CG CTF WEB 密码重置2

http://nctf.nuptzj.cn/web14/index.php

TIPS:

1.管理员邮箱观察一下就可以找到
2.linux下一般使用vi编辑器，并且异常退出会留下备份文件
3.弱类型bypass

<html><head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"><meta name="renderer" content="webkit"><meta name="admin" content="admin@nuptzj.cn"><meta name="editor" content="Vim"><title>logic</title><style type="text/css">body,html{position: relative;height: 100%;width: 100%;padding: 0;margin: 0;background-color: #272822;color: #fff;}form{position: absolute;top: 50%;left: 50%;width: 400px;margin: -70px -200px;}form input{display: block;margin: 10px auto;width: 100%;border: none;height: 2rem;border-radius: 5px;}</style>
</head>
<body><form action="submit.php" method="GET"><h1>找回管理员密码</h1>email:<input name="emailAddress" type="text"><br>token:<input name="token" type="text"><br><input type="submit" value="提交"></form></body></html>

题解：

原理：

vim的特性，自动备份：

一、vim备份文件

默认情况下使用Vim编程，在修改文件后系统会自动生成一个带~的备份文件，某些情况下可以对其下载进行查看；

eg:index.php普遍意义上的首页，输入域名不一定会显示。它的备份文件则为index.php~

二、vim临时文件

vim中的swp即swap文件，在编辑文件时产生，它是隐藏文件，如果原文件名是submit，则它的临时文件

.submit.swp。如果文件正常退出，则此文件自动删除。

获取.submit.php.swp


........这一行是省略的代码......../*
如果登录邮箱地址不是管理员则 die()
数据库结构--
-- 表的结构 `user`
--CREATE TABLE IF NOT EXISTS `user` (`id` int(11) NOT NULL AUTO_INCREMENT,`username` varchar(255) NOT NULL,`email` varchar(255) NOT NULL,`token` int(255) NOT NULL DEFAULT '0',PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ;--
-- 转存表中的数据 `user`
--INSERT INTO `user` (`id`, `username`, `email`, `token`) VALUES
(1, '****不可见***', '***不可见***', 0);
*/........这一行是省略的代码........if(!empty($token)&&!empty($emailAddress)){if(strlen($token)!=10) die('fail');if($token!='0') die('fail');$sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";$r = mysql_query($sql) or die('db error');$r = mysql_fetch_assoc($r);$r = $r['num'];if($r>0){echo $flag;}else{echo "失败了呀";}
}

可知：token=0000000000

<meta name="admin" content="admin@nuptzj.cn">

所以

URL=http://nctf.nuptzj.cn/web14/submit.php?emailAddress=admin@nuptzj.cn&token=0000000000

CG CTF WEB 密码重置2相关推荐

CG CTF WEB 密码重置
http://nctf.nuptzj.cn/web13/index.php?user1=Y3RmdXNlcg== 题解: 版本一工具:Burp Suite 用burp截取后修改用户为admin,因为 ...
CG CTF WEB SQL注入1
http://chinalover.sinaapp.com/index.php 题解: <html> <head> Secure Web Login </head> ...
CG CTF web 上
签到题打开f12查看源代码得到flag md5 collision 把变量md51,md5加密后得到 0e830400451993494058024219903391 当成科学计算法,0的无论多少次 ...
CG CTF WEB SQL注入2
http://4.chinalover.sinaapp.com/web6/index.php 题解: <html> <head> Secure Web Login II < ...
简单的CTF web密码爆破
打开题目,审题.发现题目明确给出登录的用户名为Syclover,并要求我们爆破一个长度为6位纯数字的简单密码,并告诉我们密码开头为774.由此我们知道这是一题非常基础的密码爆破题. 打开环境发现存在一 ...
CG CTF WEB 综合题2
http://cms.nuptzj.cn/ 题解: MzAzMTY3YWQxZDlmZmUyNGIxOWNjZWI1OWY4NzA3ZmU= base64解密 303167ad1d9ffe24b19c ...
CG CTF WEB pass check
http://chinalover.sinaapp.com/web21/ 原理: php的弱类型漏洞 strcmp函数接受到了不符合的类型,strcmp函数将发生错误,显示了报错的警告信息后,将 re ...
CG CTF WEB MYSQL
http://chinalover.sinaapp.com/web11/ 题解: 题目提示robots.txt,首先访问http://chinalover.sinaapp.com/web11/robo ...
CG CTF WEB md5 collision
http://chinalover.sinaapp.com/web19/ 题解: PHP源码 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md ...

CG CTF WEB 密码重置2

CG CTF WEB 密码重置2相关推荐

最新文章

热门文章