# Web CTF ## Hello Pika! 本題網址: http://ctf.adl.tw:12001/ 解碼器網址:https://www.base64decode.org/ 1. 檢視網頁原始碼  2. 找到裡面Base 64 編碼 3. 拿去Base 64解碼器進行解碼  4. 取出Flag ## Hello Pika!(2) 本題網址: http://ctf.adl.tw:12001/ 解碼器網址:https://www.base64decode.org/ 運用原理 : phpsessid 漏洞 1. 回到 Hello Pika! 頁面之中，在網址列覆蓋並輸入 javascript:alert(document.cookie); 取得本頁面的Cookie(如右圖).  2. 將 ?PHPSESSID=32d0c7483562f9d94218f972b20947e4 直接加在原本 Hello Pika! 的網址後面 3. 在新的頁面之中右鍵[檢查]>[Network]之後，即可查看PHPSESSID 的 Response Cookie，並從中找到 Baase 64編碼的Flag  4. 在利用第一題方法將Baase 64編碼的Flag解碼並取出 ## Pika-i 本題網址: http://ctf.adl.tw:12004/ 運用原理: SQL injection 1. 開啟網址後一樣先右鍵檢視網頁原始碼，並在原始碼之中找到接下來所需登入的位置 login.php (其他東西這題不重要) 2. 將/login.php直接加在本題網址之後進入登入頁面  3. 利用SQL injection的方式直接進行非法登入，在帳號密碼皆輸入 "' OR ''=''-- "(雙引號內字串) 的情況下暴力登入，並且取得Flag   ## Ugly pika 本題網址: http://ctf.adl.tw:12002/ 運用原理: Dirsearch、PHP MD5弱化比較、strcmp漏洞 1. 在終端機上安裝Dirsearch  2. 現利用Ｄirsearch本題網址就可以找出secret.php 3. 連上secret.php分頁會發現這邊要輸入帳號密碼 4. 輸入隨意帳號密碼登入頁面 5. 將上面的網址拿去再Ｄirsearch一次，取得login.php.bak檔案 6. 將bak檔以txt檔方式打開，即可看到php code  7. 在這邊的線索之中可以看出密碼是以md5進行加密（此加密方式無法解密），而帳號比對方式是由strcmp進行比對，從程式之中可以發現完全看不出來到底要什麼帳號以及密碼，只知道密碼經過加密之後要跟後面那一串亂碼進行比對，而帳號必須要根本提的flag進行比對。 8. 知到完線索後發現無法以正當的方式通過驗證，那就只好用不正當的方式通過驗證。首先php之中會將0e開頭的字串判斷為0，所以找出其他經過md5加密之後會有0e開頭的字串就可以當作密碼（這邊我用QNKCDZO） 9. 密碼有了之後就剩帳號的strcmp，這邊原本是要求要與flag的長度一樣長的字串才會給過，但是只要傳入他判斷為非字串的東西，他會直接回傳0這個值，而在這題當中0就相當於給過的意思，所以要利用這個特性繞過它就好了。 10. 回到步驟四的畫面，並將上面網址中？後面的地方進行修改，使用者部分改為 user[]=123 去繞過使用者的判斷，而密碼改為 pass=QNKCDZO 並重新整理取得Flag。 這是解答：http://ctf.adl.tw:12002/login.php?user[]=123&pass=QNKCDZO 參考資料： Dirsearch： https://github.com/maurosoria/dirsearch Strcmp漏洞： https://www.cnblogs.com/xhds/p/12312055.html php Md5 函數漏洞： https://blog.csdn.net/qq_19980431/article/details/83018232