需求:1.写一个商品类,有商品编号.商品名称.商品分类.商品单价属性.2.写一个商品条目信息类,有商品和数量两个属性,有商品总价格方法. 3.写一个购物车类,有添加商品方法.查看订单信息,删除商品,修 ...

  10. 再谈Android AsyncTask的优缺点

    导语:之前做习惯了Framework层的开发,今天在武汉斗鱼公司面试APP客户端的开发,其中一道题是讲述Asynctask的优缺点,我靠,我只是知道有这么一个东西,会用而已,看来之前的生活太过于安逸, ...