攻防世界 web高手进阶区 10分题Confusion2

最新推荐文章于 2024-07-24 11:52:50 发布
最新推荐文章于 2024-07-24 11:52:50 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: ctf 文章标签: ctf 攻防世界 web 序列化 JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44604541/article/details/109048503
版权
本文详细介绍了攻防世界Web高手进阶区10分题Confusion2的解题过程,涉及知识点包括序列化(Python和PHP)、JWT、MD5验证码及SSTI。作者首先通过Confusion1的提示找到salt,然后通过注册和登录发现cookie中的token可能关键。经过分析,确定token为JWT格式, payload中包含Python序列化的字符串。利用Python序列化构造RCE字符串,并结合JWT的签名计算,成功绕过防护,执行任意命令并获取flag。
摘要由CSDN通过智能技术生成

前言

继续ctf的旅程
开始攻防世界web高手进阶区的10分题
本文是Confusion2的writeup

解题过程

在这里插入图片描述

Confusion1的伏笔

根据提示
本题是7分题Confusion1的延续
要用到salt

在这里插入图片描述
在Confusion1中给出了salt的位置/opt/salt_b420e8cfb8862548e68459ae1d37a1d5.txt
类似获取flag方法

在这里插入图片描述

其值是_Y0uW1llN3verKn0w1t_

Confusion2

进来是跟Confusion1一样的界面

在这里插入图片描述
但他有了register和login界面
在这里插入图片描述
看源码和御剑都没有东西
那就注册登录看看

注册还需要一个MD5验证码
python脚本爆破下

# -*- coding: utf-8 -*-
 
import multiprocessing
import hashlib
import random
import string
import sys
 
 
CHARS = string.letters + string.digits
 
 
def cmp_md5(substr, stop_event, str_len, start=0, size=20):
    global CHARS
 
    while not stop_event.is_set():
        rnds = ''.join(random.choice(CHARS) for _ in range(size))
        md5 = hashlib.md5(rnds)
 
        if md5.hexdigest()[start: start+str_len] == substr:
            print rnds
            stop_event.set()
 
 
if __name__ == '__main__':
    substr = sys.argv[1].strip()
 
    start_pos = int(sys.argv[2]) if len(sys.argv) > 1 else 0
 
    str_len = len(substr)
    cpus = multiprocessing.cpu_count()
    stop_event = multiprocessing.Event()
    processes = [multiprocessing.Process(target=cmp_md5, args=(substr,
                                         stop_event, str_len, start_pos))
                 for i in range(cpus)]
 
    for p in processes:
        p.start()
 
    for p in processes:
        p.join()

