[HarekazeCTF2019]Easy Notes-代码审计

最新推荐文章于 2024-05-30 11:53:48 发布
最新推荐文章于 2024-05-30 11:53:48 发布
阅读量181 收藏
点赞数
分类专栏: wp 文章标签: web安全 ctf wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/132482834
版权

文章目录

[HarekazeCTF2019]Easy Notes-代码审计

登录之后有几个功能点,可以添加节点,然后使用Export导出

image-20230824205806589

我们查看源码,

我们发现想要拿到flag的条件时$_SESSION['admin']=true

image-20230824210223434

如果我们能够控制session文件,就可以拿到flag了

image-20230824210445088

我们发现session存储的文件改为了:/var/www/tmp

重点看export.php

<?php
require_once('init.php');

if (!is_logged_in()) {
  redirect('/?page=home');
}

$notes = get_notes();

if (!isset($_GET['type']) || empty($_GET['type'])) {
  $type = 'zip';
} else {
  $type = $_GET['type'];
}

$filename = get_user() . '-' . bin2hex(random_bytes(8)) . '.' . $type;
$filename = str_replace('..', '', $filename); // avoid path traversal
$path = TEMP_DIR . '/' . $filename;

if ($type === 'tar') {
  $archive = new PharData($path);
  $archive->startBuffering();
} else {
  // use zip as default
  $archive = new ZipArchive();
  $archive->open($path, ZIPARCHIVE::CREATE | ZipArchive::OVERWRITE);
}

for ($index = 0; $index < count($notes); $index++) {
  $note = $notes[$index];
  $title = $note['title'];
  $title = preg_replace('/[^!-~]/', '-', $title);
  $title = preg_replace('#[/\\?*.]#', '-', $title); // delete suspicious characters
  $archive->addFromString("{$index}_{$title}.json", json_encode($note));
}

if ($type === 'tar') {
  $archive->stopBuffering();
} else {
  $archive->close();
}

header('Content-Disposition: attachment; filename="' . $filename . '";');
header('Content-Length: ' . filesize($path));
header('Content-Type: application/zip');
readfile($path);

这里可以看到,导出的文件也是写到/var/www/tmp目录下面,所以我们可以尝试session伪造一下,伪造一个session文件

$filename = get_user() . '-' . bin2hex(random_bytes(8)) . '.' . $type;
$filename = str_replace('..', '', $filename); // avoid path traversal
$path = TEMP_DIR . '/' . $filename;

get_user()会获取用户名,bin2hex(random_bytes(8))会生成16进制字符串,

如果我们用户名为sess_,并且$type=.,那么两个.会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控

那么看一下session内容可控吗:

$archive->addFromString("{$index}_{$title}.json", json_encode($note));

可控的

由于默认session_serialize_handler=php,那么序列化规则为:

处理器对应的存储格式
php键名 + 竖线 + 经过 serialize() 函数反序列处理的值

所以$_SESSION['admin']=true需要满足:

admin|b:1;

但是由于我们导出的文件中有一些内容,防止被污染,我们需要这么写:

|N;admin|b:1;

image-20230824211602859

添加之后导出:

/export.php?type=.

最后替换一下PHPSESSID为文件名:

image-20230824211719493

Leekos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Easy Notes-crx插件
04-03
语言:中文 (简体) 用于快速记录的最简单方法。 简单注释 - 一个完美的工具,用于拍摄快速注释。 它的快速,安全和私密。 必须为每个人提供工具。 最近更新: **更新1.3(2020-11-24)** 1.美化风格 **更新1.1(2019-2-18)** 1.美化风格 **更新1.0(2019-1-27)** 1.创建简单的笔记 PS:即使您清空Chrome的缓存或cookie,数据也不会丢失。 干杯! 愉快的便条服。
BUUCTF:[HarekazeCTF2019]Easy Notes
末初的CSDN博客
07-24 1681
BUUCTF:[HarekazeCTF2019]Easy Notes
ctf_notes:通过进行大量CTF收集的笔记,以帮助进一步的CTF
04-14
ctf_notes 通过进行大量CTF收集的笔记,以帮助进一步的CTF -------------------------------------------------- --------------------------------------- Windows和* nix: -密码喷涂: crackmapexec [模块] -u [users.txt] -p [passwords.txt] [ip或ip范围] -bruteforce(可能需要更多选项,使用的示例是SSH模块): medusa -h [ip] -U [users.txt] -P [passwords.txt] -M [模块] [ip] 一般注意事项: 已知的主机ssh文件将显示该主机已通过SSH进入的所有主机 -重置中断的终端会话的命令 $>重置 -使用私有rsa而不是密码的ssh: ssh -i
RoarCTF2019web题-easy_java writeup
silencediors的博客
10-16 6595
RoarCTF2019web题-easy_java 作为团队最强的web选手(就我一个),这次的比赛也没时间打,把简单的题放一下,前面要说下,做web宁可把题目想简单,也不要想复杂,因为现在的web题出题人越来越厉害(gou)(怀念以前查看源码就得flag的时代),出题的把握可能也没那么好,思维多次引导的话就可能走岔路,就像这题我开始一直在想反序列化和upload流上传的事,甚至是tomcat那个...
2016 ZCTF note2
Morphy_Amo的博客
01-27 2592
堆溢出中unlink的应用
[HarekazeCTF2019]Easy Notes
Landasika的博客
05-14 476
[HarekazeCTF2019]Easy Notes 分析源码 首先按照惯例,用Seay扫描一下,报告说index.php有文件包含漏洞。 打开index看看代码逻辑 $page变量居然只能用这些参数来代替 再翻翻目录,发现了flag.php 发现这里的意思要我们用admin账户登陆 Ctrl+左键跟进这个函数,跟进这个函数 发现这个地方是判断$session,很明显这个题的点就是session欺骗 根据我们可以利用的点 第一个是注册的username 第二个是上传的文件名称 第三个是上传的文件
BUUCTF--[HarekazeCTF2019]Easy Notes
qq_46263951的博客
08-07 431
<section> <h2>Get flag</h2> <p> <?php if (is_admin()) { echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>"; } else { echo "You are not an admin :("; } ?&gt.
buu-day04
anwen12的博客
01-02 350
0x01[HarekazeCTF2019]Easy Notes 这个题目给了源码,用户又没有后端校验,所以我们很容易想到考session的反序列化,因为(sctf考烂了)。具体分析流程可以看网上的·wp,总结就是,需要伪造以下两点: 文件名 序列化的数据 0x02 [SWPU2019]Web3 访问任意路由发现的token:keyqqqwwweee!@#$%^&*,发现是伪造session。下面就是随便操作了。 .eJyrVspMUbKqVlJIUrJS8g1xLFeq1VHKLI7PyU_Pz
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 461
[HarekazeCTF2019]Easy Notes(session伪造)
CTFNote:CTFNote是一种协作工具,旨在帮助CTF团队组织工作
04-12
周大福 欢迎 CTFNote是一种协作工具,旨在帮助CTF团队组织工作。 安装 使用提供的docker配置来部署项目: $ docker-compose up -d 然后,访问127.0.0.1并创建您的第一个帐户,该帐户将自动具有管理员权限 您可以根据需要选择编辑API配置文件: 礼遇 ADMIN_ALL:可以创建CTF,任务,编辑用户/配置。 EDIT_CTF:可以创建和修改CTF信息; 您应该将此权利授予您的队长 CTF_ALL:可以加入每个CTF; 您应该将此权利授予您的团队成员。 无权限:只能在受邀时查看CTF; 这用于不定期的客人。 允许CTF来宾创建和编辑任务,但不允许创建和编辑任务。 发展 开发服务器包括一个简单的HTTP代理,允许前端访问本地API(cf )。 同时在两个组件上都配置了热重装。 设置并启动前端 $ cd front/ $ yarn instal
