第二届帕鲁杯【parloo杯】Web WriteUp

已于 2025-05-19 16:23:36 修改
阅读量744 收藏 10
点赞数 15
分类专栏: CTF-WEB 文章标签: 网络安全 web安全
于 2025-05-19 15:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/giaogiaohuohua/article/details/148055593
版权

一、前言

好久没打ctf了,帕鲁杯第二届来了,应急响应环境需要70G,燃尽了,应急响应不打了,所以来看看Web题目。
在这里插入图片描述

二、解题过程

1、CatBank解题思路

第一步,启动题目环境,分别创建test1和test2两个账户
第二步,登陆test账户,直接向test2账户转账1000000
在这里插入图片描述
第三步,登陆test2账户,向Morscerta的猫猫转账1000000,得到flag
在这里插入图片描述

2、猫猫的秘密解题思路

第一步,启动题目环境,查看网页源码,发现如下js代码,从代码中得知存在get_secret接口,同时需要Authorization进行认证,Authorization一些常见的认证授权方案如:Basic认证、Digest认证、Beare认证、JWT认证等,经过测试这里为JWT认证

<script>
        let token = '';
        
        document.getElementById('loginBtn').addEventListener('click', async () => {
            const username = document.getElementById('username').value;
            const password = document.getElementById('password').value;
            
            try {
                const response = await fetch('/login', {
                    method: 'POST',
                    headers: {
                        'Content-Type': 'application/json'
                    },
                    body: JSON.stringify({ username, password })
                });
                
                const data = await response.json();
                
                if (response.ok) {
                    token = data.token;
                    document.getElementById('loginResult').textContent = `登录成功: ${data.message}`;
                    document.getElementById('loginResult').classList.remove('hidden');
                    document.getElementById('loginSection').classList.add('hidden');
                    document.getElementById('secretSection').classList.remove('hidden');
                } else {
                    document.getElementById('loginResult').textContent = `错误: ${data.error}`;
                    document.getElementById('loginResult').classList.remove('hidden');
                }
            } catch (error) {
                document.getElementById('loginResult').textContent = `发生错误: ${error.message}`;
                document.getElementById('loginResult').classList.remove('hidden');
            }
        });
        
        document.getElementById('getSecretBtn').addEventListener('click', async () => {
            try {
                const response = await fetch('/get_secret', {
                    method: 'GET',
                    headers: {
                        'Authorization': token
                    }
                });
                
                const data = await response.json();
                
                if (response.ok) {
                    let resultText = `${data.message}\n\n`;
                    
                    if (data.public) {
                        resultText += `${data.public}\n\n`;
                    }
                    
                    if (data.confidential) {
                        resultText += `猫猫信息: ${data.confidential}\n\n`;
                    }
                    
                    if (data.flag) {
                        resultText += `Flag: ${data.flag}`;
                    }
                    
                    document.getElementById('secretResult').textContent = resultText;
                } else {
                    document.getElementById('secretResult').textContent = `错误: ${data.error}`;
                }
                
                document.getElementById('secretResult').classList.remove('hidden');
            } catch (error) {
                document.getElementById('secretResult').textContent = `发生错误: ${error.message}`;
                document.getElementById('secretResult').classList.remove('hidden');
            }
        });
        
        document.getElementById('logoutBtn').addEventListener('click', () => {
            token = '';
            document.getElementById('username').value = '';
            document.getElementById('password').value = '';
            document.getElementById('loginResult').classList.add('hidden');
            document.getElementById('secretResult').classList.add('hidden');
            document.getElementById('secretSection').classList.add('hidden');
            document.getElementById('loginSection').classList.remove('hidden');
        });
    </script>

在这里插入图片描述
第二步,发现报错“Invalid token: Invalid algorithm”,意思是说jwt的算法无效,jwt算法存在漏洞CVE-2015-9235,可以将header中签名算法改为none进行绕过
在这里插入图片描述
在这里插入图片描述
第三步,这里已经成功利用了漏洞,并且或得到了public数据,但是距离获得flag还差一步,既然是public那就是公共的,猜测可能是权限不够高,于是尝试构造jwt的payload部分,和权限相关的常见字符串如:role,account,isAdmin等,这里发现是role,于是构造jwt的payload部分如下所示,成功得到flag
在这里插入图片描述

