NSSCTF第8页(1)

最新推荐文章于 2024-11-04 22:26:34 发布
最新推荐文章于 2024-11-04 22:26:34 发布
阅读量168 收藏
点赞数
分类专栏: NSSCTF 文章标签: java 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwyyyrre/article/details/133955009
版权

[HGAME 2023 week1]Classic Childhood Game

js代码审计,找关键语句,发现event.js里边东西是最多的

找到了通关语句

他下边应该是就关键代码了,有一串16进制代码

解出来是base64,接着解  两次base64 解码,就得到了flag, 把前缀换成NSSCTF就ok

prize_p5

源代码:

<?php
error_reporting(0);

class catalogue{
    public $class;
    public $data;
    public function __construct()
    {
        $this->class = "error";
        $this->data = "hacker";
    }
    public function __destruct()
    {
        echo new $this->class($this->data);
    }
}
class error{
    public function __construct($OTL)
    {
        $this->OTL = $OTL;
        echo ("hello ".$this->OTL);
    }
}
class escape{                                                                   
    public $name = 'OTL';                                                 
    public $phone = '123666';                                             
    public $email = 'sweet@OTL.com';                          
}
function abscond($string) {
    $filter = array('NSS', 'CTF', 'OTL_QAQ', 'hello');
    $filter = '/' . implode('|', $filter) . '/i';
    return preg_replace($filter, 'hacker', $string);
}
if(isset($_GET['cata'])){
    if(!preg_match('/object/i',$_GET['cata'])){
        unserialize($_GET['cata']);
    }
    else{
        $cc = new catalogue(); 
        unserialize(serialize($cc));           
    }    
    if(isset($_POST['name'])&&isset($_POST['phone'])&&isset($_POST['email'])){
        if (preg_match("/flag/i",$_POST['email'])){
            die("nonono,you can not do that!");
        }
        $abscond = new escape();
        $abscond->name = $_POST['name'];
        $abscond->phone = $_POST['phone'];
        $abscond->email = $_POST['email'];
        $abscond = serialize($abscond);
        $escape = get_object_vars(unserialize(abscond($abscond)));
        if(is_array($escape['phone'])){
        echo base64_encode(file_get_contents($escape['email']));
        }
        else{
            echo "I'm sorry to tell you that you are wrong";
        }
    }
}
else{
    highlight_file(__FILE__);
}
?>  

PHP原生类的利用_慕晨sekurlsa的博客-CSDN博客 

https://www.cnblogs.com/bcxc/articles/17052527.html (php原生类利用)

还是,要构造pop链,这里有一个利用点。

这里可以利用反序列化原生类

 public function __destruct()
    {
        echo new $this->class($this->data);
    }
}

这里可以实例化任意类,而且配合echo输出,那么自然想到就是原生类读文件了。这里利用FilesystemIterator来读取根目录有哪些文件。 

还有一个利用点是file_get_contents()函数,读取文件,路径可控

 if(is_array($escape['phone'])){
        echo base64_encode(file_get_contents($escape['email']));

过滤点:

<1>对于第一个反序列化点
只对get传入的序列化字符串内容进行正则匹配,匹配object关键字,忽略大小写
<2>对于第二个文件读取点
(0)get要设置cata的值
(1)对post传入的email参数进行匹配,匹配关键字flag,忽略大小写
(2)对生成的catalogue序列化字段进行关键字的替换,关键字'NSS', 'CTF', 'OTL_QAQ', 'hello'替换成'hacker'
(3)post phone要传入一个数组

读到了文件是/flag,接着来

 

 在根目录下有一个flag文件,我们利用SplFileObject这个原生类,同时他对object进行了过滤

利用编码绕过即可。

这里有一个知识点:

方便数据的传输,反序列化内容中大写的S表示字符串,可以识别内容里的十六进制

把序列化中的s变成大写就可以进行绕过,通过这个知识点,把object里边的一个字母变成16进制,就可以实现绕过,这里把b变成\62就可以

 payload:

O:9:"catalogue":2:{s:5:"class";S:13:"SplFileO\62ject";s:4:"data";s:5:"/flag";}

得到flag

这里只是一种解法,还可以利用字符替换,进行字符串逃逸,然后利用file_get_contenes()进行文件读取

推荐一篇大佬的博客

nssprize5 - 刷题记录 |Yume Shoka = Xilzy's blog = Just have fun in cyberspace!

