[GKCTF 2021]babycat

最新推荐文章于 2021-11-17 11:16:49 发布
最新推荐文章于 2021-11-17 11:16:49 发布
阅读量743 收藏 1
点赞数
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25500649/article/details/119596030
版权

这道题点开始注册登录界面,但是点击注册按钮会提示Not Allowed。

 但是查看源码会发现

 这里是直接跳出了Not Allowed,构造POST请求,通过burp发包注册一个账号。

注册成功,登录后又上传和下载两个功能,我们发现下载有一个目录穿越,尝试读取,/WEB-INF/web.xml.

 由于上传功能只有管理员可以使用它,因此可以根据xml的内容构造出,

../../WEB-INF/classes/com/web/servlet/registerServlet.class,然后下载这个class文件,查看注册的源码 。

可以使用jd-jui反编译class文件,看到源码。可以很容易就找到针对role的处理。

String var = req.getParameter("data").replaceAll(" ", "").replace("'", "\"");
    Pattern pattern = Pattern.compile("\"role\":\"(.*?)\"");
    Matcher matcher = pattern.matcher(var);
    while (matcher.find())
      role = matcher.group(); 
    if (!StringUtils.isNullOrEmpty(role)) {
      var = var.replace(role, "\"role\":\"guest\"");
      person = (Person)gson.fromJson(var, Person.class);
    } else {
      person = (Person)gson.fromJson(var, Person.class);
      person.setRole("guest");
    }

此时可以有两种方法,绕过,正则表达式中包含了

"\"role\":\"(.*?)\"",

会把所有内容进行完整匹配,但是JSON中的内联注释不会影响其解析,因此可以使用注释来破坏正则匹配,为了让其不直接走if的另外一个分支,我们还是需要让正则匹配有结果从而保证role变量有内容。JSON中键值一样的数据解析时后面的会覆盖前面的,因此可以构造如下payload

data={"username":"july", "password":"123456","role":"superuser", "role"/**/:"admin"}

可以注意到这里取得的正则匹配结果是最后一个,在可以使用注释的情况下,可以构造如下payload。

{"username":"july","password":"123456","role":"admin"/*,"role":"guest"*/}

 利用这个payload注册一个管理员账户,登陆管理员账户之后,再根据构造../../WEB-INF/classes/com/web/servlet/uploadServlet.class下载后查看上传文件的源码。

if (checkExt(ext) || checkContent(item.getInputStream())) {
    req.setAttribute("error", "upload failed");
    req.getRequestDispatcher("../WEB-INF/upload.jsp").forward(req, resp);
}
item.write(new File(uploadPath + File.separator + name + ext));
req.setAttribute("error", "upload success!");

我们看到内容检测和扩展名检测完成之后,并没有退出,而是继续保存了文件,因此我们可以尝试想../../static/下上传一句话,使用蚁剑连接即可获取flag。

 

