D3CTF 8-bit解题详解

最新推荐文章于 2023-04-26 20:18:30 发布
原创 最新推荐文章于 2023-04-26 20:18:30 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #nodejs

本文详细讲述了在D3CTF挑战中,从最初误判的模板注入转向SQL注入,进而深入研究`express-session`的使用,发现session文件的可控性,并通过构造特定的sessionId实现远程代码执行(RCE)。在过程中,作者利用nodemailer模块中的漏洞,结合GitHub资源,最终成功读取到flag,但因题目缺少渲染环节而未能直接完成攻击。

8-bit pub

(在模板注入的路上莽了一整天,然后发现不是模板注入23333333)

尝试SQL注入,猜测后台sql语句

select * from user where username='xxx' and password='xxx';

一系列操作后没有结果

在这里插入图片描述

源码中调用了这个模块

node.js中 express-session的安装使用及session的持久化

express-session中的resave和saveUninitialized

express+session实现简易身份认证

然后我找到了这个文章

在这里插入图片描述

对比题目的session后,发现和文章的很相似

s%3AK8ZDDh7btfy5iCYOqDDIiBTvI2jPY_5l.TipHczw%2BtyDr%2FUPVusz6CeIk2dY0TFiyGvydM3dJo38

本地测试一下

var express=require('express');/*引入*/
var app=new express();/*实例化*/
var session = require("express-session");//引入中间件
var FileStore = require('session-file-store')(session);
const http = require("http");

var identityKey = 'skey';
app.use(session({
    name: identityKey,
    secret: 'chyingp',  // 用来对session id相关的cookie进行签名
    store: new FileStore(),  // 本地存储session(文本文件,也可以选择其他store,比如redis的)
    saveUninitialized: false,  // 是否自动保存未初始化的会话,建议false
    resave: false,  // 是否每次都重新保存会话,建议false
    cookie: {
        maxAge: 10 * 1000000  // 有效期,单位是毫秒
    }
}));
app.get('/', function (req, res){ 
	if (req.session.userinfo){
		res.send('Hello World!你好!欢迎'+req.session.userinfo+'回来!'); 
	}else{
		res.send('未登录!'); 
	}
});
app.get('/login', function (req, res){ 
	req.session.userinfo="Tom";//设置session
	res.send('登录成功!'); 
});
const port = process.env.PORT || "3000"
const server = http.createServer(app);
server.listen(port);

生成一个文件

cookie:
s%3A_3wTBmlBQ0BPyCRJs5V57t3tdg7qU-9Z.fCBncBDiBxKjEkcUDQQ8p1iUDCWuQq%2FRM6N4WDtXNe0; name=s%3ArC79tK9qJgzwzwVX8mlH2tFfTtjxrt3E.9PtVQ6MtJs0C1ZBZddeMmDMWGaJQiAVR2bL%2F6CJNAtA
文件名:
8EnYwNEhfAS-yPWP_SRLf-b-ZzWoI5ea.json
内容:
{"cookie":{"originalMaxAge":10000000,"expires":"2021-03-06T05:07:20.355Z","httpOnly":true,"path":"/"},"userinfo":"Tom","__lastAccess":1614997240355}

