比较数字大小

F12 修改maxlength为4

ISCC2018 writeup(web)-ChaBug安全

web01

ISCC2018 writeup(web)-ChaBug安全

strcmp()函数遇到数组会返回NULL 而PHP是弱类型语言  在==比较的时候,如果有数值的话会先将字符串转换为数值在进行比较,而NULL转换成数值为0,所以绕过题目限制。

payload:  get: /?password[]=1

ISCC2018 writeup(web)-ChaBug安全

本地的诱惑

右键查看源代码即可。

你能跨过去吗?

ISCC2018 writeup(web)-ChaBug安全

 复制callback参数内容 base64解码得到<script>alert("key:/%nsfocusXSStest%/")</script>  复制key的内容 提交得到flag;

ISCC2018 writeup(web)-ChaBug安全

一切都是套路

访问/index.php.txt得到源代码:

ISCC2018 writeup(web)-ChaBug安全

变量覆盖漏洞($$):

get: ?_200=flag

post: flag=x

ISCC2018 writeup(web)-ChaBug安全

你能绕过吗

ISCC2018 writeup(web)-ChaBug安全

更改f参数的内容发现会报错,猜测是文件包含漏洞

ISCC2018 writeup(web)-ChaBug安全

用php伪协议来读取flag.经过测试发现题目过滤了php 所以用PHP://filter/convert.base64-encode/resource=index,解码读到flag。

ISCC2018 writeup(web)-ChaBug安全

 web02

ISCC2018 writeup(web)-ChaBug安全

 burp截断 利用client-ip: 127.0.0.1修改客户端ip以欺骗服务器 得到flag。

ISCC2018 writeup(web)-ChaBug安全

请ping我的ip 看你能Ping通吗?

 根据题目要求 ping 猜测是命令注入漏洞,过滤了; & |等特殊符号  利用%0a(换行)进行绕过

用  ls / 命令查看目录

ISCC2018 writeup(web)-ChaBug安全

最后在 /home目录下发现flag   payload: /?ip=127.0.0.1%0a cat /home/flag得到flag

ISCC2018 writeup(web)-ChaBug安全

Please give me username and password!

/index.php.txt 页面泄漏源代码,利用php弱类型进行绕过;

?username[]=0&password=1e9

ISCC2018 writeup(web)-ChaBug安全

SQL注入的艺术

 ISCC2018 writeup(web)-ChaBug安全

点击个人信息页面,宽字节注入,可以盲注也可以联合查询注入。 当时写了个脚本盲注

 

 ISCC2018 writeup(web)-ChaBug安全

试试看

/show.php?img=1.jpg  复制图片地址  文件包含漏洞。

由于不包含.jpg文件提示File not found! resource可以包含两个文件 所以绕过

payload:  php://filter/convert.base64-encode/resource=../flag.php|1.jpg 查看源代码得到flag。

ISCC2018 writeup(web)-ChaBug安全

Collide

ISCC2018 writeup(web)-ChaBug安全

 直接给出源代码,由于key的值不知道 但是我们知道key的 长度为46,利用hash长度扩展攻击

编码后的username:  guest%80%00%00%00%00%98%01%00%00%00%00%00%00admin

 用hashdump求出md5值 5f585093a7fe86971766c3d25c43d0eb

 ISCC2018 writeup(web)-ChaBug安全

Only admin can see flag

cbc字节翻转攻击

/index.txt看到源代码 搜了一下 发现cbc字节翻转攻击 附带脚本。

 

先用admiN 123456登录

ISCC2018 writeup(web)-ChaBug安全

在地址栏处回车(不要刷新,否则cipher 和iv会刷新)并用burp抓包。

 ISCC2018 writeup(web)-ChaBug安全

将iv 和 cipher放入脚本中 得到新的 cipher 修改cookie中的 cipher 得到报错信息中的 cipher。

ISCC2018 writeup(web)-ChaBug安全

ISCC2018 writeup(web)-ChaBug安全

ISCC2018 writeup(web)-ChaBug安全

 复制报错信息中的cipher到脚本中 运行得到新的iv  修改iv为新的iv 且cipher为第一次脚本运行得到的cipher。得到flag;

ISCC2018 writeup(web)-ChaBug安全

 为什么这么简单啊

ISCC2018 writeup(web)-ChaBug安全

根据提示利用 xff ip地址伪造和referer 即可进入第二关。

ISCC2018 writeup(web)-ChaBug安全

ISCC2018 writeup(web)-ChaBug安全

 右键查看源码,发现可疑js文件,浏览找到密码 base64解码 提交得到flag。

 ISCC2018 writeup(web)-ChaBug安全

ISCC2018 writeup(web)-ChaBug安全

php是世界上最好的语言

ISCC2018 writeup(web)-ChaBug安全

用户名随便输 ,密码用php弱类型进行绕过 :QNKCDZO(可以看我之前写过的php知识点总结)

 点击得到ISCC2018 writeup(web)-ChaBug安全

ISCC2018 writeup(web)-ChaBug安全

利用全局变量打印出$flag变量即可。

ISCC2018 writeup(web)-ChaBug安全

Sqli

题目说的很明确 就是注入了。经过测试发现是盲注 于是写了个脚本跑出密码登录。

ISCC2018 writeup(web)-ChaBug安全

ISCC2018 writeup(web)-ChaBug安全

解密: u4g009

ISCC2018 writeup(web)-ChaBug安全

提示在另一个字段,(真他妈坑啊),这里直接联合查询注入就可以了。

ISCC2018 writeup(web)-ChaBug安全

顺便附上我写的垃圾盲注脚本

 

有种你来绕

 ISCC2018 writeup(web)-ChaBug安全

根据提示,是mysql的数据库,利用mysql的特性--隐式类型转换,进行盲注得到密码。

ISCC2018 writeup(web)-ChaBug安全

写了个脚本跑出密码登录。

ISCC2018 writeup(web)-ChaBug安全

 

 解密: nishishabi1438  (我他妈想打死傻逼出题人)

ISCC2018 writeup(web)-ChaBug安全

输入flag,执行即可。

ISCC2018 writeup(web)-ChaBug安全

web400 Only Admin 是cookie注入,但是自己没怎么看,等其他师傅分享wp再学习一波吧。