ALLES! CTF 2021 Web

最新推荐文章于 2022-06-23 08:29:48 发布
最新推荐文章于 2022-06-23 08:29:48 发布
阅读量401 收藏
点赞数 1
分类专栏: 比赛WP 文章标签: java 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/120156151
版权

Sanity Check

进入之后发现是个奇怪的页面,问我不是机器人叭?

bp抓个包,发现是418响应码,查到的都是说这是一种反爬虫机制,需要加上UA头才行。但是我本来就有UA头。

突发其想请求了一下robots.txt,得到flag。

J(ust)-S(erving)-P(ages)

当时比赛的时候没能做出来,今天问了一下Y4师傅,也是知道了怎么回事。

首先就是GlobalServerContext.java里面,添加了一个admin用户,且isAdmintrue

然后把flag放到了上下文中:

        // Read flag from system
        try (Scanner scanner = new Scanner( new File("/flag"), "ASCII" )) {
            String FLAG = scanner.useDelimiter("\\A").next();
            servletContextEvent.getServletContext().setAttribute("FLAG", FLAG);
        }

最后登录之后的home.jsp这里做了判断,如果登录的user isAdmin为true的话就给flag:

		<% if(user.getIsAdmin()){ 
			ServletContext sc = request.getServletContext();
     		
			out.println("Your flag is: "); 
			out.println(sc.getAttribute("FLAG"));
		}
		else {
			out.println("No flag for you :("); 
		}%>

登录后的/config这里可以修改上下文:

        String jsonConfig = getBody(request);
        ObjectMapper objectMapper = new ObjectMapper();
        UserConfig userConfig = objectMapper.readValue(jsonConfig, UserConfig.class);

        

        if (userConfig == null) {
            request.setAttribute("message", "Failed to parse user configuration");
            request.setAttribute("type", "danger");
        }
        else if (userConfig.getUser() != null) {
            request.setAttribute("type", "danger");
            request.setAttribute("message", "Hacking detected!");
        }
        else {
            request.setAttribute("type", "success");
            request.setAttribute("message", "User configuration updated");
            session.setAttribute("config", userConfig);
        }

但是不能有user,而且用的是jackson,搜了一下这个版本也没有洞。

问了Y4师傅才知道原来是登录那里的问题:

		for (User u : users) {
			if (u.getUsername().equals(username)) {
				try {
					// User password in storage is only stored as md5, we should hash it again
					MessageDigest digestStorage;
					digestStorage = MessageDigest.getInstance("SHA-1");
					digestStorage.update(u.getPassword().getBytes("ascii"));

					byte[] passwordBytes = null;
					try {
						passwordBytes = Hex.decodeHex(password_md5_sha1);
					} catch (DecoderException e) {
						return null;
					}

					UserConfig userConfig = (UserConfig) request.getSession().getAttribute("config");

					if (userConfig.isDebugMode()) {
						String pw1 = new String(Hex.encodeHex(digestStorage.digest()));
						String pw2 = password_md5_sha1;

						java.util.logging.Logger.getLogger("login")
								.info(String.format("Login tried with: %s == %s", pw1, pw2));
					}

					if (Arrays.equals(passwordBytes, digestStorage.digest())) {
						if (userConfig.isDebugMode())
							java.util.logging.Logger.getLogger("login").info("Passwords were equal");
						return u;
					}
					if (userConfig.isDebugMode())
						java.util.logging.Logger.getLogger("login").info("Passwords were NOT equal");
				} catch (NoSuchAlgorithmException e) {
					return null;
				} catch (UnsupportedEncodingException e) {
					return null;
				}
			}
		}

默认的debug是关的,但是可以通过/config来修改。如果debug是开的,就会有这样的结果:

					if (userConfig.isDebugMode()) {
						String pw1 = new String(Hex.encodeHex(digestStorage.digest()));
						String pw2 = password_md5_sha1;

						java.util.logging.Logger.getLogger("login")
								.info(String.format("Login tried with: %s == %s", pw1, pw2));
					}

					if (Arrays.equals(passwordBytes, digestStorage.digest())) {

digestStorage调用了两次digest()。一开始以为还没问题,但是查一下:

对于给定数量的更新数据,digest 方法只能被调用一次。digest 方法被调用后,MessageDigest 对象被重新设置成其初始状态。

啥叫初始状态,可以认为初始状态就是空字符串,然后经过一次sha1处理后得到的就是空字符串的sha1加密:

        MessageDigest digestStorage;
        digestStorage = MessageDigest.getInstance("SHA-1");
        //digestStorage.update(password.getBytes("ascii"));
        byte[] bytes = digestStorage.digest();

这样得到的数组就相当于是,对""进行一次sha1加密得到的字符串(String),再对这个字符串进行一次:

					byte[] passwordBytes = null;
					try {
						passwordBytes = Hex.decodeHex(password_md5_sha1);

这样得到的byte[]是一样得了,因此就可以用admin登录了。

因此先随便注册登录,然后利用/config

POST /config HTTP/1.1

{"debugMode":true,"language":0}

然后再登录,用户名是admin,密码是空字符串的sha1加密即可:

password=da39a3ee5e6b4b0d3255bfef95601890afd80709&username=admin

即可拿到flag:

在这里插入图片描述

Amazing Crypto WAF

当时没看,之后再复现叭。。。得去学概率论了。。。

bfengj
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GKCTF2021-web-easycms
zji
06-27 1440
GKCTF2021-web-easycms 文章目录GKCTF2021-web-easycms一、解法1二、解法2 一、解法1 方法:任意文件下载 目录扫描 /admin.php 官方提示了,后台密码为5位数字的, 后台 demo/demo登录或者admin/12345登录。 点击:设计->导出主题->保存 随便填写保持后弹出 复制下载链接 http://a7242e8c-7eae-4593-93b8-5905a22305f8.node3.buuoj.cn/admin.php
ctfshow 2021 月饼杯 web
Sk1y的博客
09-23 548
文章目录web签到 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $flag; } else { echo "
SXCCTF2021 Web
feng的博客
02-10 499
前言 是认识的一个师傅的学校的比赛,很多大师傅们也都去打了。题目质量很高,就是我太菜了。。Web只会1道,看了一下y4师傅的WP学习了一下微信小程序逆向的那道题,还剩下一道CMS的审计,不会做,先暂时留着,等到下一阶段专门进行CMS审计的学习的时候再好好审一审。 Base robots.txt里面可以得到base.txt,得到255个,写个python脚本把编码跑出来就可以了,比如d是Xw这样的。 最后我把比较重要的给跑了出来: dic={'$':'Hw',';':'Ng','?':'Og' ,"'":'I
javasession的用法
直到世界的尽头
11-27 2万+
String path = request.getContextPath(); String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; String sessionValues=(String)request.g
Spring MVC之使用cookie实现记住密码功能
HanQiuyue123的博客
04-25 737
注意:因为实现记住密码的功能需要用到json,所以需要加上这条语句: <script type="text/javascript" src="scripts/jquery.min.js"></script> 一、编写表单 <form action="login" method="post"> <table> ...
alles-web:公共 Alles API 的包装器(不适用于 NODE.JS)
05-30
alles-web V0.4 这是所有公共信息 Alles API 的包装器。 它用于网络(不是 node.js)。 如果您的任何方法拒绝此错误代码: archie.needs.to.fucking.enable.cors那是因为 Alles API 开发人员已放弃(或尚未添加)对...
CTF:偶尔的CTF撰写
05-05
本主题“偶尔的CTF撰写”可能是关于作者在2020年参与的CTF比赛的一些记录或心得分享,涉及的赛事包括“2020年ALLES”和“justCTF 2020”。 JavaScript作为标签,意味着可能在这些比赛中,至少有一部分挑战与...
alles-search
05-25
Alles搜索 这是的 Web扩展,将作为搜索引擎添加到Firefox和Chrome浏览器(使用清单键)。 通过GET请求提交查询,以与兼容。 下载 本地发展 克隆仓库 安装工具: 使用指定的节点版本: nvm use 安装依赖项: npm i ...
