网鼎杯第三场总结(关于parse_url、JWT生成token、python注入)

最新推荐文章于 2024-07-03 18:08:32 发布
最新推荐文章于 2024-07-03 18:08:32 发布
阅读量2k 收藏 1
点赞数
文章标签: ctf php 漏洞 web安全 网鼎杯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/publicStr/article/details/83004265
版权
本文总结了网鼎杯第三场比赛中遇到的PHP parse_url函数漏洞利用方法,JWT(JSON Web Token)生成token的原理及伪造技巧,以及Python中的模板注入和类的逃逸技术。通过案例分析了如何构造payload来欺骗parse_url函数,以及如何通过JWT伪造用户身份。同时,探讨了Python中如何利用类的mro属性进行文件操作。
摘要由CSDN通过智能技术生成

例行说明:

    比赛过去很久了,才勉强有精力总结一下用到的知识点,主要是关于wp中一笔带过,讲的比较模糊的三个方面总结下。

 

0x01 comein题目关于parse_url函数漏洞(其实只是使用不当)

题目:

ini_set("display_errors",0);
$uri = $_SERVER['REQUEST_URI'];
if(stripos($uri,".")){
    die("Unkonw URI.");
}
if(!parse_url($uri,PHP_URL_HOST)){
    $uri = "http://".$_SERVER['REMOTE_ADDR'].$_SERVER['REQUEST_URI'];
}
$host = parse_url($uri,PHP_URL_HOST);
if($host === "c7f.zhuque.com"){
    setcookie("AuthFlag","flag{*******");

1、先检测如果uri中 if(stripos($uri,".")) 就会结束,本意应该是不希望uri中出现点字符,但点在第0号位时,stripos函数返回值是0,if(0)不成立,就绕过了。。

2、第二个if是判断若这个uri不是个url,那么给它加上http://还有host还有uri,拼成一个url

3、用parse_url函数获取第二步拼接后$uri的Host,并判断是否等于特定值。

 

问题来了,怎么骗过parse_url函数,通过可控的uri部分,让整个被转换后识别出特定的host?

http://127.0.0.1/index.php 

红色部分是可更改的uri,且第一个字符一定要是. 不然一开始就die了

 

(注意:改uri在burpsuite中改,不要在浏览器地址栏改,浏览器会把你的../自动忽略,可能有莫名bug)

