ctfshow-菜狗杯-抽老婆

最新推荐文章于 2024-08-11 12:30:00 发布
最新推荐文章于 2024-08-11 12:30:00 发布
阅读量429 收藏 1
点赞数
分类专栏: 刷题笔记 文章标签: 经验分享 web安全 php flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/129971740
版权

参考博客:CTFSHOW 菜狗杯--WEB_LZ_KaiHuang的博客-CSDN博客

ctfshow-菜狗杯-抽老婆_Don't know的博客-CSDN博客

打开环境后发现是一个图片下载,看了页面源代码,发现有一处标注,看到下载的路径就敏感起来

 

尝试读取flag,发现被过滤

 

再输入随意的图片名称呢?666.jpg,发现没有过滤了,而且在报错中爆出一些路径

 

 有一些路径,看到app.py,猜测有app.py的泄露,这是网站源文件, download?file=../../app/app.py下载下来先看看

发现是python 的flask,在源码里面发现最后有一个/secret_path_U_never_know路径,用get传参条件判断session['isadmin']为真,即可返回flag字段。直接访问看看  

 

发现和源码说的一样需要身份验证

查询后发现flask中的session伪造,代码只需要让session中的isadmin为真就可,这个用的是JWT方式认证,里面签名要用到SECRET_KEY;将isadmin的值更改后,使用密钥SECRET_KEY重新加密生成一个session。

下面是引用大佬的一个解释

这里cookie中的session使用了jwt加密,这里对jwt的知识点做一个补充:

JWT全称是JSON Web Token是一个开放标准(RFC 7519),目前最流行的跨域身份验证解决方案。它定义了一种经过加密的格式,放在json对象在请求中传递,用于验证请求是否被允许访问。

JSON Web Token由三部分组成,它们之间用.连接。 * Header 头部* Payload 负载* Signature 签名

Header 部分用Base64URL解密后是一个JSON对象,主要描述了签名的算法和令牌类型。
{ "alg": "HS256", "typ": "JWT" }

Payload 部分同样也是一个JSON对象,它包含Claim。
Claim中存的就是这些字段,有三种类型:
Registered claims 预定义的声明
Public claims 公开声明
Private claims 私有声明

JWT 规定了7个Registered claims
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

Signature
Signature 部分是对前两部分的签名,用来防止数据篡改。
服务端指定密钥(secret),使用Header指定的签名算法,用转码后的JWT串产生签名。

jwt加密后,会生成三段以.分割的字符串,解码可以还原到加密前的三部分,我们可以由此入手,伪造能符合验证通过的session值。

我们对抓包到的session值进行jwt解码后得到    "isadmin":=false   如果让它为ture,就可以获得cookie了

通过源码,我们知道app.config['SECRET_KEY'] = 'tanji_is_A_boy_Yooooooooooooooooooooo!'其中tanji_is_A_boy_Yooooooooooooooooooooo!就是key

 

利用一个开源脚本自动生成,使用脚本进行重新加密:开始构造头,使isadmin为ture

{
  "current_wifi": "1c47df4e32edfd634effcc43c1bf3ab7.jpg",
  "isadmin": Ture
}

运行脚本
python flask_session_cookie_manager3.py encode -s "tanji_is_A_boy_Yooooooooooooooooooooo!" -t "{'current_wifi': '1c47df4e32edfd634effcc43c1bf3ab7.jpg', 'isadmin': True}"

生成了伪造的jwt加密后的session

eyJjdXJyZW50X3dpZmkiOiIxYzQ3ZGY0ZTMyZWRmZDYzNGVmZmNjNDNjMWJmM2FiNy5qcGciLCJpc2FkbWluIjp0cnVlfQ.ZC6syw.Josp6V3pjiP3t3oE_bTWsyYb1Yg

 把这个session替换bp中原来的值,即可获得flag了

 

