SCTF2021__loginme

最新推荐文章于 2023-11-21 23:37:52 发布
最新推荐文章于 2023-11-21 23:37:52 发布
阅读量938 收藏 3
点赞数
分类专栏: 比赛wp 文章标签: golang CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/123339098
版权

SCTF2021__loginme

文章目录


赛后复现

docker创建容器,打开

在这里插入图片描述

提示我们需要localhost,但是我们使用XFF不可以,同时题目也给了附件,是go语言的,不是很会,这两天学了一下,来看下这个题目,复现下

题目给的附件:

在这里插入图片描述

打开看了main.go,这个源码是缺了一部分的,但是不影响做题(题目附件中缺了templates,赛后出题人将所有的源码放在了github,复现题目没问题)

之前没碰过go,边学边做吧

本题目用了一个gin框架

Gin是一个使用Go开发的web框架,简洁,性能好,开箱即用,方便扩展。

package main

import (
	"html/template"
	"loginme/middleware"
	"loginme/route"
	"loginme/templates"

	"github.com/gin-gonic/gin"
)

//Gin是一个使用Go开发的web框架
func main() {
	gin.SetMode(gin.ReleaseMode)	//选择release模式
	r := gin.Default()	//创建实例
	templ := template.Must(template.New("").ParseFS(templates.Templates, "*.tmpl"))	//模板解析
	r.SetHTMLTemplate(templ)	//该方法会gin实实例绑定一个模板引擎(内部其实是设置了engine的HTMLRender属性),也就是模板渲染
	// 通过use设置全局中间件
	// 设置日志中间件,主要用于打印请求日志
	r.Use(gin.Logger())
	// 设置Recovery中间件,主要用于拦截paic错误,不至于导致进程崩掉
	r.Use(gin.Recovery())
	//一个新的路由
	authorized := r.Group("/admin")
	//调用函数middleware.LocalRequired(),其实是个waf
	authorized.Use(middleware.LocalRequired())
	{
		authorized.GET("/index", route.Login)
	}

	r.GET("/", route.Index)
	r.Run(":9999")	//运行服务器,监听9999端口
}

查看请求头

首先是创建了一个gin实例,然后是在/admin路由下,调用middleware.LocalRequired(),跟进,发现这个是一个简单的防护

func LocalRequired() gin.HandlerFunc {
	return func(c *gin.Context) {
		//获取数据报头部,并且判断
		if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {
			c.AbortWithStatus(403)
			return
		}
		ip := c.ClientIP()
		if ip == "127.0.0.1" {
			c.Next()
		} else {
			c.AbortWithStatus(401)
		}
	}
}

请求头中不能有x-forwarded-for或者x-client-ip,不然返回403

同时还使用ClientIP(),用来判断ip是否等于127.0.0.1,这个可以通过X-Real-IP:127.0.0.1进行绕过

在这里插入图片描述

绕过这个之后,继续分析

在这里插入图片描述

接下来跳到route.Login,跟进

func Login(c *gin.Context) {
	idString, flag := c.GetQuery("id")	//gin的获取url query参数
	if !flag {
		idString = "1"
	}
	id, err := strconv.Atoi(idString)	//用于将字符串类型转换为int类型,整了之后,id就是int类型的数据了
	if err != nil {		//当出现不等于nil的时候,说明出现某些错误了,这个地方是调用方法出错的时候应该怎么做
		id = 1
	}
	TargetUser := structs.Admin	//一个结构体
	for _, user := range structs.Users {		//循环,看id等于几,然后将TargetUser赋值
		if user.Id == id {
			TargetUser = user
		}
	}

	age := TargetUser.Age
	if age == "" {
		age, flag = c.GetQuery("age")
		if !flag {
			age = "forever 18 (Tell me the age)"
		}
	}

	if err != nil {
		c.AbortWithError(500, err)
	}

	html := fmt.Sprintf(templates.AdminIndexTemplateHtml, age)	//格式化字符串并赋值给新串
	if err != nil {
		c.AbortWithError(500, err)
	}
	//Parse()方法用来解析、评估模板中需要执行的action,其中需要评估的部分都使用{{}}包围,并将评估后(解析后)的结果赋值给tmpl。
	tmpl, err := template.New("admin_index").Parse(html)
	if err != nil {
		c.AbortWithError(500, err)
	}
	//将对象实例应用到已经解析的tmpl模板
	tmpl.Execute(c.Writer, TargetUser)
}

