[PASECA2019]honey_shop

最新推荐文章于 2024-07-24 21:16:36 发布
原创 最新推荐文章于 2024-07-24 21:16:36 发布 · 764 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细记录了一位安全研究员如何通过发现并利用网站的任意文件读取漏洞,探究网站架构,破解Flask Session,最终伪造Session购买Flag的过程。涉及的技术包括网络抓包、Python环境变量查看、Flask Session解密以及金额篡改。

[PASECA2019]honey_shop

进入题目后如下所示
在这里插入图片描述我试了下,能点的也就是一张图片还有可以买各种各样的物品
在这里插入图片描述
这里我们能看到我们的金额只有1336,但是flag要1337,差1块才能买flag,既然买不了那就四处看看吧

点了图片会将图片进行下载,抓包查看下
在这里插入图片描述
这种包的形式可能会存在任意文件读取,不妨试试
在这里插入图片描述
成功读取到了/etc/passwd,本想直接读/flag,但是没有

这里这个任意文件读取暂时用不上后,再去找找其他地方吧
在这里插入图片描述
这个是购买物品的包,传入的item参数是物品序号,也没啥有用的信息。

emem没啥路可以走了。但是看到这个session,我突然好奇这个网站的架构了,因为有些网站架构的session是可以被破解的

用上前面的任意文件读取漏洞,还是从

最低0.47元/天 解锁文章
BUUCTF [PASECA2019]honey_shop
CyhDl666的博客
03-16 495
文件读取和session伪造 发现购买flag的钱差1元 其实大概就是这样,我们距离我们最想得到的就差那么一丢丢,买不了flag我们可以买蜂蜜嘛… 进入正题 题目有个提示click to download our sweet images 大概题目的切入点就是这个 下载的时候抓个包 发现/download?image=2.jpg,发现download目录,我们就可以尝试一下能不能去获取其他有用的信息 可以读取到其他有用的信息 昨天做题的时候做到了Linux下的一个文件 复习一下 Linux下.
BUUCTF--[PASECA2019]honey_shop
qq_46263951的博客
08-14 736
与大多数题相似,这里给出的金额无法是我们购买到flag 这类一般都与session有关,这里的session看着很眼熟,使用jwt解密 balance对应着我们的余额,很明显这里是伪造session,修改余额,所以需要SECRET_KEY的值 根据提示*click to download our sweet images*,我们下载第一张图片 修改其image的值为: /download?image=../../../../../../../etc/passwd 尝试访问Pytho...
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 每次启动镜像时都会随机生成Flask Cookie的SECRET_KEY。 版权 该题目复现环境尚未取得主办方及出题人相关授权,如果侵权,请联系本人删除()
PASECA2019_Web_honey_shop
snowlyzz的博客
08-30 278
bt
BUUCTF [PASECA2019] honey_shop
Senimo
12-21 1881
BUUCTF [PASECA2019] honey_shop 考点: Flask中的Session伪造 /environ记录当前进程的环境变量信息 /proc/self其路径指向当前进程 启动环境: 是一个蜂蜜商店的界面,有1366美金,想要购买flag需要1337美金: 直接购买提示金额不足: 猜测可能是传参时存在金额参数或者cookie中,使用BurpSuite抓取数据包: 其中item应该为商品序号,获取到其中的session: session=eyJiYWxhbmNlIjoxMzM2LC
BUUCTF_练[PASECA2019]honey_shop
m0_66225311的博客
10-29 636
页面信息收集,根据下载的图片找到下载链接,确定`url`的参数进行利用;`session`字段的解密和解密,session伪造的考点。
BUU [PASECA2019]honey_shop
最新发布
Jay17的博客
07-24 469
BUU [PASECA2019]honey_shop
xctf攻防世界honey_shop wp
sash1mi
01-15 934
访问题目地址 有1336元,但是要购买Flag需要1337元 注意到有一句“click to download our sweet images”,发现访问的是/download?image=1.jpg,这样就可能出现LFI 关于LFI:https://www.cnblogs.com/c1e4r/articles/7806819.html 试着读一下/proc的相关信息了,/proc/self/永远指向当前进程,尝试读一下environ文件,这记录着当前进程(本题而言是python)的环境变量信息 .
BUUCTF-[SCTF2019]Flag Shop
qq_24033605的博客
11-04 5269
[SCTF2019]Flag Shop 简单看一下几个按钮的作用,buy flag是购买flag的按钮,但是当前的JinKela不够买不起,reset是重置按钮,work是工作按钮,可以赚取JinKela,但是每次只能赚取一小部分。(除非你足够闲,一直点到所需的数量然后购买flag) 这三个按钮干不成大事,目录扫描,扫到robots.txt 查看页面备份文件 这里可以看到源码~~(本菜狗没学过Ruby,哭了)~~ 问题不大,看到了JWT,先抓个包看一下, 找到了jkl的位置,但是缺少密钥对其进行加
[SCTF2019]Flag Shop
feng的博客
03-07 1151
前言 知识点: jwt robots.txt ruby ruby的RRB注入 第一次接触ruby,学到了学到了。 WP 首先进入环境,是这样: 买flag,reset不知道干啥的,work是让钱增加一定的数量,这题肯定不可能是这样让钱够的。看一下cookie,发现好像是jwt,解码一下: jkI是存储在jwt里面的,所以这题很明显是要伪造jwt才能让钱足够来购买flag了。 这题的jwt是HS256算法,我尝试了一下无算法,弱密钥爆破等都不行,然后就GG了。 其实还是忘记了信息收集,这题存在robo
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2715
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
Buuctf之web(五)
qq_50589021的博客
12-14 7260
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
Java 反序列化洞-Apache Commons Collections3
cjdgg的博客
03-02 5007
Java 反序列化洞-Apache Commons Collections3前言javassist+TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 前言 之前已经学了CC1和CC2,接下来继续学习CC3。在CC2中我们用到了javassist修改字节码并配合TemplatesImpl攻击链来使用,因此我们很自然而然的想到,如果我们直接用javassist修改字节码并配合TemplatesImpl攻击链使用,就无需用I
PHP 原生类的利用
cjdgg的博客
04-20 4026
DASCTF做题学习-反序列化&SSTIez_serialize ez_serialize 这题直接给出了源代码,源代码也都挺简单的 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class
[网鼎杯 2020 玄武组]SSRFMe
cjdgg的博客
08-29 3982
[网鼎杯 2020 玄武组]SSRFMe 最近想学习下ssrf,就找了些文章看看找些题做做,学习的话推荐WHOAMI大佬的ssrf文章,内容全面且详细 话不多说进入这次的题目,进入网址直接给出源代码 <?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) {
Java 反序列化洞-Apache Commons Collections1-LazyMap 攻击链
cjdgg的博客
02-11 3582
Java 反序列化洞-Apache Commons Collections1-LazyMap 攻击链前言洞挖掘本地弹出POCTiedMapEntry.getValue()TiedMapEntry.toString() 前言 前面分析完了CC1的TransformedMap攻击链,但考虑到篇幅太大不利于查看,所以单独再写一篇CC1的LazyMap攻击链 洞挖掘 本地弹出POC 这条链前面的挖掘就不说了,挖掘过程可以看看上一篇文章 接下来我们看看lazymap的get方法 可以看到get方法里面调用了
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 3296
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
HONEYWELL_TPS 维护操作与故障解决指南
"HONEYWELL TPS维护规程涵盖了DCS系统的操作、维护和现场操作,旨在确保系统的稳定运行和高效管理。此规程适用于HONEYWELL TPS (Thermo Process Systems)系统,提供了技术资料下载,帮助用户深入理解并执行系统维护...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值