cookie:
s%3A_3wTBmlBQ0BPyCRJs5V57t3tdg7qU-9Z.fCBncBDiBxKjEkcUDQQ8p1iUDCWuQq%2FRM6N4WDtXNe0; name=s%3A8EnYwNEhfAS-yPWP_SRLf-b-ZzWoI5ea.frf6iPXZitbz21A4K4pLUYIVQc12UzX42gSTMYLjbAM
文件名:
WF33GSNvkdoCTS6OxV060ruY8M6flHYQ.json
内容:
{"cookie":{"originalMaxAge":10000000,"expires":"2021-03-06T05:08:43.966Z","httpOnly":true,"path":"/"},"userinfo":"Tom","__lastAccess":16
最低0.47元/天 解锁文章
D3CTF 2022 d3fuse
weixin_46483787的博客
03-12 563
首先来了解一下什么是fuse 简而言之就是一个二进制文件,但是运行起来之后实现了一个文件系统的功能。 然后我们看题目给的二进制文件: main_real函数的参数ida没有很好的翻译出来,我们看一下源码: 可以看到第三个参数是operation,这里直接放重命名好的: 到这里我们大概摸清了程序功能,其实就是通过这样一个函数表,起了一个用户态文件系统,在文件系统中对文件的各项操作都是由这些函数来实现的。 需要在这些函数中找漏洞 来看rename函数: 这个函数可以和mv file1 file2这个指
MRCTF 2021 8bit adventure
weixin_45966329的博客
04-14 391
MRCTF 2021 8bit adventure 程序大概的意思是只能用一个字节的汇编语句进行orw 要注意的是程序中使用了close(0),使用使用open系统调用时返回的文件描述符应该是0 懂汇编就会做 from pwn import * context(os='linux', arch='x86',log_level='debug') io=process("adventure") # ebx,ecx,edx # open 利用自加和自减控制寄存器的值,利用push和pop 还有修改esp 在栈上
D3ctf-D3MUG(u3d
weixin_52369224的博客
03-08 5047
第一次遇到u3d,寄! 用ilcppdumper dump出dll文件 选择运行Il2CppDumper.exe并依次选择il2cpp.so的可执行文件和global-metadata.dat文件 dump出的dll文件在DummyDll里面。 ⽤dnspy查看AssemblyCSharp.dll,定位到关键函数GameManager.NoteHit 然后用ida打开lib2cpp.so文件 运行我们ilcppdumper里面的ida_py3脚本。然后再点击script.json 然
Nodejs ctf 基础
qq_61768489的博客
07-23 2252
总结数字与字符串比较时,会优先将纯数字型字符串转为数字之后再进行比较;而字符串与字符串比较时,会将字符串的第一个字符转为ASCII码之后再进行比较,因此就会出现第五行代码的这种情况;总结空数组之间比较永远为false,数组之间比较只比较数组间的第一个值,对第一个值采用前面总结的比较方法,数组与非数值型字符串比较,数组永远小于非数值型字符串;数组与数值型字符串比较,取第一个之后按前面总结的方法进行比较。应该执行eval()函数,可以执行js代码,那么就可以执行系统命令了。依旧是get传eval。...
CTFSHOW-nodejs
m0_74456293的博客
04-17 734
CTFSHOW-nodejs
d3ctf_easyQuantum
03-13
easyQuantum cap.pcapng用Wireshark打开,清晰可见的TCP的三次握手和四次挥手: 因此需要仔细分析中间的数据传输过程。 注意到某些数据包内有“ numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。 又注意到有固定的头部数据: 而pickle序列化时也有固定的头部数据(协议版本4.0): 于是尝试利用pickle进行反序列化。示例如下: import pyshark import pickle cap = pyshark . FileCapture ( 'cap.pcapng' ) test_pack = cap [ 3 ] data = test_pack . data . data . binary_value deserialized = pickle . loads ( data ) print ( deserialized ) 得
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
ctf-all-in-one
01-30
ctf-all-in-one
### CTF-All-In-One 超全学习文档资料
最新发布
04-13
文档首先介绍了CTF的概念及其发展历史,解释了CTF比赛的形式和规则,包括解题模式、攻防模式和混合模式。接着详细阐述了CTF中常见的题型,如逆向工程(Reverse)、漏洞利用(Pwn)、Web安全、密码学(Crypto)、杂项...
D3CTF2021-d3dev
11-05
附件
D^3CTF2022 Crypto 复现
qq_41626232的博客