我们先遵守第一条原则࿰

最低0.47元/天 解锁文章
publicStr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网鼎杯-第三场-杂项-track_hacker
08-28
2018年8月28日···网鼎杯-第三场-杂项-track_hacker
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向题-babyre
揭秘JWT:从CTF实战到Web开发,py使用JWT令牌验证
最新发布
xt350488的博客
07-03 1114
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络上安全地传输信息。这种信息可以验证和信任,因为它是数字签名的。JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。:服务器不需要保存会话信息,减轻了服务器负担。:易于在分布式系统中使用,支持跨域身份验证。:通过数字签名确保信息的完整性和来源可信。:由于包含头部、负载和签名,JWT的大小可能相对较大。:每次请求都需要验证JWT,可能会增加服务器的处理时间。
网鼎杯-第三场-加解密-hafuhafu正确版
08-27
2018年8月27日网鼎杯|第三场|加解密
Python简单处理SQL语句绕过防注入
weixin_33816300的博客
09-12 110
1, #!/usr/bin/python # -*- coding: utf-8 -*- def sqlencode(sql,do): if(do == "+"): sqlend = sql.replace(" ","+")#"+".join(sql) elif(do == "*"): sqlend = sql.r...
[N1CTF 2018]eating_cms parse_url函数漏洞
qq_54929891的博客
05-14 513
进入就是一个登陆界面,随便输入一个账号密码抓包看看 发现有数据库语句,便试试万能密码 1'or'1'='1'# 发现被过滤了,一般这种题有个register.php和一个地方可以读取到源码的,我们要寻找试试 发现有注册界面,注册登陆一下 发现进入一个user.php页面,翻一下没有跟我们输入有关的回显,我们关注到有个page参数,不知道可不可以帮助我们读取到源码,直接伪协议试试 ?page=php://filter/read=convert.base64-encode/res..
php使用parse_urlparse_str解析URL
10-24
`parse_url` 和 `parse_str` 是 PHP 中用于解析 URLURL 查询字符串的两个关键函数。它们在处理 URL 相关的数据时非常有用,尤其是在构建和解析 Web 服务请求或者配置连接参数时。 `parse_url` 函数的主要任务是...
php使用parse_url()对网址进行解析的实现代码(parse_url详解)
10-28
函数原型为mixed parse_url ( string $url [, int $component = -1 ] ),其中第一个参数url是需要解析的URL字符串,第二个可选参数$component是用于返回特定组成部分的值,其默认值为-1表示返回全部组成部分。...
浅谈PHP解析URL函数parse_urlparse_str
12-19
`parse_url` 和 `parse_str` 是两个非常有用的内置函数,分别用于解析URL的不同方面。 `parse_url` 函数用于将URL分解为其组成部分,返回一个关联数组。这个函数并不检查URL的合法性,而是尽可能正确地解析它。`...
从HFCTF学习JWT伪造
蚁景网安学院
04-23 1204
刚打完比赛,来总结
php parse uri,php parse_url()函数的漏洞 · C1imber’s Blog
weixin_34352633的博客
03-27 777
ctf比赛中经常遇到的一个知识点,记录一下,由于parse_url函数在解析url时存在的bug导致在某些情况下可以绕过正则的过滤来看代码
网鼎杯-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎杯-第三场-逆向-simpleSMC-------
PHP编码安全之四: URL跳转安全(漏洞)
aben_sky的专栏
06-16 2151
URL跳转漏洞, 也叫开放重定向漏洞(open redirect)。 如果处理不当会导致用户被重定向至钓鱼或恶意网站。我们通常用白名单机制来处理,比如qq登录等接口的...
网鼎杯第三场wp
weixin_30477293的博客
08-27 991
晚上十点更新 十点:https://www.o2oxy.cn/1753.html 转载于:https://www.cnblogs.com/liang2580/p/9543706.html
php 使用$_SERVER["REQUEST_URI"]获取url中含中文乱码的解决办法
ougexingfuba的博客
08-31 2927
$request_uri = $_SERVER["REQUEST_URI"];//获取当前页url var_dump(urldecode($request_uri)); 中文等自动urlencode了.所以用urldecode($_SERVER['REQUEST_URI'])就转回来了
2018年8月27 w3school html
_43025578的博客
08-28 182
HTML是网页内容的加载。内容是网页制作者放在页面上想要让用户浏览的信息。 CSS样式是表现。像网页的外衣,这些用来改变内容外观的东西称为表现。 JavaScript是用来实现网页上的特效效果。 学习标签要注意标签的用途,标签在浏览器中的默认样式 语义化:(明白每个标签的用途)的好处 1. 更容易被搜索引擎收录 2. 更容易让屏幕阅读器读出网页内...
parse_url小结
weixin_30305735的博客
07-05 637
本篇文章对parse_url进行一个小结 0x01:parse_url $url = "/baidu.com:80"; $url1 = "/baidu.com:80a"; $url2 = "//pupiles.com/about:1234"; $url3 = "//baidu.com:80a"; var_dump(parse_url($url)); var_dump(pa...
phpparse_url绕过
weixin_30338481的博客
09-23 1205
举例传入url的值为http://www.bilibili.com\@dl01.rong360.com/dl/rong360-c_seo_rapp_ask-release.apk 此时通过parse_url解析出来的host为dl01.rong360.com,通过匹配,发现在白名单中 但是,浏览器访问此url:http://www.bilibili.com\@dl01.rong360...
parse_url用法和一些参数说明
天步的博客
03-09 9328
parse_url(1,2) 参数1是一个完整的URL,如果不完整,函数会模糊补全,必填。 参数2是一个大写参数变量,直接获取结果集的某一部分,非必填。 示例: $url = "http://www.baidu.com/suning?v=1&k=2#id";  $parts = parse_url($url);  = "http://www.baidu.com/suning?v=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值