这明显不可能登上的,所以直接看源代码 这里如果不懂得,php中处理哈希值的方式,是只要是0e开头的哈希值,都认为是0,通过输入一个这样的0e开头的字符串,会被php解释成0. 这个可以去在线工具上得到. 说明用户名任选一个登陆 成功了,之后出现了上面这样,手动输入url. 审计下代码,发现将输入的password反序列化了,同时因为bool类型的true可以和任意类型字符串弱类型相等.最后一句话也提示到了布尔,所以自己去实现了个序列化的函数 这个就是密码,输入之后,得到flag…

<?php error_reporting(); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '<form action="" method="post">'."<br/>"; echo '<input name="uname" type="text"/>'."<br/&g…

Forms 原题链接 http://ctf5.shiyanbar.com/10/main.php Form 其实是个提示,代表html表单 F12 查看源码,发现 <input name="showsource" value="0" type="hidden"> 只要把hidden删除,就可以看到又多出了一个,输入框,容易知道输入1提交以后得到源码. 提交-198277477361611283128371616617277737161…

密码忘记了 一开始尝试了各种注入发现都无效,在网页源码中找到了admin 的地址,输入地址栏发现并没有什么有用的信息,随便输个邮箱,网页返回了一个地址 ./step2.php?email=youmail@mail.com&check=???????,还是没注入,没了思路,看了大佬的wp后才想起来vim编辑器才是关键: 用vim编写的文件会留下.swp的临时文件,试了一下step1.php与step2.php都不存在临时文件,在源码中还看到一个submit.php,试了一下.submit.php.…

天网你敢来挑战嘛 格式:ctf{ } 解题链接: http://ctf5.shiyanbar.com/10/web1/ 打开链接后,嗯,光明正大的放出账号密码,肯定是登不进的,查看源代码 看来是和md5碰撞有关的了, PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0. 攻击者可以利用这一漏洞,通过输入一个经过哈希后以”0E”开头的字…

直接查看源码 <!--$test=$_GET['username']>这一行 源码的下面给了我们一些提示:我们输入的username经过md5加密后会赋值给test.当test为0时就会跳出新的东西,这时候我们就要构思,如何才能让test为0? 显然将0提前md5解密是不行的,而在php中==是只进行值的比较,不管二者的类型.当两个字符串进行==比较的时候,PHP会把类数值的字符串转换为数值进行比较,如果参数是字符串,则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值.比如: '3'…

题目地址:http://www.shiyanbar.com/ctf/28 没有壳 ,vc++ 写的 拖进OD观察观察,发现代码很短哟,先来看这俩个call 怀疑他们其中有正确的flag和我们输入的东西对比 强行爆破完寄存器里是没有正确的flag出现的,肯定是在某个函数里算出来的. 再进IDA里 main 空格,发现 关键函数就是sub_401060 双击进入查看sub_401060的伪C代码 分成三个部分: 第一,将我们输入的a1与v5的长度比较,将a1的每一项都进行异或. 第二,将v5的每一项…

初探题目 两个表单,我们用burp抓包试试 这时候我们发现Cookie值里有个很奇怪的值是source,这个单词有起源的意思,我们就可以猜测这个是判断权限的依据,让我们来修改其值为1,发送得到如下显示: 代码审计 发现爆出了源代码,让我们来审计一下 $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for secur…

题目链接:http://120.24.86.145:8002/chengjidan/ 平台地址:http://123.206.31.85/ 第一步:暴库 id=-1' union select 1,2,3,group_concat(schema_name) from information_schema.schemata# 第二步:爆表 id=-1' union select 1,2,3,table_name from information_schema.tables where table_…

0X01 0X01 Burp抓包找到hint 访问地址看源码 <?php $info = ""; $req = []; $flag="xxxxxxxxxx"; ini_set("display_error", false); error_reporting(); if(!isset($_POST['number'])){ header("hint:6c525af4059b4fe7d8c33a.txt"); die(&qu…