2. 程式人生 > 實用技巧 >CTF:lottery(程式碼審計|==比較繞過)

CTF:lottery(程式碼審計|==比較繞過)

阿新 發佈:2020-10-23

進入頁面,發現按鈕點了沒有反應,切換頁面都提示要先註冊

發現註冊不了,這時候查找了robots.txt檔案,發現了.git資料夾

這是.git洩露了,使用GitHack把檔案下載下來

經過檢視發現這裡面需要用到config.php檔案和api.php檔案

審計api.php程式碼:

<?php
require_once('config.php');
header('Content-Type: application/json');

function response($resp){
    die(json_encode($resp));
}

function response_error($msg
 
){
    $result = ['status'=>'error'];
    $result['msg'] = $msg;
    response($result);
}

function require_keys($req, $keys){ //$data,['action']
    foreach ($keys as $key) {
        if(!array_key_exists($key, $req)){ // 'action' ,
            response_error('invalid request');
        }
    }
}

function
 
 require_registered(){//判斷是否註冊
    if(!isset($_SESSION['name']) || !isset($_SESSION['money'])){
        response_error('register first');
    }
}

function require_min_money($min_money){
    if(!isset($_SESSION['money'])){
        response_error('register first');
    }
    $money = $_SESSION['money'];
    
 
if($money < 0){
        $_SESSION = array();
        session_destroy();
        response_error('invalid negative money');
    }
    if($money < $min_money){
        response_error('you don\' have enough money');
    }
}

//要是post且CONTENT_TYPE不能為空並等於application/json
if($_SERVER["REQUEST_METHOD"] != 'POST' || !isset($_SERVER["CONTENT_TYPE"]) || $_SERVER["CONTENT_TYPE"] != 'application/json'){
    response_error('please post json data');
}

//file_get_contents('php://input') :獲取post資料, 
//json_decode解析成json,返回一個arrays
$data = json_decode(file_get_contents('php://input'), true); 

//json_last_error是讀取上一次json錯誤的值
if(json_last_error() != JSON_ERROR_NONE){
    response_error('invalid json');
}

//判斷是否有傳入的json中是否含有key值'action'
require_keys($data, ['action']);


/*隨機數種子*/
function random_num(){
    do {
        $byte = openssl_random_pseudo_bytes(10, $cstrong); 
        //openssl_random_pseudo_bytes():生成一個偽隨機位元組串,10代表個數,$cstrong如果傳遞到該函式中,將會儲存為一個 boolean 值來表明是否使用了“強加密”,如果被用於GPG和密碼之類的將返回TRUE , 否則返回 FALSE
        $num = ord($byte);//獲取byte中的第一個位元組ascii碼值
    } while ($num >= 250); //ascii碼最大為255,所以這裡只能輸出 0~249

    if(!$cstrong){
        response_error('server need be checked, tell admin');
    }
    
    $num /= 25; 
    return strval(floor($num)); //將$num轉換為字串   |  floor函式向下舍入為最接近的整數 
    //這裡沒有查到漏洞
}


/*迴圈生成一個7位的隨機數*/
function random_win_nums(){
    $result = '';
    for($i=0; $i<7; $i++){
        $result .= random_num();
    }
    return $result;

}

/*購買賭注函式,這裡有漏洞*/
function buy($req){
    require_registered();
    require_min_money(2);

    $money = $_SESSION['money'];
    $numbers = $req['numbers'];
    $win_numbers = random_win_nums();
    $same_count = 0;
    for($i=0; $i<7; $i++){
        if($numbers[$i] == $win_numbers[$i]){//==不能判斷型別,這裡有漏洞,可以傳入true做對比,除了“0”都為true
            $same_count++;
        } 
    }
    switch ($same_count) {
        case 2:
            $prize = 5;
            break;
        case 3:
            $prize = 20;
            break;
        case 4:
            $prize = 300;
            break;
        case 5:
            $prize = 1800;
            break;
        case 6:
            $prize = 200000;
            break;
        case 7:
            $prize = 5000000;
            break;
        default:
            $prize = 0;
            break;
    }
    $money += $prize - 2;
    $_SESSION['money'] = $money;
    response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]);
}


/*獲取flag函式*/
function flag($req){
    global $flag;
    global $flag_price;

    require_registered();
    $money = $_SESSION['money'];
    if($money < $flag_price){//當錢足夠時才能獲取flag
        response_error('you don\' have enough money');
    } else {
        $money -= $flag_price;
        $_SESSION['money'] = $money;
        $msg = 'Here is your flag: ' . $flag;
        response(['status'=>'ok','msg'=>$msg, 'money'=>$money]);
    }
}

/*註冊函式*/
function register($req){
    $name = $req['name'];
    $_SESSION['name'] = $name;
    $_SESSION['money'] = 20;

    response(['status'=>'ok']);
}


switch ($data['action']) {
    case 'buy':
        require_keys($data, ['numbers']);
        buy($data);
        break;

    case 'flag':
        flag($data);
        break;

    case 'register':
        require_keys($data, ['name']);
        register($data);
        break;
    
    default:
        response_error('invalid request');
        break;
}

經過審計程式碼後現在我們整理一下獲取flag的思路:

1.註冊使用者

2.多次購買獎票(使money>=999000)

3.獲取flag

1.構造payload註冊使用者

相關程式碼:

/*註冊函式*/
function register($req){
    $name = $req['name'];
    $_SESSION['name'] = $name;
    $_SESSION['money'] = 20;

    response(['status'=>'ok']);
}

POST /api.php 並傳入json,使用burpsuite修改請求頭

{"action":"register","user":"1"}

這時候我們發現註冊成功了,成功的頁面返回了一個cookie,這個cookie就相當於使用者識別碼,把cookie儲存下來需要在步奏2-3中使用

2.構造payload多次購買獎票

相關程式碼:

    $money = $_SESSION['money'];
    $numbers = $req['numbers'];

我們在上次的介面中新增cookie之後,還需要修改json,加入numbers

我們經過程式碼審計得知有一個比較的漏洞,構造比較漏洞的json

{"action":"buy","numbers":[true,true,true,true,true,true,true]}

3.構造payload獲取flag

當獲取的money足夠時提交獲取flag的payload

相關推薦

CTFlottery(程式碼審計|==比較繞過)

進入頁面,發現按鈕點了沒有反應,切換頁面都提示要先註冊 發現註冊不了,這時候查找了robots.txt檔案,發現了.git資料夾

CTF程式碼審計之BUU CODE REVIEW 1

BUU CODE REVIEW 1 考點知識反序列化,md5繞過 魔術方法 __destruct() 物件的所有引用都被刪除或者當物件被顯式銷燬時執行

CTF程式碼審計之[HCTF 2018]WarmUp

[HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)

CTF程式碼審計之[網鼎杯 2020 青龍組]AreUSerialz

[網鼎杯 2020 青龍組]AreUSerialz <?php include(\"flag.php\"); highlight_file(__FILE__); class FileHandler {

CTF程式碼審計之[安洵杯 2019]easy_serialize_php

[安洵杯 2019]easy_serialize_php 考點php反序列化逃逸 <?php $function = @$_GET[\'f\']; function filter($img){

57程式碼審計-JAVA專案框架類漏洞分析報告

思維導圖 案例1過濾器及攔截器相關區別解釋 過濾器&攔截器區別 Filter是基於函式回撥的,而Interceptor這是基於Java反射的。

56程式碼審計-JAVA專案Filter過濾器及XSS挖掘

思維導圖 看構成,看指向,看配置,看程式碼-->尋繞過 web.xml檢視Filter過濾器

程式碼審計學習—zzcms儲存型xss

程式碼審計學習—zzcms儲存型xss 版本zzcms 201910 本地搭建網站 漏洞位置 網站/inc/function.php

electron程式碼審計

解包 Electron跨平臺程式破解https://www.52pojie.cn/thread-563895-1-1.html Electron封裝的跨平臺程式破解的一般思路

PHP程式碼審計分段講解(9)

22 弱型別整數大小比較繞過 <?php error_reporting(0); $flag = \"flag{test}\"; $temp = $_GET[\'password\'];

PHP程式碼審計分段講解(11)

後面的題目相對於之前的題目難度稍微提升了一些,所以對每道題進行單獨的分析

PHP程式碼審計01

概述 程式碼審計是對應用程式原始碼進行系統性檢查的工作,目的是為了找到並且修復應用程式在開發階段存在的一些漏洞,或者程式邏輯錯誤。

PHP程式碼審計分段講解(12)

28題 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style type=\"text/css\">

BUUOJ | [OGeek2019]babyrop(ROP、程式碼審計

題目連結 靜態分析 checksec 檢查,沒有什麼特別的保護機制 IDA 載入,main() 函式內容如下

PHP程式碼審計分段講解(13)

程式碼審計分段講解之29題,程式碼如下 <?php require(\"config.php\"); $table = $_GET[\'table\']?$_GET[\'table\']:\"test\";

PHP程式碼審計分段講解(14)

30題利用提交陣列繞過邏輯 本篇部落格是PHP程式碼審計分段講解系列題解的最後一篇,對於我這個懶癌患者來說,很多事情知易行難,堅持下去,繼續學習和提高自己。

程式碼審計原理之程式碼執行

0x01 程式碼執行 PHP程式碼執行漏洞可以將程式碼注入到應用中,最終到webserver去執行,該漏洞主要存在於eval()、assert()、preg_replace()、call_user_func()、array_map()以及動態函式中

基礎框架一“零程式碼”實現單表增刪改查、唯一性校驗、列舉型別翻譯

概述 在日常開發中,有很多模組如基礎資訊都是單表的增刪改查,如果每個單表都要自己編寫增刪改查程式碼,無疑增加了很多不必要的開發成本。本文通過對增刪改查進行封裝,通過EasyCode生成模組程式碼,無需編寫任何程

程式碼審計

開啟題目,又是MD5函式 以為又是一個套路直接md5(\'240610708\') == md5(\'QNKCDZO\')去嘗試

03 執行緒池業務程式碼最常用也最容易犯錯誤的元件

執行緒池的宣告需要手動進行new ThreadPoolExecutor形式。生產中常因為使用Executors類下方法,如newFixedThreadPool和newCachedThreadPool導致OOM問題。