[HarekazeCTF2019]Easy Notes

最新推荐文章于 2024-04-15 02:11:02 发布
最新推荐文章于 2024-04-15 02:11:02 发布
阅读量542 收藏
点赞数
分类专栏: BUUCTF 文章标签: buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/129189775
版权 
知识点:session 反序列化,代码审计

代码分析

flag.php 中有个 is_admin 函数的判断。
在这里插入图片描述
lib.php 中有 is_admin 函数,需要 session['admin'] 为 true,或者通过文件读取的方式。
在这里插入图片描述
index.php 中的 include 并不能使用伪协议读取 flag.php,那么要怎么使得 session['admin']true 呢?是不是可以通过 session 反序列化来绕过,我们可以全局搜一下有没有 session_start

在这里插入图片描述
存在 sesson_start 那么也许真的存在 session 反序列化。
在这里插入图片描述
init.php 中我们可以看到 session 保存的目录,在 /var/www/tmp 下,那这个目录有什么特殊的呢?
在这里插入图片描述
在这里插入图片描述
session 保存的目录竟然和 node 的保存目录一样,那么怎么控制保存的文件名,怎么使得我们上传的内容 session 反序列化后能通过 is_admin 呢?
在这里插入图片描述
我们先看一下它的上传代码,在 add.php 中利用 add_note 函数来处理上传的信息。
在这里插入图片描述
add_note 函数功能就是把接收的 titlebody 以及 hashid,存入 $_SESSION['notes'] 列表里。

在这里插入图片描述
然后当我们访问 export.php 的时候,选择 tar 它就把 $_SESSION[‘notes’] 里的信息转换为 json 数据写入 TEMP_DIR / get_user() . '-' . bin2hex(random_bytes(8)) . '.' . 'tar'; 文档里最后输出出来。
在这里插入图片描述

在这里插入图片描述
我们上传个测试一下,这边用户名是 test,内容如下。

在这里插入图片描述
可以看到确实如讲的一样,那么我们是不是令用户名为 sess_ 也就是 session 文件保存的格式,这样就变成了 sess_-xxxxxx.tar,这个 tar 怎么处理?
在这里插入图片描述
我们只需要令 type.,这样就会因为 str_replace.. 替换为空,自然就消除了,文件名的问题解决了,那内容呢?内容就很简单了,因为 php 默认的 session 反序列化模式是 php 也就是以 | 符号为分界线,前面的是键名后面的是键值.

构造如下 title ,把前面多余的值设为空,设置 adminbool(true)

|N;admin|b:1;

在这里插入图片描述

操作步骤

sess_ 为用户名登录。
在这里插入图片描述
写入反序列化值
在这里插入图片描述
把反序列化值,写入 session 格式的文件里。
在这里插入图片描述
获取我们伪造的 session 文件名。
在这里插入图片描述
修改 PHPSESSID 访问 flag,成功。
在这里插入图片描述
在这里插入图片描述