3、CatNet解题思路

第一步,启动题目环境,使用dirsearch可以直接扫描出admin目录
在这里插入图片描述
第二步,访问admin目录发现无权限,并且提示只有本地可以访问,显而易见是xff伪造
在这里插入图片描述
在这里插入图片描述
第三步,点击Get Flag功能出线报错,报错提示同样需要xff伪造
在这里插入图片描述
在这里插入图片描述
第四步,xff伪造之后又提示Incorrect code,查看网页源码发现如下js代码,大概意思就是点击getflag功能会调用/admin/flag接口,同时设置请求头X-Internal-Auth: cateye-internal-000,根据提示Incorrect code猜测不是000
在这里插入图片描述
第五步,截取数据包,利用burp进行爆破,得到正确code为123
在这里插入图片描述

4、ezblog解题思路

第一步,启动题目环境,下载题目附件,使用反编译工具审计代码,在dashboard.class中有一个backdoor路由,realkey是不知道的,想要得到flag就必须得知道realkey
在这里插入图片描述
第二步,继续审计App.class文件,App.class中路由了一个/assets,FileStaticRepository设置了基础目录/app/assets
在这里插入图片描述
第三步,从App.class跟踪到FileStaticRepository.class文件,代码如图所示,这里的relativePath是一个可控参数,solon框架中这个参数是通过url路径传输过来的,relativePath就是/assets/后面的内容,如果构造恶意payload在url中表现为:http://x.x.x.x/assets/…/etc/passwd
在这里插入图片描述
第四步,在App.class中提到了基础目录为/app/assets,再结合backdoor中需要知道realkey,所以猜测/app目录下可能存在真实的app.jar,于是构造payload为:/assets/…/app.jar,这里需要注意,直接在url中访问会一直跳转,所以这里用burp截包forward之后下载,如下图所示
在这里插入图片描述
在这里插入图片描述
第五步,利用反编译工具打开下载后的app.jar得到realkey,利用realkey成功得到flag
在这里插入图片描述
在这里插入图片描述

