hackinglab CTF题 脚本关

————1、key又又找不到了————

我不知道我有没有get到脚本关的点，反正习惯进地址抓了个包，重放一下就出来了

————2、快速口算————

 我试了，一点进去就输内容点提交还是会显示时间要在2秒内。

这关很脚本，我估摸着要写一个python，然后我没写，我找了个别人写的。

import re #正则模块
import requests

s = requests.Session()  
url = 'http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/index.php'
r = s.get(url)
r.encoding = 'utf-8'   #修改编码
print(r.text)
num = re.findall(re.compile(r'<br/>s+(.*?)='), r.text)[0]  #正则表达式找到算术式

print ('result:

%s=%d
' % (num, eval(num)))  #输出算术式计算结果
r = s.post(url, data={'v': eval(num)})  #将结果提交  抓包可看出要用v提交
print (r.text)  #输出返回结果

看了下思路是下载url内容，然后从内容里正则匹配算术式，正则的写法根据源代码分析，然后计算找的的算术式，用post请求给v赋值，查看响应包结果。

直接跑python得到结果如下

 ————3、这个题目是空的————

 常识题，什么是空，NULL，要小写，所以是null

————4、怎么就是不弹出key呢？————

进去看了源代码，发现里面有函数

 复制下来做一个新的html，分析了一下发现第一个function没用，直接删了，得到如下

 浏览器访问，点击链接触发弹窗

 

 注意要前14个字符，同时由

 这行代码可知还得从chars之后开始算

————5、逗比验证码第一期————

 有没有都一样的话，那就是不失效，直接抓包爆破

 

 ————6、逗比验证码第二期————

 会失效的验证码，抓包看一下

 复用的话还真是，会显示验证码错

 在参数做手脚，到验证码vcode参数的时候发现没有数值就不检测了

 继续爆破

 ————7、逗比的验证码第三期（SESSION）————

 我好像没有get到这个题的点，用和第六题一样的方式爆破就出来了

————8、微笑一下就能过关了————

 进去以后发现可以看过关源代码

 进去一看是这样的内容

 <?php  
    header("Content-type: text/html; charset=utf-8");
    if (isset($_GET['view-source'])) { 
        show_source(__FILE__); 
        exit(); 
    } 

    include('flag.php'); 

    $smile = 1;  

   if (!isset ($_GET['^_^'])) $smile = 0;  
    if (preg_match ('/./', $_GET['^_^'])) $smile = 0;  
    if (preg_match ('/%/', $_GET['^_^'])) $smile = 0;  
    if (preg_match ('/[0-9]/', $_GET['^_^'])) $smile = 0;  
    if (preg_match ('/http/', $_GET['^_^']) ) $smile = 0;  
    if (preg_match ('/https/', $_GET['^_^']) ) $smile = 0;  
    if (preg_match ('/ftp/', $_GET['^_^'])) $smile = 0;  
    if (preg_match ('/telnet/', $_GET['^_^'])) $smile = 0;  
    if (preg_match ('/_/', $_SERVER['QUERY_STRING'])) $smile = 0; 
    if ($smile) { 
        if (@file_exists ($_GET['^_^'])) $smile = 0;  
    }  
    if ($smile) { 
        $smile = @file_get_contents ($_GET['^_^']);  
        if ($smile === "(●'◡'●)") die($flag);  
    }  
?>  
<!doctype html> 
<html lang="en"> 

<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<title>Show me your smile :)</title> 
<link rel="stylesheet" href="style.css"> 
</head> 

<body> 
<br><br><br><br><br><br><br> 
<div class="loginform cf"> 
    <form name="login" action="index.php" method="POST" accept-charset="utf-8"> 
        <ul> 
            <li> 
                <label for="SMILE">请使用微笑过关<a href="?view-source">源代码</a></label> 
                <input type="text" name="T_T" placeholder="where is your smile" required> 
            </li> 
            <li><input type="submit" value="Show"> </li> 
        </ul> 
    </form> 
</div> 
<div style="text-align:center;clear:both"> 
</div> 
</body> 

</html>  

主要是这部分

 分析一下大概是

1、不能交"^_^"

2、"^_^"类似一个参数，要像name=xxx一样要给"^_^"赋值

3、"^_^"的值不能有"."、"%"、0-9的数字、"https"、"http"、"ftp"、"telnet"

4、"^_^"这个参数不能含有"_"，即需要编码

5、file_get_contents($_GET['^_^'])等于(●'◡'●)

6、$_GET['^_^']文件不存在

所以^_^的内容只能是字符串(●'◡'●)，不能是某个含有(●'◡'●)的文件的文件名

以此传给file_get_contents函数比较符合是data://

所以编码再加上类型加上内容

构造payload得到?%5e%5f%5e=data:,(●'◡'●)