easy-notes-client:简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发
05-26
简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发。 演示 演示地址: 部分截图: Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for ...
EasyDarwin-linux-8.1.0.zip
06-18
linux安装Da'r'win需要的压缩包, EasyDarwin-linux-8.1.0-1901141151.tar.gz
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过
2401_83642079的博客
04-07 393
V操作码是可以识别\u (unicode编码绕过)无R,i,o os 可过 + 关键词过滤。特别是命令有特殊功能字符。无R,i,o os可过。
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!
qq_44005305的博客
11-12 121
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2020年1月-*CTF比赛Web部分题解
读万卷书,行万里路。
01-22 1168
文章目录1 Web1.1 oh-my-note1.2 oh-my-socket2 总结3 附录 1 Web 由于期末考试和各种课设,有一段时间没有比赛了,做题时没有思路,感觉好菜呐~???? 1.1 oh-my-note 题目中给出源码: import string import random import time import datetime from flask import render_template, redirect, url_for, request, session, Flask f
【安全漏洞】Easy代码审计
HBohan的博客
11-06 1439
环境说明: 系统:Windows 10 集成环境:phpstudy php版本:7.3.4 mysql版本:5.7.25 cms版本:7.7.4 【查看资料】 前言 现在cms一般都是基于MVC思想去开发,所以在审计这个cms时我是直接从控制器开始看的,thinkphp与laravel等开发框架会把控制器放在controller目录,这个cms的控制器是在lib目录。 目录结构 cmseasy/ |-- admin |-- api |-- apps |-- cache |-- cn |-- common |
vue-easy-print批量分页打印
qq_41737172的博客
05-20 4431
import vueEasyPrint from “vue-easy-print”; 1打印页作为子组件,要打印的数据,由父组件请求获得, 再传给子组件 ( 注意 vm 和 css) 2 子组件watch, 当子组件准备完毕, 调用父组件的开启打印功能 <template> <div class="item"> <el-button @click="print">批量打印保险卡</el-button>
Gartner发布电信运营商应对持续变化的网络安全环境指南:现代云安全与网络安全的五大核心挑战
最新发布
lurenjia404的博客
05-30 509
所有组织的云和网络都面临着高级威胁。作为网络安全的关键参与者,电信运营商的 CIO 需要了解行业面临的挑战,并了解应采用哪些解决方案来实现方法的现代化。
easydarwin-windows32下载
01-16
要进行EasyDarwin-Windows32的下载,可以按照以下步骤进行操作: 1. 首先,使用浏览器打开EasyDarwin官方网站(www.easydarwin.org),在首页找到并点击"下载"按钮。 2. 进入下载页面后,找到Windows 32位版本的下载链接,一般是在下载列表中标识为"EasyDarwin-Windows32"。 3. 点击下载链接后,会自动开始下载EasyDarwin-Windows32的安装包。如果浏览器没有自动下载安装包,可以尝试右键点击下载链接,选择"另存为"来手动保存。 4. 下载完成后,找到保存的EasyDarwin-Windows32安装包,一般是以.exe为后缀的文件,在文件资源管理器中双击运行该安装包。 5. 启动安装程序后,按照安装向导的指引一步步进行,选择安装路径并确认安装选项。 6. 等待安装程序完成安装过程,这可能需要一些时间。安装完成后,在桌面或开始菜单中会生成EasyDarwin-Windows32的快捷方式或启动图标。 7. 点击快捷方式或启动图标,即可启动EasyDarwin-Windows32。首次运行时可能需要进行一些配置,例如设置网络端口等,按照提示进行即可。 8. 安装完成后,就可以开始使用EasyDarwin-Windows32进行视频流媒体的相关开发和管理了。 需要注意的是,EasyDarwin官方网站可能会更新版本和下载链接,所以在下载之前最好确认所下载的是最新版本,并在下载、安装过程中保持网络连接稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值