Alles Search-crx插件
04-04
这些扩展通常可以在浏览器的扩展商店中下载,如Chrome Web Store,安装后能在浏览器的工具栏中看到并启用。Alles Search-crx插件就是这样一种扩展,它的主要作用是添加一个特定的搜索引擎——Alles。 **Alles搜索...
ComboboxReferat:AllesüberComboboxen
03-08
【标题】:“ComboboxReferat:AllesüberComboboxen” 涉及的是Java编程中的组合框(ComboBox)控件及其使用方法。这个标题暗示了文档可能详细讲解了关于Java Swing或JavaFX中ComboBox的各种特性、功能以及如何在...
VNCTF2021[WEB]
Y4tacker的博客
03-18 3605
文章目录前言Ez_gamenaiverealezjvavEasy_laravel 前言 这次比赛题目质量很好,本菜鸡做出了两道web题目,还是比较开心,只是赛后复现laravel一天半也没有成功,我好自闭啊 Ez_game 在game.js里面发现,直接放到console里面跑,得到flag ["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6
MoeCTF 2021--Web_Inc
qq_46263951的博客
09-08 751
这里就简单记录一下这个题, <?php error_reporting(0); include_once "flag.php"; $a=$_GET['a']; $b=$_POST['b']; if(isset($a)){ if($a!=$b&&md5($a)===md5($b)){ echo $flag; }else{ echo 'try again'; } }else{ highlight_file(__FILE_.
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 8963
NJCTF 2017 web Writeup
CTF—Go题目复现
Sentiment的博客
06-23 2912
一道Go的模板注入由于没了解过Go的SSTI所以先简单看下:go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)Go SSTI初探 | tyskillのBloggo的SSTI漏洞成因与模板语法和jinja2差不多,都用到了,通过{{.}}我们可以获得到作用域Demo 当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出: 除此外若想获取单个属性也可以用 结果 复现 主要有几个路由 先看的flagHandler 中
2021台湾省赛CTF-web-wp
Firebasky的博客
01-19 1123
重复了*CTF,队友做了*CTF的部分web,当时自己没有出呜呜呜,就去做台湾的比赛了。 链接:https://pan.baidu.com/s/1oIXI7Ygt4k9e143kddXOgQ 提取码:u2pl 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
NepCTF2021一些web题目的总结与复现
feng的博客
03-23 3851
前言 参加了今年的NepCTF,题目质量很好,就是周末事情比较多,而且只会php,没有全身心去做,
CTF里面的WEB题的一些解决思路
热门推荐
DALE1186487104的博客
04-19 4万+
CTF里面解决WEB题的一些常用思路:(福利:末尾有视频链接)如图( 十八罗汉)                                                                                        PS:(下文的序列号是对图片中序列号的一些补充)WEB题中常用的工具                                    (1...
某单位2021CTF初赛Writeup(部分)
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
11-08 4606
Web Web1 当时没截图,找了别人拍的照贴一下。。。 是一道简单题,不过考的知识点蛮多的。 Referer绕过、User-Agent绕过、XFF绕过之后,进行代码审计 这里的知识点: 使用科学计数法绕过取值大于1 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1 使用数组绕过类型判断 <?php echo intval(42); // 42 echo intval(4.2);
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4256
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
远程审计:利用ICT与分析技术的研究框架
Alles和Miklos A. Vasarhelyi通过对虚拟团队的研究,理解如何在远程环境中建立有效的合作机制,以及如何利用ICT工具优化审计流程。他们分析了内部审计活动,以识别出适合远程审计的具体领域和最佳实践。 总结来说...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值