[HDCTF 2023]YamiYami 

Linux内核:进程管理——进程文件系统 /proc详解 - 知乎 

Linux下 /proc文件夹内容解析(/proc文件系统解析)_proc environ-CSDN博客 

有一种非预期解法,就是利用/proc来读取环境变量,得到flag

在第一个链接来读取

先访问一下/etc/passwd

发现能读取,那就读取环境变量得到flag  file:///proc/1/environ

这是一个Linux系统特有的文件路径,其中的“/proc”目录是一个特殊的虚拟文件系统,提供了对内核数据结构的访问和控制。在这个目录下,“1”代表的是PID为1的进程(也就是init进程)。而“environ”文件则保存了该进程启动时设置的环境变量,以及之后在该进程中使用 putenv() 或者 setenv() 等相关函数修改的环境变量。
 

他在最后一个链接提到了/app ,应该是他源码存在的地方,尝试访问

发现读取不出来

 /flag也是读取不出来,应该是有限制,利用url编码来读取

app/app.py -> %61%70%70/%61%70%70%2E%70%79 --> %2561%2570%2570/%2561%2570%2570%252E%2570%2579

成功读取到源码


#encoding:utf-8
import os
import re, random, uuid
from flask import *
from werkzeug.utils import *
import yaml
from urllib.request import urlopen
app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = False
BLACK_LIST=["yaml","YAML","YML","yml","yamiyami"]
app.config['UPLOAD_FOLDER']="/app/uploads"
 
@app.route('/')
def index():
    session['passport'] = 'YamiYami'
    return '''
    Welcome to HDCTF2023 <a href="/read?url=https://baidu.com">Read somethings</a>
    <br>
    Here is the challenge <a href="/upload">Upload file</a>
    <br>
    Enjoy it <a href="/pwd">pwd</a>
    '''
@app.route('/pwd')
def pwd():
    return str(pwdpath)
@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('app.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m:
            return "re.findall('app.*', url, re.IGNORECASE)"
        if n:
            return "re.findall('flag', url, re.IGNORECASE)"
        res = urlopen(url)
        return res.read()
    except Exception as ex:
        print(str(ex))
    return 'no response'
 
def allowed_file(filename):
   for blackstr in BLACK_LIST:
       if blackstr in filename:
           return False
   return True
@app.route('/upload', methods=['GET', 'POST'])
def upload_file():
    if request.method == 'POST':
        if 'file' not in request.files:
            flash('No file part')
            return redirect(request.url)
        file = request.files['file']
        if file.filename == '':
            return "Empty file"
        if file and allowed_file(file.filename):
            filename = secure_filename(file.filename)
            if not os.path.exists('./uploads/'):
                os.makedirs('./uploads/')
            file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))
            return "upload successfully!"
    return render_template("index.html")
@app.route('/boogipop')
def load():
    if session.get("passport")=="Welcome To HDCTF2023":
        LoadedFile=request.args.get("file")
        if not os.path.exists(LoadedFile):
            return "file not exists"
        with open(LoadedFile) as f:
            yaml.full_load(f)
            f.close()
        return "van you see"
    else:
        return "No Auth bro"
if __name__=='__main__':
    pwdpath = os.popen("pwd").read()
    app.run(
        debug=False,
        host="0.0.0.0"
    )
    print(app.config['SECRET_KEY'])
 

需要做的事情就2件,因为提示在/boogipop做坏事,那么就需要伪造session,Yaml反序列化。

伪造session,需要知道secret_key,对secret_key的定义

app.config['SECRET_KEY'] = str(random.random()*233)

对于伪随机数,当seed固定时,生成的随机数是可以预测的,也就是顺序为固定的,所以只要知道seed的值即可。这里看到seed使用的uuid.getnode()函数,该函数用于获取Mac地址并将其转换为整数。所以我们还需要读一下Mac地址。

random.seed(uuid.getnode())  

前提知识:
在 python 中使用 uuid 模块生成 UUID(通用唯一识别码)。可以使用 uuid.getnode() 方法来获取计算机的硬件地址,这个地址将作为 UUID 的一部分。
那么/sys/class/net/eth0/address,这个就是网卡的位置,读取他进行伪造即可。 

读取到的mac地址,把他转换成10进制

2485376912964 

构造secret_key 74.93509459398877

他的session形式

 

 在进行伪造session,伪造好session之后就是进行反序列化了

eyJwYXNzcG9ydCI6IldlbGNvbWUgVG8gSERDVEYyMDIzIn0.ZTPnxA.HH4vFZIJQ3RCFrA5XkJcirW1oe4

PyYaml反序列化漏洞_snowlyzz的博客-CSDN博客

接下来就是构造并上传yml文件进行反序列化:

由于上传文件后缀设置了黑名单,所以直接采用.txt文件,那为什么.txt也能被当作.yaml来解析呢。猜测可能是:这里full_load调用了load函数,而load函数输入的是一个steam,也就是流,二进制文件,所以不管是什么后缀都无关紧要了。 

 