04-26 890
没什么师傅出后面题的wp什么的,题目质量确实高。
express.js-ctf:用express.js编写的CTF挑战
05-04
express.js-ctf 智力,技能等方面的测试。
d3ctf_2019_ezfile(文件流fileno的巧妙利用)
seaaseesa的博客
06-11 1162
d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能存在UAF 程序里使用的是write输出,因此劫持IO_2_1_stdout泄露不了数据。 Add功能的size固定 Encrypt功能存在栈溢出 程序一开头有一个这个 我们可以利用堆漏洞劫持IO_2_1_stdin,将里面的fileno改为3,然后利用encrypt功能里的栈溢出,采用低字节覆盖法,将返回地址覆盖到此处 .
D3CTF2021-non-RCE
feng的博客
03-07 4420
non-RCE 前言 去年D3CTF的题目,最近刚复现完国赛的那道Java,感觉出题的思路也是魔改的这题,所以来复现一下这题。 password绕过 不谈代码了,因为审完之后思路还是比较清晰的,就是利用JDBC对AsjpectJWeaver反序列化写文件到classpath然后反序列化rce。 第一重过滤是这个: public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterCha
2022-03-09
m0_57291352的博客
03-09 492
d3factor (来源:AntCTF & Dˆ3CTF 2022) from Crypto.Util.number import bytes_to_long, getPrime from secret import msg from sympy import nextprime from gmpy2 import invert from hashlib import md5 flag = 'd3ctf{'+md5(msg).hexdigest()+'}' p = getPrime(256) q
AntCTF x D^3CTF MISC部分Writeup
末初 · mochu7
03-08 1809
文章目录BadW3terWannaWacca BadW3ter 附件是wav,但是文件头有点问题,对比一下正常的wav即可发现前十六个字节被修改了 第一行的内容猜测也是个有用的线索: CUY1nw31lai 修改前十六个进制正常的wav文件头 然后测试几个常见的wav文件隐写:SilentEye、Deepsound等 稍微测试一下发现是DeepSound 输入前面的到线索作为密码。得到flag.png file识别文件发现flag.png是TIFF文件 PS可以选择打开TIFF文件 首先有两
D^3CTF MISC复现
qq_49422880的博客
04-04 876
D^3CTF MISC复现BadW3terWannaWacca BadW3ter 打开WAV文件发现文件头出现异常,好像是一段特殊的字符。 CUY1nw31lai 这个可能是之后的隐写密码,并且修改为正确的WAV文件头。 前十五个文件字节为:52494646C456E80057415645666D7420 然后测试几个常见的wav文件隐写:SilentEye、Deepsound 稍微测试一下发现是DeepSound。 导出的flag.png里面没有flag。继续查看这里面的东西。 使用010查
补档:D^3CTF 2021 - Misc - Robust WriteUp
weixin_44911246的博客
08-15 924
“Robust”意为“鲁棒性”。 打开cap.pcapng,发现都是QUIC协议的数据包。结合提供的firefox.log(即使用firefox浏览器访问时生成的SSL Key Log)可以想到基于QUIC协议且强制使用TLS 1.3的HTTP3。 导入SSL Key Log: 清晰可见HTTP3数据包。利用过滤器过滤出所有HTTP3数据包,然后从头查看: http3 可以明显看出,642号包之前的部分是在载入网页和JavaScript脚本。在第642号包处可以发现一个m3u8 playlist:
补档:D^3CTF 2021 - Misc - easyQuantum WriteUp
weixin_44911246的博客
08-15 456
cap.pcapng用Wireshark打开,清晰可见TCP的三次握手和四次挥手: 于是需要仔细分析中间的数据传输过程。 注意到某些数据包内有“numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。 又注意到有固定的头部数据: 而pickle序列化时也有固定的头部数据(协议版本4.0): 于是尝试利用pickle进行反序列化。示例如下: import pyshark import pickle cap = pyshark.FileCapture('cap.pcapng') t
WeCTF 2021源代码解析及CTF Write-Up指南
- ctf: 标签表明该资源是与CTF相关的,可能包含比赛的write-up(解题过程)、挑战题目、源代码等。 - ctf-writeup: 这个标签可能指向一个或多个参赛者在比赛后的技术分享文章,这些文章将介绍参赛者如何解决特定的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值