5、catshell解题思路

太难了,我最讨厌绕过waf😄

[第一届 帕鲁 CTF挑战赛 2024] Crypto/PWN/Reverse
weixin_52640415的博客
04-22 2787
最大不可能K=mp+nq=phi-1 LCG样式a=2,b=0,有限域一元二次多项式求解 HGCD p|q,p&q分解n
2024第一届帕鲁应急响应挑战赛-Writeup
qq_58833765的博客
04-22 3344
直接开始解密发现这是一条付费记录(话不多说直接购买),没办法,只能遍历md5看能不能碰运气,最后发现文件名就是他的md5值的前半段。登录PC02查看到很多非系统用户,除去公司员工用户(中文名),系统用户,判断其余用户可能为恶意用户。通过堡垒机查看webserver会话记录分析,该ip请求繁多,时间段较长,分析可能为攻击ip。直接把附件exe拖到ida分析动态调试,下断点,看验证码,直接把验证改了,基操,ez~通过查看堡垒机会话记录的监控,查看攻击者视角,得出钓鱼文件。
第二届 N1CTF Junior WEB方向 部分题解WP
Jay17的博客
02-05 1375
第二届 N1CTF Junior WEB方向 部分题解WP
第一届帕鲁应急响应模块说明
m0_74025111的博客
04-22 2389
这趟旅程的目的是遍访我们的信息系统每一个角落,探寻隐藏在暗处的风险海怪,提升船员们对数据宝藏的守护意识,确保我们的珍贵资讯宝藏不被外界窥见,不受损害,随时准备发挥其价值。你和你的团队,作为这次探险的领航员,将借助先进的应急响应罗盘,对我们的内部信息航道进行全域的安全梳理。从网络的海洋到系统的天空,从数据库的深渊到应用的岛屿,无一处不在你们的巡航范围之 内。向着更安全的港湾,全速前进。3.在打开的“导入虚拟机”中输入正确的主机名,选择空间充足的存储路径,点击 “导入”完成导入 操作。
[wp]第一届 “帕鲁“ --应急响应
m0_63138919的博客
05-09 3062
[wp]第一届 "帕鲁" --应急响应
【WP】第一届 “帕鲁“ - CTF挑战赛 Web 全解
m0_63138919的博客
05-06 1796
【WP】第一届 "帕鲁" - CTF挑战赛 Web 全解
帕鲁应急响应靶机WP【02】
sjh0590的博客
10-18 549
帕鲁应急响应WP
帕鲁应急响应的题目——个人的
WTT001的博客
05-13 588
md5(端口)]:[d4a973e303ec37692cc8923e3148eef7][堡垒机中flag标签的值]:[BrYeaVj54009rDIZzu4O]提交攻击者留在Web服务器上的恶意程序的32位小写md5值。反序列化的漏洞,端口是8080,也就是提交8080MD5的值。找到JumpServer堡垒机中flag标签的值。提交存在反序列化漏洞的端口。提交攻击者第一次登录时间。提交攻者使用的cve编号。
【护网急训2】帕鲁应急响应靶场
persist213的博客
06-12 923
除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。
第一届“帕鲁”应急响应wp
jnszstmei的博客
10-13 2510
帕鲁应急响应是我做过的第一个模拟真实生产场景的应急响应题目,以往做过的都是单个靶机,这一次首次挑战具有拓扑网络结构的应急响应题,更考验综合能力以及对于各个系统的应急响应,所以写下这篇wp以作记录,下面是对于该题的描述其网络拓扑结构如下所示其相关资产情况如下所示。
第一届帕鲁”应急响应“解析-上部分
chinese_cabbage0的博客
12-01 1133
帕鲁应急响应的详细解析,小白也能看懂的wp
第一届 _帕鲁_ - CTF挑战赛
Fab1an的博客
04-22 1178
使用脚本将ASCII字符转换为文本字符串。
帕鲁-应急响应wp
最新发布
qq_42421872的博客
12-11 1140
我们访问zabbix(http://192.168.20.123:9002/zabbix/),由于没有给我们账号密码,我们去百度找一下默认密码去。我们重新返回jumpServer中,我们去审计台中的会话审计-文件传输,看到了他上传了一共palu-python-flask.tar。我们回到JumpServer,然后在控制台-资产管理中的pc02,然后看命令记录,我们发现他用了注册表。我们看到有一个upload.zip,我们返回到雷池中,从站点防护中看到了有这个文件。
第一届 “帕鲁writeup
mumuzi的博客
04-22 8836
第一届 "帕鲁" - CTF挑战赛writeup(50道应急响应+5道misc+1cry1web
第一届帕鲁应急响应题目
m0_74025111的博客
04-22 1825
题目要求:提交攻击者留在Web服务器上的恶意程序的32位小写md5值。题目要求:请提交运维服务器上的恶意文件md5(小写32位md5值)。题目要求:提交攻击者在监控服务器上留下的dcnlog地址。提交格式: [2024/00/00/00:00:00]题目要求:请提交该计算机中记录的重要联系人的家庭住址。提交格式:[2024/00/00/00:00:00]提交格式:[2024/00/00/00:00:00]题目要求:提交监控服务器上恶意用户的上一次登录时间。题目要求:提交攻击者反弹shell使用的语言。
第一届“帕鲁” MSIC 350×350 writeup
z2395602929的博客
04-26 604
帕鲁中Msic 350×350题目的详细解题思路+配套源代码及所需工具
应急响应题目解题和思路
2403_85472272的博客
06-04 2422
在这次的帕鲁中学习到好多新的知识,感谢我队KissMyGirl的队友,荣获二等奖
CTF第二阶段赛后总结】
cmy5201314cg的博客
04-19 1775
在参加CTF第二阶段的比赛中,团队成员需要特别注意难点和送分点,充分了解等赛制和题目要求,提高对漏洞的感知能力和应用安全的相关技能,对比赛中潜在的风险和安全隐患进行预测和处理,并尽快采取改进和解决方案,以达到更高的安全防护效果。同时,比赛还需在时间管理和团队外部因素等多方面进行规划和适应,积极应对各种安全挑战和实践难点,全力以赴为团队争得优异的成绩!
帕鲁350x350wp
LongL_GuYu的博客
05-05 433
帕鲁杂项350x350解题过程,共有三层嵌套。解题过程中多次使用工具:[随波逐流]CTF编码工具 V5.7下载链接:链接:https://pan.baidu.com/s/1H-O10q93ucuOMuykhh7Gjw?pwd=6666。
帕鲁 ctf baidu
06-17
<< "帕鲁"(Paru Cup)是中国著名的网络安全技术比赛之一,由百度主办,CTF(Capture The Flag)全称“夺旗赛”,是一种模拟真实世界黑客攻击和防御的竞赛,参与者需要运用各种计算机安全技能,包括密码学、逆向工程、漏洞利用、取证分析等,来解决一系列信息安全挑战。 在"帕鲁 CTF Baidu"中,参赛者通常组成队伍,通过在线平台进行比赛,解决一系列网络安全题目,涉及面广泛,旨在提升参赛者的实战能力和安全意识。这类比赛不仅考验选手的技术实力,也强调团队协作和策略规划。通过这样的活动,参赛者能够学习到最新的网络安全技术和最佳实践,同时也有机会接触到业内的最新动态和发展趋势。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值