在这里插入图片描述
成功登录
在这里插入图片描述
发现用户名出现在页面上
没有别的发现

抓包看看
在这里插入图片描述

GET /index.
最低0.47元/天 解锁文章
思源湖的鱼
关注
专栏目录
攻防世界 web高手进阶 10分 Guess
闵行小鱼塘
11-03 1337
继续ctf的旅程,开始攻防世界web高手进阶10分,本文是Guess的writeup
攻防世界-web高手进阶
zji
04-25 6555
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界--Confusion2
qq_46263951的博客
01-16 974
这个Confusion1的延续,所以根据目提示,先在1中把salt文件内容先读出来 _Y0uW1llN3verKn0w1t_ 这里开放了register和login,注册并登陆 关于md5值爆破,我比较习惯使用数字来爆破,效率比较高一下 <?php $i=0; for ($i;$i<=9999999999999999;$i++) { if (substr(md5($i), 0, 6) == '7358dd') { echo($i); exi
SSTI 攻防世界 Confusion1
最新发布
weixin_73399382的博客
07-24 860
具体来说,__class__是一个内置属性,表示一个对象所属的类。即""[request.args.__class__]和"".__class__效果是一样的,但是因为在语句中过滤了基础类,我们可以采取变量赋值的方式绕过限制。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)。
攻防世界——web高手进阶
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
攻防世界 —— Web高手进阶1(baby_web
Catherine_qingzhu的博客
04-05 1156
过程 目已经提示FLAG在index.php或index.html中了 所以就在浏览器的地址栏中试,结果发现 ...\index.html资源不存在 ...\index.php又会跳转到1.php 这就很迷,然后按F12键调试,重新在地址栏中输入...\index.php 看到Network中是介个样子 index.php返回的状态码是302,我们点击index.php看看这...
攻防世界web高手进阶(一)
weixin_44866139的博客
03-13 1925
Training-WWW-Robots baby_web 因为提示了初始页面是哪个,所以查看111.198.29.45:39340/index.php 直接给跳转到了http://111.198.29.45:39340/1.php 抓包试试 发现了flag 标 ...
攻防世界 web高手进阶 7分Confusion1
闵行小鱼塘
10-11 2910
继续ctf的旅程,开始攻防世界web高手进阶的7分,本文是Confusion1的writeup
攻防世界web高手进阶wp-Confusion1
Whaocai的博客
08-03 327
考点:python ssti 点进去看到url是index.php,页面上有一张图片,蛇和象。我们都知道蛇代表php,大象代表python,猜测有关php+python的 点击login和register,发现都报错。F12又发现了flag文件存放的位置,接下来就是考虑何如读取到该文件。 寻找别的信息,看看有没有robots.txt,发现没有该文件,御剑扫描也没扫出什么有用的信息。 ctf中出有关python的型很大一部分是ssti,于是就尝试模板注入,发下确实存在ssti漏洞,这下就有思路来读取fla
攻防世界misc高手进阶篇教程(3)
玄道的网安博客
05-27 4550
Miscmisc 用010editor打开图片,然后看到jpg图片,把后缀修改成zip 有个压缩包是加密过的,还有张图片,我们看看图片 看到了flag.txt,再次把图片后缀修改成zip 发现可以解压,得到一个 flag.txt 文件,咦,,,,,刚才解压chayidian.zip文件时,目录下也有一个flag.txt 文件,很明显这是一个明文攻击,又已知 是.zip加密,上工具 Advanced Zip Password Recover。 在这里我跑出密码 z$^58a4w
CTF-WEB(攻防世界目-高手进阶)
皮卡乒的皮卡乓
10-31 295
高手进阶baby_web方法一方法二Training-WWW-Robotsphp_rce baby_web 方法一 目描述:想想初始页面是哪个 一进来就可以看到,1.php,显然,初始页面应该是index.php。我们输入index.php之后会发现 没错,鸟用没有啊? 真的鸟用没有?真的!(放屁哦) 但是,你的应该是这样子。为啥,因为我截图够快,这个index.php会立马被隐藏起来,所以根本来不及看它。 我们查看Network这一项,哦显而易见,我们要看index.php 查看Respon
攻防世界——web高手进阶(1~6)
weixin_52805837的博客
03-09 645
攻防世界——web高手进阶(1~6) (1)baby_web: 1.根据提示,在url中输入index.php,发现打开的仍然还是1.php 2.打开火狐浏览器的开发者模式,选择网络模块,再次请求index.php,查看返回包,可以看到location参数被设置了1.php,并且得到flag (2)Training-WWW-Robots: 直接先访问robots.txt: 然后在url在输入/fl0g.php,得到flag (3)Web_python_template_injection: 首先构造/{
攻防世界 web高手进阶 5分(cat、bug)
闵行小鱼塘
07-26 623
继续ctf的旅程,攻防世界web高手进阶的2分(cat、bug)
攻防世界 web高手进阶 1分(baby_web、Training-WWW-Robots)
闵行小鱼塘
06-13 648
继续ctf的旅程,攻防世界web高手进阶的1分
攻防世界 web高手进阶 2分
闵行小鱼塘
06-13 892
继续ctf的旅程,攻防世界web高手进阶的2分
攻防世界 Web高手进阶 mfw
feng的博客
09-05 529
这是涉及git泄露,PHP危险函数中的assert()函数,以及代码审计的一个目。
攻防世界-02
Usashi的博客
11-03 3356
Crypto OldDriver 学习wp 学习wp2 flag{wo0_th3_tr4in_i5_leav1ng_g3t_on_it} ecb,_it’s_easy_as_123 意思是不会做 参考 创建3840×2160的分辨率,16色深的bm的头,替换掉原来的头即可,即将前面的字节码 53 61 6c 74 65 64 5f 5f ab 31 b5 e5 ca 3d b9 4d f4 09 1a a5 df 88 b7 2c 0e bd 8a ...
CTF_Web攻防世界高手进阶WP(1-4)
AFCC_的博客(Web_Dog)
08-06 1085
0x00 前言 Web高手进阶是对信息搜集、协议理解、php语法掌握等进阶知识的考查,越往后,目越难,也不知道自己可以做到第几,持续更新吧。 0x01 baby_web 目描述: 想想初始页面是哪个 打开之后发现初始路径为1.php,平常我们使用最常见的首页面为index.php,输入url测试,发现立即跳转到了1.php,本目考察302跳转的知识,使用burp抓包跟进即可。 0x02 Training-WWW-Robots 根据目名称可知本考查robots.txt知识。 根据提示访问f
在svm中分类准确率和confusion matrix是什么
04-09
而混淆矩阵(Confusion Matrix)是机器学习中用于统计分类模型预测结果的一种非常重要的表格。它通常是一个 n × n 的矩阵,n 表示分类的类别数,矩阵第 i 行第 j 列的元素是真实类别为 i 的样本被预测为类别 j 的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值