[2021祥云杯]secrets_of_admin

最新推荐文章于 2022-10-21 19:37:29 发布
最新推荐文章于 2022-10-21 19:37:29 发布
阅读量916 收藏 1
点赞数 2
分类专栏: web学习 ssrf nodejs 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/120238587
版权
web学习 同时被 3 个专栏收录
39 篇文章 1 订阅
订阅专栏
ssrf
6 篇文章 0 订阅
订阅专栏
nodejs
6 篇文章 2 订阅
订阅专栏

[2021祥云杯]secrets_of_admin

这题也是直接提供了源代码
在这里插入图片描述
老样子,先看看有没有啥危险函数,没发现的话只能一个路由一个路由慢慢的审了

先看主路由吧
在这里插入图片描述
有get和post两种请求方式
get请求应该就是正常访问该页面
post请求获取了username和passwd后,判断完数据类型就把他们传递给了DB.Login()
在这里插入图片描述
DB.Login()应该是把用来判断用户输入的用户名和密码和数据库保存的是否一致来判断登录

回到主路由的代码,如果登陆成功,他会把用户的一些信息仍token里
在这里插入图片描述
接下来看到admin路由的get方法
在这里插入图片描述
已请求这个路由他就会调用checkAuth方法
在这里插入图片描述
这个方法的作用也很简单,就是不允许superuser使用,注释也说明了该方法的作用

回到admin路由的get方法
在这里插入图片描述
它会将username作为参数调用DB.listFile方法
在这里插入图片描述
从这个方法的那句sql语句我们就应该知道,它会获取传入用户的所有所拥有文件名和对应checksum的值(这里checksum的作用我们先不做说明)

admin路由获取了登录用户在数据库中存储的信息后,会把他们写入自己的token
到这里admin路由的get方法就结束了

接下来看admin路由的post方法
在这里插入图片描述
还是先禁止superuser用户访问
在这里插入图片描述
接下来获取content的信息,并对content的信息进行waf过滤

在这里插入图片描述
接下来这里有个html的模板,如果content能经过前面的过滤,就会把content放进html模板中
在这里插入图片描述
接下来uuid随机生成一个标识符作为pdf文件的名字,然后根据上面的html模板生成一个pdf文件,并把这个文件发送到./files目录下

接下来对pdf的文件名调用getCheckSum方法,总的概括就是根据文件名生成一段随机数
在这里插入图片描述
然后将文件名和对应的随机数checksum一起放到数据库里superuser所属下
在这里插入图片描述
在这里插入图片描述
接下来看/api/files路由
在这里插入图片描述
这个路由就比较简单粗暴了,只能本地访问,然后将username, filename, checksum写进数据库,这三个参数的信息我们是可控的

最后看/api/files/:id路由,这个路由还是先禁止superuser用户访问
在这里插入图片描述
接着根据用户名与我们在url中输入的id(也就是checksum)去数据库中匹配对应的文件名,并在./files路径下访问该文件名
在这里插入图片描述
在这里插入图片描述
到这里所有的路由就分析完了,我们再来看看数据库
在这里插入图片描述
这些是数据库的初始化,我们可以从中得到admin的密码,并且可以知道flag这个文件名是superuser用户的

整理下信息:
1.我们目前知道的flag属与superuser
2.唯一的读文件函数在/api/files/:id路由,他不允许superuser访问,而且只能读取./files目录下的文件,读文件的条件是只要知道用户名和文件对应的checksum就行
3.admin知道它拥有的文件,也可以添加任意文件名和对应checksum到他那里,但是得本地访问
4.admin路由下生成的pdf文件全归superuser所有,并且会在./files生成相应的文件
5.readfile读文件时,它是将文件名拼接到路径上的,而且根据源代码得目录我们知道flag就在files目录下,任何人都可以读取该文件

根据以上信息得出思路:

首先我们要深刻意识到数据库中存的仅仅只是一个文件名,而且flag文件就在files目录下,只要文件名和既定路径拼接合理,那谁都可以读到flag文件

flag这个文件名又是属与superuser,用superuser去读那是不可能的了,那我们可以构造给admin一个文件名,让他文件名不是flag,和路径拼接到一起时又可以读到flag文件,所以我们可以考虑目录穿越…/files/flag或者是直接用./flag

既然如此那我们得把文件名和对应的checksum写到数据库里去,这就得用到ssrf了

ssrf的利用点说实话我自己并不是很清楚在哪里,找了一下大佬的WP看看,才知道我们在 content 中传入一个正常的 HTML 标签理论上也是可以直接解析的。那我们可以在 content 中传入一个可以自动触发 src 属性的标签,用这个 src 属性触发 SSRF 并访问 /api/files 路由为 admin 用户创建 flag 文件记录。
看了另一个大佬WP才知道html-pdf库也存在一个任意文件读取
但不管咋样ssrf利用点就是content这里

贴上两个大佬处copy的payload

content[]=<img+src%3D"http%3A//127.0.0.1:8888/api/files?username%3Dadmin%26filename%3D./flag%26checksum%3D123">

content[]=%3Cscript%3E%0Avar%20xhr%20%3D%20new%20XMLHttpRequest()%3Bxhr.open(%22GET%22%2C%20%22http%3A%2F%2F127.0.0.1%3A8888%2Fapi%2Ffiles%3Fusername%3Dadmin%26filename%3D.%2Fflag%26checksum%3D123%22%2C%20true)%3Bxhr.send()%3B%0A%3C%2Fscript%3E

在admin处post请求payload后,在api/files/id访问对应的checksum值即可
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