在URL后添加访问得到

 ————9、逗比的手机验证码————

 进入以后正常拿验证码登录，会得到如下信息

 返回将账号修改为13388886667，会显示

重新用13388886667获取验证码，抓包，然后修改电话为13388886666，放包

本地会弹窗验证码

 登录获得key

 ————10、基情燃烧的岁月————

 首先就是正常获取验证码，结果显示

 然后爆破就行了

 会有一个新手机号，新手机继续爆破完事

 ————11、验证码识别————

 这个题如其名，就是爆破加验证码识别，可以用python写脚本，我库没弄好

改用验证码识别工具，我用的是burp的插件，调用了云平台的识别api识别验证码

首先复制验证码图片地址，访问，抓包

 然后把这个包发到插件

 就可以获取验证码了

 然后配置云平台的api，我已经配好了

 配置好正则识别内容，就可以识别了，识别结果如下

然后就可以登陆界面爆破了，模式选择

 然后验证码参数选择插件

 开始爆破

 插件github地址为：https://github.com/c0ny1/captcha-killer

里面有下载和使用教程

————12、XSS基础关————

 进去发现是反射型的xss

 直接构造payload执行

<script>alert(1)</script>

 会提示弹这个内容

 重新构造payload

<script>alert(HackingLab)</script>

 提示成功，页面会显示key

 ————13、XSS基础2:简单绕过————

 绕过一开始试了各种大小写和编码，发现srcipt标签是不行了

随便试了一个别的payload

<img src=? onerror=alert(HackingLab) />

提示成功，显示key

 ————14、XSS基础3:检测与构造————

看到构造就知道肯定是返回数据，然后要闭合符号啥的

直接做了个测试，查询了wuyanzu

 看源码发现在这里

 于是直接引号闭合标签，后面构造弹窗

好家伙，直接过滤了

检测了一下发现<script>标签过滤了

用上一题的方法，发现img这个方式也过滤了

但是单纯的img src这些都不过滤，我怀疑是alert

于是乱输了一堆东西以后发现不检测

 

那是alert的问题，但是单纯alert()也不报问题，试了几下发现在alert的前面拼其他东西比如"="这种会报问题

然后我就试着和引号(因为要考虑闭合)一起拼，还是报问题，然后发现拼在alert后面不报问题

好到这里分析都没什么用,接下来

我就用了两个alert中间拼引号，这样一个alert来说引号是在后面的，对另一个来说引号是在前面的，那会是什么情况

好家伙，不报问题，也就是说源代码里value引号内给他一个alert就可以堵住检测机制的嘴了？

换个方式说，难不成它只检测一次，匹配到，在引号内就没事，不在就报问题，检测程序就结束了？

然后我用payload

alert'><'<img src=? onerror=alert(HackingLab) />

发现后面一串没写进去，就是尖括号闭合后后面写不进东西，那么索性直接在后面拼接一个事件

alert' onclick=alert(HackingLab)>

这个意思是鼠标点击框框以后会弹窗，点击后弹出

————15、Principle很重要的XSS————

 上一题分析了可能只检测一次，引号内没问题，引号外会出事，在这里就再用一下

alert' onclick=alert(HackingLab)>

然后检测出来了，额

接下来步骤特别关键

然后我不甘心就重新输了一遍，然后输错了，少了个空格

alert'onclick=alert(HackingLab)>

然后就成功了，牛逼

 但是用鼠标点击事件的话，点那个链接虽然是success，但是会跳到404

 所以我换了一个事件，鼠标经过就会触发

alert'onmouseover=alert(HackingLab)>

 最后分析一波原因，我觉得大概是，可能是，应该是，空格吧，因为我删了个空格就行了

检测程序应该不是检测一次而已了，应该是检测多次，第一次检测到引号内的alert没事，然后隔着空格找到了下一个字符串检测里面的alert

但是空格去掉，他就把这一整串当成一个字符串，emmmm

那就是说，它检测一行里面有许多子字符串的字符串是检测多次的，通过空格，分别检测每个子字符串

比如这样一串字符串

alert' haalertha haha

检测程序它会对alert',haalertha,haha分别检测。

但是对每个子字符串他就检测一次alert,检测到在引号内没毛病就停止了，不在引号内就报问题

 还是这一串字符串

alert' haalertha haha

检测alert'，引号闭合，在引号内的alert就没事，但是检测haalertha，检测到闭合后在引号外还有alert，所以会报问题

而对每个子字符串他就检测一次的意思是对于这种字符串alert'alert

检测到第一个alert在引号闭合内所以没事，然后对于这个子字符串的检测就停止了，对后面那个alert没有再管，因为已经在检测一次alert了。

————结束撒花————