0e1G7
关注
专栏目录
CTFshow-菜狗杯-flask session伪造-老婆
qq_31415417的博客
01-02 1465
CTFshow-菜狗杯-flask session伪造-老婆
CTFshow-菜狗杯-Crypto-签到-Caesar-0x36d-类型7
qq_31415417的博客
03-02 1147
CTFshow-菜狗杯-Crypto-签到-Caesar-0x36d-类型7
CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)
最新发布
Karka_的博客
08-11 790
废话不多话开启你们的旅程吧 这个也是我这几天才看 一些见解和思路分享给你们希望你们在旅途中玩的开心,学的开心✌( •̀ ω •́ )y。
CTFshow 菜狗杯老婆解题思路和流程
weixin_58052886的博客
06-13 727
CTFshow 菜狗杯老婆解题思路和流程
ctfshow 菜狗杯 老婆 wp
arcuied
11-29 461
ctfshow 菜狗杯 老婆 wp
ctfshow(菜狗杯
qq_62046696的博客
11-28 5839
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow-菜狗杯-WEB-wp
F1rstb100d
11-14 1378
ctfshow-菜狗杯-WEB-wp
CTFshow-菜狗杯-算力超群-算力升级-无一幸免FIXED
qq_31415417的博客
02-27 1456
CTFshow-菜狗杯-算力超群-算力升级-无一幸免FIXED
CTFshow-菜狗杯-传说之下(雾)-easyPytHon_P
qq_31415417的博客
02-16 1159
CTFshow-菜狗杯-传说之下(雾)-easyPytHon_P
CTF秀--菜狗杯
m0_59022585的博客
07-09 2973
再使$_REQUEST[$_GET[$_POST[$_COOKIE['CTFshow-QQ群:']]]][6][0][7][5][8][0][9][4][4]=system("cat /f*"),查看f开头的文件内容。令_GET=a,则有:$key=_GET,$value=a,有:$$key=$_GET=$$value=$a,可知使用GET传入_GET=flag可以得到flag。令cookie中传入CTFshow-QQ群:=a,则有$_POST['a'],令post中传入a=b,则有$_GET['b']。
【CTFSHOW——菜狗杯
asmartrman的博客
02-19 602
CTFSHOW——菜狗杯题解(更新中)
CTFshow-菜狗杯-LSB探姬-Is_Not_Obfuscate
qq_31415417的博客
02-17 872
CTFshow-菜狗杯-LSB探姬-Is_Not_Obfuscate
CTFshow-菜狗杯-茶歇区-小舔田
qq_31415417的博客
02-16 1062
CTFshow-菜狗杯-茶歇区-小舔田
ctfshow菜狗 web 老婆
hypocrite2的博客
05-12 222
密钥根据app.py里:app.config['SECRET_KEY'] = 'tanji_is_A_boy_Yooooooooooooooooooooo!另外解密session可以用:python flask_session_cookie_manager3.py decode -c ‘session值’怎么改session。
CTFshow-菜狗杯WP
m0_61155226的博客
11-14 5945
然后得到了压缩包中的音频文件,然后发现文件后缀为.wav而不是原本的.mp3,猜测需要使用Silent eye工具 Sound qualit选择high,然后就得到flag啦。这里发现成功破除伪加密(也可以手动修改破伪加密),然后通过文件头判断压缩包中的文件类型为.pyc,并修改文件后缀名为.pyc(否则在线工具无法正常反编译;打开链接发现是看图识美女,要通过30关;访问链接发现是探姬的福利视频(bushi),然后根据提示的摩斯密码不难猜测到黑丝为1,白色为0,然后分割标志为视频的转场动画,
ctfshow【菜狗杯】wp
leekos的博客,分享web安全相关知识~
03-07 1960
ctfshow【菜狗杯】wp
ctfshow菜狗杯web签到
09-02
ctfshow菜狗杯web签到是一种ctf比赛的任务或挑战,其中要求参与者完成一个web签到任务。通过引用和的信息,可以看出,这个任务涉及构造一个特定的payload,其中包含一些参数和函数调用,以实现某些功能。具体的payload和实现方式可能需要根据比赛规则或题目要求进行进一步的分析和研究。引用中提到了一些与web签到相关的话题,但没有提供具体的解决方案。因此,需要更多的上下文和详细信息才能给出关于ctfshow菜狗杯web签到的具体答案。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CTFshow-菜狗杯-web签到](https://blog.csdn.net/qq_31415417/article/details/128203673)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CTFSHOW菜狗杯 web](https://blog.csdn.net/miuzzx/article/details/127830557)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值