buuctf刷题 3(1个sstl模板注入 1个session伪造 以及php)

已于 2022-05-04 19:31:06 修改
阅读量674 收藏
点赞数
分类专栏: buuctf刷题 文章标签: php
于 2022-05-03 21:33:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/124560449
版权

[护网杯 2018]easy_tornado 1

访问页面所给的可以得到

/flag.txt
flag in /fllllllllllllag  可知flag在/fllllllllllllag。

/welcome.txt
render 

/hints.txt
md5(cookie_secret+md5(filename))

render不知道是上面意思。看别人题解说:结合题目给的tornado,可以想到SSTI。

render()函数是渲染函数,进行服务器端渲染。所以能想到模板注入

[护网杯 2018]easy_tornado 1_succ3的博客-CSDN博客

这个md5()应该就和我们的filehash参数有关了。

那么这个cookie-secret在哪呢?

搜索可知:Tornado框架的附属文件handler.settings中存在cookie_secret

cookie_secret在项目的Application中,而handler 指向RequestHandler

且RequestHandler.settings又指向self.application.settings
所以handler.settings就指向RequestHandler.application.settings了,

tornado中的cookie - TianTianLi - 博客园 Tornado小记 -- 模板中的Handler - 黑翼天使23 - 博客园

尝试filename=/fllllllllllllag。

 不行,看见msg参数,再模板注入,?msg={{handler.settings}}

得到cookie_secret :c62c5e9e-bb15-4531-b3d2-eb903fa5d0e7

md5(cookie_secret+md5(/fllllllllllllag))=70203d7e155aa1ac68ac09110580cdb2

构造filename为/fllllllllllllag,filehash为70203d7e155aa1ac68ac09110580cdb2

得到flag。

[极客大挑战 2019]BuyFlag 1

查看源码,发现了pay.php。题目为buyflag。可能与此有关。

在源码中得到一段代码:

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

发现既要满足password不能为数字,又要满足password==404.

1.is_numberic()函数漏洞:is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。

2.php存在弱类型比较,因此我们post传入password=404a也可

 发现 Flag need your 100000000 money

我们上面代码中也提到,~~~ post money and password ~~~

再post money=100000000。

还是不行,还需要满足我们是cuit‘s students。这个不知道怎么满足。

查看别人题解可知,burp抓包更改cookie中的user=1即可。

 再post传入money=1000000000

 发现对长度进行了限制。用科学计数法绕过,money=1e9

 得到flag。

[HCTF 2018]admin 1

首先随便注册了一个用户名密码登陆,查看源码看见,you are not admin。注册一个用户名为admin的用户登录.回去之后发现被注册了。。。果然不会这么简单。看别人题解三种解法感觉都好厉害,参考:[HCTF 2018]admin 1_bfengj的博客-CSDN博客_admin

    从这到题感悟:一定要仔细好好看源码。

[ZJCTF 2019]NiZhuanSiWei 1

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

data协议来满足第一个if条件,php filter伪协议读取useless.php源码,之后根据构造反序列化。最终构造:

http://2a884744-d6ed-44cb-a6b3-f3bc61417890.node4.buuoj.cn:81/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