这一段,会获取url中的参数id,进行参数类型转换

同时还定义了TargetUser,为一个结构体,注意这个结构体,跟进

var Users = []UserInfo{
	{
		Id:       1,
		Username: "Grandpa Lu",
		Age:      "22",
		Password: "hack you!",
	},
	{
		Id:       2,
		Username: "Longlone",
		Age:      "??",
		Password: "i don't know",
	},
	{
		Id:       3,
		Username: "Teacher Ma",
		Age:      "20",
		Password: "guess",
	},
}

var Admin = UserInfo{
	Id:       0,
	Username: "Admin",
	Age:      "",
	Password: "flag{}",
}

在之后,会将传入的id和users中的id进行对比,id=0时,还是Username=“Admin”

接下来传参age,因为Admin中的Age默认是空的,所以会执行age传参

if age == "" {
		age, flag = c.GetQuery("age")
		if !flag {
			age = "forever 18 (Tell me the age)"
		}
	}

格式化字符串

html := fmt.Sprintf(templates.AdminIndexTemplateHtml, age)	//格式化字符串并赋值给新串

模板渲染

在这里插入图片描述

接着往下走,有个渲染

tmpl, err := template.New("admin_index").Parse(html)

go语言模板渲染支持传入一个结构体的实例来渲染它的字段,就有可能造成信息泄露

而在go语言中使用的是{{.name}}代表要应用的对象,所以可以让age={{.Password}}

在这里插入图片描述

抓包修改

在这里插入图片描述

参考链接

  1. [2021SCTF]web-Loginme wp-CTF对抗-看雪论坛-安全社区|安全招聘|bbs.pediy.com
  2. [(1条消息) CTF]SCTF2021 WEB复现(详细版)_Sapphire037的博客-CSDN博客
Sk1y
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NSSCTF第12页(1)
wwwwyyyrre的博客
11-14 364
应该是和[HUBUCTF 2022 新生赛]ezsql搞混掉了点击按钮出现了发现输入什么回显什么伪协议也不行看源代码发现了这个玩意输入了1;发现了其他回显ls 发现了两个文件发现被限制了不知道是cat还是空格绕过直接找吧还是 得到flag。
[SCTF 2021]loginme
最新发布
wikey 的博客
03-31 195
题目的提示是CVE-2020-28483,我提前去查了一下。好像没有执行,这个时候回想到这个题用的是go语言的gin框架,go语言模板渲染支持传入一个结构体的实例来渲染它的字段,就有可能造成信息泄露。意思就是说用了gin框架的会出现漏洞可以用XFF文件头伪造admin。似乎是把我的输入给输出出来了,那我们试试模板注入。我发现直接用.也可,翻了其他博主的wp是这个原因。注意到这个id和名字,我们切换试试。代表要应用的对象,所以可以让。直到最后换到4,观察结果。
NSSCTF web 刷题记录1
rev1ve的博客
09-04 1854
今天是2023.9.3,大二开学前的最后一天。老实说ctf的功力还是不太够做的题目太少,新学期新气象。不可急于求成,稳扎稳打,把能利用的时间用来提升web实力。
SCTF2021__rceme
Sk1y的博客
03-28 1146
rceme 文章目录rceme先说下几个函数call_user_funcgetallheaders()可变参数绕过命令注入使用动态链接库so绕过disable_functions开启http服务(可选)利用php原生类进行文件读取参考链接 题目 <?php if(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\
2021SCTF
unexpectedthing的博客
03-31 877
前言 复现环境:NSSCTF Loginme 考点 GO的模板注入 wp middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") !=
SCTF2020:SCTF2020
04-01