succ3
关注
专栏目录
CTFNote:CTFNote是一种协作工具,旨在帮助CTF团队组织工作
04-12
周大福 欢迎 CTFNote是一种协作工具,旨在帮助CTF团队组织工作。 安装 使用提供的docker配置来部署项目: $ docker-compose up -d 然后,访问127.0.0.1并创建您的第一个帐户,该帐户将自动具有管理员权限 您可以根据需要选择编辑API配置文件: 礼遇 ADMIN_ALL:可以创建CTF,任务,编辑用户/配置。 EDIT_CTF:可以创建和修改CTF信息; 您应该将此权利授予您的队长 CTF_ALL:可以加入每个CTF; 您应该将此权利授予您的团队成员。 无权限:只能在受邀时查看CTF; 这用于不定期的客人。 允许CTF来宾创建和编辑任务,但不允许创建和编辑任务。 发展 开发服务器包括一个简单的HTTP代理,允许前端访问本地API(cf )。 同时在两个组件上都配置了热重装。 设置并启动前端 $ cd front/ $ yarn instal
easy-notes-client:简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发
05-26
简笔记(easy notes)客户端,基于 Vue.js 、Ant Design 开发。 演示 演示地址: 部分截图: Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for ...
[HarekazeCTF2019]Easy Notes-代码审计
leekos的博客,分享web安全相关知识~
08-24 255
会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控。目录下面,所以我们可以尝试session伪造一下,伪造一个session文件。如果我们能够控制session文件,就可以拿到flag了。登录之后有几个功能点,可以添加节点,然后使用。我们发现想要拿到flag的条件时。这里可以看到,导出的文件也是写到。会生成16进制字符串,
BUUCTF:[HarekazeCTF2019]Easy Notes
末初的CSDN博客
07-24 1757
BUUCTF:[HarekazeCTF2019]Easy Notes
Easy Notes-crx插件
04-03
Easy Notes在这里解决了这个问题。 只需单击一个按钮,您就可以从任何网页开始做笔记。 您再也不必为记笔记而苦恼。 功能-可以从任何网站访问-一次可以有多个笔记-可以通过触摸按钮打开。下载Easy Notes并成为笔记...
Easy Notes v5.06 Beta 2
11-01
Easy Notes就是一个急你之所急,想你之所想的笔记程序。有别于Windows自带的记事本,Easy Notes不仅可以自由书写,而且还可以使用RTF格式进行文档格式化。为时刻提醒你注意,它还可以被定点戳在你的桌面上,并且以带...
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 508
[HarekazeCTF2019]Easy Notes(session伪造)
BUUCTF--[HarekazeCTF2019]Easy Notes
qq_46263951的博客
08-07 473
<section> <h2>Get flag</h2> <p> <?php if (is_admin()) { echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>"; } else { echo "You are not an admin :("; } ?&gt.
ctf_notes:通过进行大量CTF收集的笔记,以帮助进一步的CTF
04-14
ctf_notes 通过进行大量CTF收集的笔记,以帮助进一步的CTF -------------------------------------------------- --------------------------------------- Windows和* nix: -密码喷涂: crackmapexec [模块] -u [users.txt] -p [passwords.txt] [ip或ip范围] -bruteforce(可能需要更多选项,使用的示例是SSH模块): medusa -h [ip] -U [users.txt] -P [passwords.txt] -M [模块] [ip] 一般注意事项: 已知的主机ssh文件将显示该主机已通过SSH进入的所有主机 -重置中断的终端会话的命令 $>重置 -使用私有rsa而不是密码的ssh: ssh -i
web ctf note
m0_50967960的博客
04-01 318
phpMyAdmin 4.8.x 本地文件包含漏洞利用 读取flag文件 /phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../flag
CTF特训日记day2
weixin_46483787的博客
12-06 557
day2打了一个叫NBCTF的比赛做了四个题,剩下五道arm的题不会做了,关注一下wp,也许可以靠这个比赛提升一波异架构能力。
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 845
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
2016 ZCTF note2
Morphy_Amo的博客
01-27 2662
堆溢出中unlink的应用
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1263
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
CTF日常训练WriteUp之CTF秀靶场,2024年最新靠着这份900多页的PDF面试整理
最新发布
2401_84159911的博客
04-15 391
做完两道题型,发现需要了解的知识点:(1)熟悉栅栏密码特性:把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成一段无规律的话;(2)熟悉使用工具010-editor,知道图片可以使用工具16进制读取以及存储内容,可以联想到我们web渗透中的图片马样式。
buu-day04
anwen12的博客
01-02 467
0x01[HarekazeCTF2019]Easy Notes 这个题目给了源码,用户又没有后端校验,所以我们很容易想到考session的反序列化,因为(sctf考烂了)。具体分析流程可以看网上的·wp,总结就是,需要伪造以下两点: 文件名 序列化的数据 0x02 [SWPU2019]Web3 访问任意路由发现的token:keyqqqwwweee!@#$%^&*,发现是伪造session。下面就是随便操作了。 .eJyrVspMUbKqVlJIUrJS8g1xLFeq1VHKLI7PyU_Pz
PWNHUB 五月公开赛+内部赛 writeup(【5月公开赛】MyNotes TemplatePlay 【胖哈勃内部赛|五月,你好】MockingMail)
ShenZ的博客
05-19 968
PWNHUB 【5月公开赛】MyNotes 【5月公开赛】TemplatePlay 【胖哈勃内部赛|五月,你好!】MockingMail 【胖哈勃内部赛|五月,你好!】MISC-Unicode session反序列化伪造 给了源码,admin界面会给flag, "phpmailer/phpmailer": "6.4.1",有个CVE-2021-3603 PHP Mailer 最新代码执行漏洞,漏洞函数是validateAddress(),本体中两个参数都可控
[roarctf 2019]easy calc
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法使用了一种简单的替换算法,它会将输入字符串中的每个字符替换成固定的字符。 我们只需要编写一个解密程序,使用相同的替换表将加密后的标志还原成原始标志。一旦还原了标志,我们就可以提交它来获得得分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值