Ushernrt
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
babycat3.github.io
02-12
babycat3.github.io
[WriteUp]GKCTF2021 babycat
feng的博客
09-03 560
前言 最近想找一点Java题做,看看CTF中的Java题都是什么样的,想到之前GKCTF里面有这么一道Java,存在非预期所以后来修复了,来做了一下学习学习。 非预期 进入环境发现有登录和注册的功能,看一下注册那里的f12知道了后端接收的方式和数据: <script type="text/javascript"> // var obj={}; // obj["username"]='test'; // obj["password"]='test'; // obj[
每日一题 [GKCTF 2021]babycat-revenge
Sapphire037的博客
11-06 779
前言 一道java web,边学边做吧。 1 开局一个登录框,我最讨厌的东西, 要登陆,那就先注册,SIGN UP,发现不允许,点进去后空白,看源码得到 就算是我这种不懂的也知道这是一个接口,bp抓登陆的包,把login改成register POST /register HTTP/1.1 Host: 94ace70a-9adf-4241-86d6-811f67d27ab0.node4.buuoj.cn:81 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x
[GKCTF 2021]babycat-revenge
cjdgg的博客
11-17 2394
[GKCTF 2021]babycat-revenge 一进入题目界面如上所示,简简单单,没法注册,登录试了下弱口令还有注入都不是,也没有什么其他页面 找不到线索就抓个包来看看 好家伙,这个注册页面的注册代码露出来了,大概意思是得传入username和password才能注册,默认是不传值所以无法使用 这里源代码显示传值得传json数据,且得是POST方式 注册成功后登录 又看到了熟悉的上传功能和下载功能,这里先抓包看看下载功能 这个包这个下载的文件路径,不用多说也知道,任意文件读取吧 这里它已经
PCA.rar_baby
09-14
"PCA.rar_baby"这个标题可能暗示了这是一个针对新手的PCA教程或资料包。 PCA的主要目标是将高维数据转换为低维空间,同时保持数据集中的方差最大。这种方法有助于减少数据复杂性,提高计算效率,并便于可视化。PCA...
amazon_baby.rar
10-11
标题中的"amazon_baby.rar"表明这是一个压缩文件,通常用于存储多个相关文件或数据集,以减少存储空间和便于传输。这种格式常见的压缩工具包括WinRAR或7-Zip。在这个案例中,它包含了名为"amazon_baby.csv"的数据...
UNCTF2021 部分wp.pdf
12-10
9. baby_rsa 在这个问题中,我们需要正好学密码学,一顿数学推导发现 p 就为 n、c 的最大公因子然后上脚本。。十六进制转字符串了。这个问题考察了我们的密码学知识和 crypto 能力。 10. 电信诈骗 在这个问题中,...
[GKCTF2021]babycat
Y4tacker的博客
07-18 1219
文章目录写在前面babycat 写在前面 是Java没错了,冲它 babycat 发现接口直接post发包注册一个号登录进去 此时我们可以看见不管怎样role都是guest,后台只有管理员有上传权限 我们需要关注如何成为admin,但是文件下载那里可以目录穿越首先读取web.xml <web-app> <servlet> <servlet-name>register</servlet-name> <servlet-class&gt
GKCTF2021 部分复现
Je3Z的博客
06-28 846
misc 0.03 用VeraCrypt加载输入密码 311223313313112122312312313311 所以我们需要真正的密码 所以说 311223313313112122312312313311应该是有意义的部分 通过扫描NTFS得到了secre.txt存在数据流 用AlternateStreamView导出 想个密码表 而且题目里多次提到3所以考虑将那堆数据按3位一组进行拆分 311 223 313 313 112 122 312 312 313 311 所有其有两种情况 得出的密码
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
GKCTF2021 X DASCTF应急挑战杯WP
mumuzi的博客
06-27 2603
签到 导出HTTP 在shell18发现cat flag并且base64 Tmpshell19就是flag 并且转ascii之后base64解码是每行翻转的base。写个脚本 num = 0x64306c455357644251306c6e51554e4a5a3046355355737764306c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154586c4
[GKCTF2020]BabyDriver
weixin_47158947的博客
08-05 609
1.用ida打开, 上面什么失败成功就不说了,但是倒数第二行的好像之前做过的maze。。看看这个********** 真的是迷宫,而且只能有一种路径,要不然flag就不一样了。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64 v3; // rdi __int64 v4; // rax int v5; // ecx __int16 *v6; // rsi __in
[GKCTF 2021]RRRRsa