上传成功后通过源码可知文件访问路径为/boogipop?file=/uploads/expp.txt

 成功访问

接下来就是连接 然后进行查询,得到flag

改session

监听并连接成功 

NSSCTF 2nd WEB
ytl_storm的博客
09-25 386
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录中创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法中接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞。
NSSCTF第14(1)
wwwwyyyrre的博客
11-30 172
利用了几种方式,发现都不行1是修改mime类型,2是修改php标签为js标签,3是修改文件后缀在试试用配置文件来上传发现上传.user.ini文件成功发现上传成功上传的png图片访问上传路径发现可以访问,上马成功ls /cat /flag。
NSSCTF第8(2)
wwwwyyyrre的博客
10-23 480
没有环境。
NSSCTF第16(1)
wwwwyyyrre的博客
12-14 254
是有附件,下载下来解压在/vote-1637654763\www\routes下找到了源码这道题的考点是AST配合Pug模板引擎实现注入有现成的payload主要代码,需要满足if语句,从而可以执行compile语句"name":"奇亚纳"},
NSSCTF第15(1)
wwwwyyyrre的博客
12-09 170
点击read something,发现访问了百度读到了源码就是ssrf+flaskstr(ex)session伪造当时可以得到flag。知道了SECRET_KEY加密的方法是str(random.random() * 233)而random.random()为Mac地址读一下mac地址注意:uuid.getnode()返回的值是Mac值的16进制形式,但是去掉了中间的冒号。然后进行session解密得到加密形式开始加密传参得到flag。
[NSSCTF]prize_p1
m0_73756016的博客
05-02 1316
之前做了p5 才知道还有p1到p4遂来做一下顺便复习一下反序列化对象的析构函数在对象被销毁时触发,对象被销毁的情况。
NSSCTF第10(3)
wwwwyyyrre的博客
11-05 404
第一题:(1/?第三题:php// 第三个彩蛋!(看过头号玩家么?//(3/??第六题:wow 你找到了第二个彩蛋哦~_S0_ne3t?(2/?第七题:这个好像是最后一个个彩蛋拼接:_S0_ne3t?注意:题目给的提交的格式是NSSCTF{},因此:_S0_ne3t?
NSSCTF第12(2)
wwwwyyyrre的博客
11-15 695
<user></intro></user>
NSSCTF第11(3)
wwwwyyyrre的博客
11-09 789
源码发现会在写入文件之前会删除目录下的除了index.php的文件。写入文件的文件名和文件内容也是可控的,只不过存在过滤stristr函数对文件内容进行过滤,该函数绕过还是简单的,只需要添加一些特殊字符就可以了,和字符串弱类型比较相似。对于文件名的正则匹配,有点没读懂怎么个条件,到底是允许字母还是不允许,测试了一下该代码环境,运行之后明白该正则条件输入.[a-z]是可以绕过该正则的,返回false知道了这些剩下的就是利用了既然会删除除了index.php文件,直接覆盖index.php。
NSSCTF第16(3)
wwwwyyyrre的博客
12-18 239
只能使用一个字符,一个字符能够购买id4,于是我们需要找到一个字符比1337大的数字,前端html使用的是utf-8,后端python处理使用的是unicode,编码不一致造成了转码安全问题。在编码网站https://www.compart.com/en/unicode/,寻找大于1337的数字就可以得到flag。题目提示python unicode,利用的漏洞是unicode安全问题,是关于Unionde等价性的漏洞。就是在最开始找注入点的时候会卡一下,剩下的都还好。bp抓包发现切换面url是传参的。
NSSCTF-HDCTF2023-Yami题解记录
LeBR0NY的博客
04-26 421
NSS-HDCTF2023 web yami题解记录
NSSCTF】刷题记录——[SWPUCTF 2021 新生赛]系列(REVERSE篇)
jameshuangchuan的博客
08-10 2767
str.zfill(width)根据width长度对str进行切片,那么此题中的注释可以看出,result。真的麻,年轻时没有好好学习,后果就是一把年纪重新捡起这些玩意看到程序就头皮发麻……hex()用于将10进制整数转换成16进制,以字符串形式表示。ord()用来返回对应字符的ascii码。此处主要在NSSCTF平台(
NSSCTF】刷题记录——[SWPUCTF 2021 新生赛]系列(CRYPTO篇)
jameshuangchuan的博客
08-28 1159
刚经过reverse的折磨又来?分析可得原文经过了三层加密,按顺序分别是base64、base32、base16,那倒序逐层解密就完事了。看着像是MD5加密过的。字符串复制粘贴到在线MD5解密工具上跑吧。第一次提交flag把牵前面的b'带上了,报错,去掉之后就对了。刚好前段时间刷到到过一篇文章讲猪圈密码的,直接对着看就行。碰到UUEncode解密的时候出现了flag。感觉没看出来啥规律,只好拿出工具无脑碰运气。此处主要在NSSCTF平台(……得到flag是md5yyds。
BUUCTF【pwn】解题记录(1-3已完结)
Assassin
05-05 1988
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
HashMap为什么线程不安全?
rnnf_yyds的博客
11-03 609
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 1109
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分的时候展示的是菜品名字。
spring循环依赖解决方式
qq_36400213的博客
11-04 762
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
SpringSession源码分析
lkr_lkr的博客
11-01 434
默认对常规Session的理解和使用,如何使用Set-Cookie。
Java知识】Java基础-对象排序的实现
最新发布
wendao76的专栏
11-04 251
方法,并且需要提供一个比较器(Comparator)来定义对象的排序逻辑。这些示例展示了如何在Java中对对象进行排序,无论是使用列表还是数组,都可以灵活地使用比较器来定义排序规则。在Java中,对象的排序通常涉及到使用。
nssctf pwn
10-24
NSSCTF (National Security Service CTF) 是一种网络安全比赛,其中pwn (Payload Writing and Exploitation) 题目通常涉及漏洞利用和内存安全相关的挑战。在这样的竞赛中,参赛者需要找到程序中存在的安全漏洞,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值