 查看源码,得到flag。

葫芦娃42
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JESD8-15A_SSTL_1V8.pdf
05-20
SSTL的电平标准
BUUCTF学习笔记-admin
Emmawas的博客
09-25 1211
CTF考点:session欺骗、flask框架
每天一道ctf
whisper921的博客
11-07 687
PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。
BUUCTF-Web】easy_tornado
RexHa的博客
09-04 537
BUUCTF-Web】easy_tornado
XCTF-攻防世界CTF平台-Web类——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密)
Onlyone_1314的博客
12-11 2667
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
攻防世界 web高手进阶区 3分题
闵行小鱼塘
06-11 580
继续ctf的旅程,攻防世界web高手进阶区的3分题
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他...
1Gb (64M x 16) DDRIII SDRAM C Die Datasheet
04-12
符合JEDEC DDR3标准 8n预取架构 差分时钟(CK,/ CK)和数据探测(DQS, / DQS) DQ,DQS,DM的双倍数据速率 数据完整性 由DRAM内置TS自动刷新(ASR) 自动刷新和自刷新模式 省电模式 部分阵列自...
如何读懂sSTL程序PPT教案.pptx
10-04
如何读懂sSTL程序PPT教案.pptx
1GBDDR2 1GBDDR2
07-21
• JEDEC-standard 1.8V I/O (SSTL_18-compatible) • Differential data strobe (DQS, DQS#) option • 4n-bit prefetch architecture • Duplicate output strobe (RDQS) option for x8 • DLL to align DQ and ...
BUUCTF web 个人做题记录【6-5】
qq_61620566的博客
06-06 331
buuctf 个人做题笔记,希望对各位和我一样热衷于ctf的道友们有所帮助
【CTF】buuctf web(五)——[HCTF 2018]admin——flask session伪造+Unicode欺骗
m0_52923241的博客
08-23 1731
[HCTF 2018]admin 这里有两个选项,点击register注册一个新账户 下面这就算是登进来了 查看源码 提示you are not admin,可能需要登录admin才能获取我们想要的东西
攻防世界web高阶3分题(easytornado)
qq_45791542的博客
08-01 292
读题 PS: tornado 查资料发现 Tornado (python的web框架) 打开题目发现三个文件 第一个文件 说明flag应该是在fllllllllllllag文件中 再进入第二个文件 进入第三个文件 发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和cookie_secret 测试
NewStarCTF2023 Week3 Reverse方向 题目STL WP
最新发布
Sciurdae的博客
11-16 173
因为0x66的ascii是f,结合要做的逆序,0x66应该是在最后一位。再将数据换成16进制,并分割成44的长度。所以再对分割出的每四位做一个逆序。代码不多,逻辑挺清楚的。这里手动调整了一下顺序。这样就可以开始异或了。
BUUCTF easy_tornado render模板注入
hhh
10-09 982
模板注入详解请看这里:https://www.cnblogs.com/cimuhuashuimu/p/11544455.html 题目一开始给了三个文件的链接,分别查看: flag.txt里告诉我们文件在/fllllllllllllag里,welcome.txt我们给我们一个关键词render,经过搜索之后知道有render函数的模板注入;最重要的是hint.tx...
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado
qq_43564182的博客
07-04 422
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado 文章目录CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado解题网页中出现cookie: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210704232702503.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0
服务端模板注入攻击原理以及实战(SSTI)
Ba1_Ma0的博客
04-10 3599
什么是模板 简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板 模板看起来如下: hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐 这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如: hello{{user.name}} 这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用 什么是模板
SSTI(模板注入) 解析 和 ctf 做法
m0_56107268的博客
11-18 2506
ssti注入
攻防世界-easytornado
m0_49025459的博客
12-22 1157
简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板模板看起来如下:hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:hello{{user.name}}这是一个名为jinja。
sstl-lab靶场
09-02
sstl-lab靶场是一个实验室环境,用于研究和测试SSTL(Stub Series Terminated Logic)接口标准。SSTL接口标准是针对高速内存(特别是SDRAM)接口而设计的,旨在提高信号完整性。sstl-lab靶场可能包含了使用SSTL接口标准进行测试的设备和工具。根据引用,SSTL接口标准是由JEDEC认可的标准之一,其中规定了不同电压标准(如SSTL_3、SSTL_2和SSTL_18)。目前没有找到具体关于sstl-lab靶场的更多信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [DDR2 SSTL_18标准](https://blog.csdn.net/tyshtang/article/details/21193023)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [ctf系列-bugku靶场 web记录 SSTI 1 2 python flask框架 模板注入](https://blog.csdn.net/YouthBelief/article/details/123274250)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值