weixin_51867782的博客
07-08 2959
复现[GKCTF 2021]RRRRsa 拿到题目后,准备操作,额,,, 看了看大佬的wp,恍然大悟,分享一下解题的思路。(部分题目如下) 一般看到这种像hint1的式子,都需要用gcd(,n)去分解出q或p。推导过程如下(官方题解) 推导过程需要用到二项式定理和费马定理。原理如下: 1)二项式定理: 2)费马定理:a^p = a mod p; 了解原理后,在看题解就容易多了。总结了一下: 1)拿到两个式子后,先把括号去掉,然后把常数项去掉; 2)之后得到的式子应该是俩个只含p或q的式子,让两个式子的p(
GKCTF2021-web-easycms
zji
06-27 1439
GKCTF2021-web-easycms 文章目录GKCTF2021-web-easycms一、解法1二、解法2 一、解法1 方法:任意文件下载 目录扫描 /admin.php 官方提示了,后台密码为5位数字的, 后台 demo/demo登录或者admin/12345登录。 点击:设计->导出主题->保存 随便填写保持后弹出 复制下载链接 http://a7242e8c-7eae-4593-93b8-5905a22305f8.node3.buuoj.cn/admin.php
GKCTF2021部分wp
Dream的博客
06-28 932
Misc 签到 过滤http流量,找到cat /f4g的流量,再追踪http流,可以发现末尾有一串16进制数: 拿到这串十六进制数去解码,在base64解码得到: 我们可以看到这串“==QIhM0QDN0Q”的顺序反了,由此猜测我们要把这串编码全部反着来: a="wIDIgACIgACIgAyIK0wIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMiCNoQD" b="jMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjoQDj
2021-DASCTF-三月赛-Writeup
热门推荐
末初的CSDN博客
03-29 1万+
文章目录WEBMISC签到简单的png隐写雾都孤儿小田的秘密Ascii_art问卷调查 和团队的师傅们组队拿了个第十,师傅们带飞,我就是团队的MVP(Most Vegetable People) WEB 等复现环境出来了再写 MISC 签到 公众号语音识别:异世相遇!尽享美味!安恒赛高! 见笑了,偶四南方银,藕的普通话不镖准哈哈哈~ DASCTF{welcome_to_march_dasctf} 简单的png隐写 一开始以为hint.png是伪加密,flag.jpg是真加密,结果后
2021GKCTF X DASCTF应急挑战杯部分Writeup
克格莫
06-26 2370
1.签到 尝试了一波发现是16进制的base64编码,并且base64编码被反转了。 a = 'wIDIgACIgACIgAyIK0wIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMiCNoQD' b='jMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjoQDjACIgACIgACIggDM6EDM6AjMgAzMtMDMtEjM' c='t0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt
[BUUCTF]第一天训练
Y4tacker的博客
09-29 4918
文章目录[BSidesCF 2019]Futurella[BJDCTF 2nd]duangShell反弹姿势1(未成功)反弹姿势2 [BSidesCF 2019]Futurella 好久没看过这么简单的题目了,哇哇哇 整了个火星文,看不懂查看源代码 [BJDCTF 2nd]duangShell 点进去发现是swp源码泄露 利用vim -r index.php.swp恢复文件 这里我知道了exec函数与system类似但是没有回显,所以我传入的参数girl_friend=print_r(scandir(
[gkctf 2021]babycat
最新发布
05-08
[gkctf 2021]babycat 是一道较为经典的二进制逆向题目,其中涉及到了汇编语言、反汇编、调试器等知识。这道题目的主要难点在于需要分析出程序的执行过程,并且需要针对程序特定的加密算法进行解密。 在本题中,我们需要通过调试工具分析程序的反汇编码,并且在调试器中断点处进行调试。首先,我们可以使用 objdump 工具反汇编出程序的汇编语言代码,并且了解程序的整体架构和代码逻辑。其次,我们可以通过 IDA Pro 软件对程序进行反汇编,并且找出程序中执行关键部分的具体代码段。在这里,我们需要分析出程序主要的加密算法——RC4 算法,并且找出加密解密函数。 接下来,我们需要通过调试工具来寻找程序的逆向漏洞点,并且在调试器断点处对程序进行调试。在这里,我们可以通过查看程序的内存状态和寄存器状态,来分析程序的执行流程和代码逻辑。在这里,需要注意的是程序加入了反调试机制,我们需要使用 OllyDBG 软件来绕过反调试,以便在调试器中断点处进行调试。 最后,我们需要通过程序加解密函数的分析和调试,来找出 key 的具体取值。在这里,我们需要将程序中的加密过程进行反向推导,并且根据明文和密文的关系来推出 key 值。通过以上步骤,我们可以成功解题并且获得 flag。 总之,[gkctf 2021]babycat 是一道比较有趣的二进制逆向题目,其难点在于需要对程序的加密算法进行深入分析,并且需要对程序进行逆向漏洞点的分析和绕过反调试的操作。通过这道题目的练习,能够提高我们对于汇编语言、调试器和反汇编的理解和掌握,并且能够增加我们的逆向思维和技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值