SCTF2020:一场聚焦Java技术的网络安全挑战】 SCTF2020,全称为“SCTF2020网络安全技术挑战赛”,是一个专注于信息技术安全领域的年度竞赛,尤其强调了Java技术的应用。这个比赛旨在检验参赛者在Java编程、网络...
spn.rar_SSTF
09-23
- 主程序部分,用于调用SCTF算法并输出结果。 **pudn.txt文本说明:** `pudn.txt`文件可能是实验指导或者说明文档,可能包含了实验目的、步骤、预期结果等内容。为了更好地理解SSTF算法的实验,你需要阅读此文件,...
SCTF差分晶振15013896510
06-21
SCTF差分晶振15013896510 SCTF差分晶振15013896510是一款差分晶振器件,提供了高频率稳定性和低抖动特性,适用于高速应用场景。 电气参数: * 频率:106.25、125、155.52、161.1328、187.5、312.5MHz * 频率稳定...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
sctf2014 misc400b.rar
09-30
sctf2014 misc400b.rar
绕过收费网站不能再收费的软件Login Me
04-23
很多网站都是注册之后才能享受一系列相关服务的,例如YouTube,但是,注册有时候显得很浪费时间,所以这个软件就诞生了。使用这个软件,可以提供给你多达174166个(目前)网站的免费ID,你可以直接使用这些ID来登陆你进入的网站,当然,这个软件只会提供一些免费注册账户,而且,由于是外国软件,所以这174166个网站中估计没有(也许)中国的网站
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
[SCTF 2021]rceme 复现
绮洛Ki1ro的博客
08-20 1556
[SCTF 2021]rceme 复现
[SCTF 2021]rceme
rev1ve的博客
11-21 613
在 PHP 5.5 及更早版本中,使用函数func_num_args(),func_get_arg(),和 func_get_args()。SplFileObject是标准的文件操作类,用来进行文件读取。文件,然后再利用原生类读取公网ip(也就是映射的服务器)的文件。可以发现无字母数字RCE,同时是也是无参的,然后提示禁用的函数。然后再利用前置知识给出的取反脚本,成功执行phpinfo()我们可以在服务器的根目录上启动服务,写入。然后在kali下的根目录下,开启服务器。然后高光读取,得到flag。
sctf
zhang14916的博客
06-26 1660
1.warmup 阅读源码,我们发现整个加密流程如下—对明文长度使用pad()填充至长度为16的倍数,然后将msg分成长度为16 的n段,将n段明文做异或得到一段长度为16的明文,然后使用aes_cbc模式加密得到密文。在题目中已经给出了明文'see you at three o\'clock tomorrow'和它的密文,题目要求我们输入“please send me your flag”使用...
sctf2021 data leak 出题思路和题解
令则
01-19 2245
sctf2021 data leak 出题思路和题解
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4295
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
i春秋CTF训练 Web Login
椰奶冻不安全的博客
07-04 4765
Web Login 题目内容:加油,我看好你 本题由擂主Wfox提供 题目链接请在i春秋申请 访问发现是个登录页面,还以为是爆破弱口令,结果在页面源码里看到一行注释 <!-- test1 test1 --> 试了一下成功登录,然后重定向到了member.php页面,发现页面里啥也没有 只能用burpsuite抓包看看了,然后在response的headers里发现可疑参数show 然后在request的headers里添加一个show参数,值设置为1,发送,页面返回了php源码
SCTF2021_Pwn_dataleak_WP
weixin_56434818的博客
12-27 669
SCTF2021_dataleak_WP 文章目录SCTF2021_dataleak_WP检查文件和保护ida查看ELF文件cJSON_PWNida查看libcjson.so利用思路exploit 检查文件和保护 64位小端序,动态链接。relro半开,没开canary,开了PIE和NX。 ida查看ELF文件cJSON_PWN int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int i; //
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值