lmonstergg
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2021祥云]secrets_of_admin writeup + TypeScript看看
ShenZ的博客
04-04 2382
[2021祥云]secrets_of_admin writeup + TypeScript看看思路: > `admin`路由中:content传入一个src属性的标签触发SSRF并访问`api/files`路由,利用`/api/files`在files表中为admin用户创建一个flag文件,然后通过`/api/files/:id`路由来读取该文件。 相关漏洞: >1.src属性的标签在html中可以自动触发,或者说是HTML转PDF时,HTML里面的图片资源被自动加载进来 >2.includes()方
第二届祥云 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
祥云2021 Web复现
feng的博客
08-25 1845
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
_OceanofPDF.com_Smarter_Faster_Better__The_Secrets_of_Bein_-_Charles_Duhigg.pdf
03-27
Smarter_Faster_Better_
secrets_of_the_oracle_database
09-08
secrets_of_the_oracle_database
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every
08-29
Secrets for All the Things:云环境中的秘密注入》 在现代云计算环境中,安全问题日益凸显,特别是对于处理敏感信息的应用程序来说,管理并保护这些秘密(如密码、API密钥和私有证书)至关重要。"Secrets for ...
The_SECRETS_OF_POWER_NEGOTIATING_-_ROGER_DAWSON2.pdf
04-29
商务谈判中采用怎样的说话逻辑,如何再谈判之前进行有条理的准备。此书是一点一点粘贴复制的,并非扫描版。
Undocumented_Secrets_of_MATLAB_Java_Programming.part3
03-20
Undocumented_Secrets_of_MATLAB_Java_Programming.part3 Undocumented_Secrets_of_MATLAB_Java_Programming 第3部分(共3部分) http://undocumentedmatlab.com/books/matlab-java This book shows how using ...
[2020首届祥云]带音乐家
o3Ev的博客
04-20 271
[2020首届祥云]带音乐家 题目: 下载好附件,打开,得到一个文件与一个rar包: 并且rar包是经过了加密的,我这里去010里看了下,发现并不是伪加密: 所以突破点就只有上面的decode_it文件了,这样直接是打不开的,所以我将它放入010里去看了下,发现: 文件头是MIDI的,所以我将后缀改成了MIDI 然后这里要用到一款工具叫做velato,可以将其解密: 然后在velato文件夹下生成了一个decode_it.exe的程序,运行得到: Hello, World! 这个Hello,
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4303
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
2021第二届“祥云”网络安全大赛 部分Writeup
qq_42815161的博客
08-23 3346
MISC ChieftainsSecret 题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits} ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分
2021 祥云PassWordBox_FreeVersion
m0_51251108的博客
10-21 556
2021 祥云PassWordBox_FreeVersion复现
2021 祥云 pwn PassWordBox_FreeVersion
yongbaoii的博客
08-30 242
保护显然是全开。 libc给的是2.27. 进去有个这 在1309这里转一下代码 然后p创建函数,再F5过去就明明白白了 所以就是给4040这里排了个随机数。 fgets这里显然有一个off by one,或者直接可以说成是off by ...
2021 祥云 pwn-PassWordBox_FreeVersion
z1r0的博客
10-16 118
overlapping之后泄露出libc,算出freehook,再利用overlapping,打fd到free hook,最后改free hook为ogg即可。漏洞点一个off by null,libc是2.27下的。但是需要注意的是内容会被加密,加密的key可以泄露出来。拿到key就是一套2.27的off by null。需要注意的是add的值不准,需要加个偏移校验一下。当内容为\x00时,show出来的就是key。打法就是2.27下的off by null。
2021 祥云 pwn PassWordBox_ProVersion
yongbaoii的博客
08-30 340
保护显然是全开。libc给的是2.31 看看比free的多了点啥 具体去看看。 这是菜单。 add fgets那里的问题显然已经没了,size改的比较大,看起来只能申请到large bin那样的大小。 edit 编辑确实是无限编辑。 也不会再有溢出那种东西了。 show 也有输出了。 free free也是正常清理。没有清理指针,只是清理了标志位。 多了一个叫recover的函数 可以让标志位再恢复。 那么我们就可以double free啊等等, 但是呢显然我们能申请到的chunk都很大,所以这道.
祥云题解
蚁景网安学院
08-25 2158
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 # bad_cat战队WRITEUP 一、 战队信息 战队名称:bad_cat 战队排名:6 二、 解题情况 三、 解题过程 web **1、**ezyii 网上搜yii的1day https://xz.aliyun.com/t/9948#toc-6 思路类似于第四条链子 exp: <?p.
首届祥云网络安全大赛 web wp
Firebasky的博客
11-24 916
和团队一起打了祥云,感觉还是可以的,师傅们太强了~ 自己也学习了不少继续加油~ 链接:https://pan.baidu.com/s/1WKE8UhFaKajEuaIM772aRw 提取码:93um 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
secrets_client,get_secret_value_responseSecretId=secret_name
最新发布
06-13
这是使用 AWS SDK for Python (Boto3) 获取 AWS Secrets Manager 中的 secret 的代码行。其中,`secrets_client` 是一个 AWS Secrets Manager 的 client 对象,用来执行获取 secret 的操作;`SecretId` 参数指定了要获取的 secret 的名称或 ARN;`get_secret_value_response` 则是获取到的 secret 的值,是一个字典对象,包含了 secret 的信息。 下面是一个示例代码,获取指定名称的 secret 的值: ``` import boto3 # 创建 AWS Secrets Manager 的 client 对象 secrets_client = boto3.client('secretsmanager') # 指定要获取的 secret 的名称或 ARN secret_name = 'my-secret' # 获取 secret 的值 get_secret_value_response = secrets_client.get_secret_value(SecretId=secret_name) # 获取 secret 的值,如果是 JSON 格式,则解析成字典对象 if 'SecretString' in get_secret_value_response: secret = get_secret_value_response['SecretString'] else: secret = get_secret_value_response['SecretBinary'] ``` 注意:在使用 `get_secret_value()` 方法获取 secret 值时,需要有对应的权限。同时,获取到的 secret 值应当妥善保管,避免泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值