XCTF 进阶区 CAT

最新推荐文章于 2023-06-26 20:25:38 发布
原创 最新推荐文章于 2023-06-26 20:25:38 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过一次实战案例,展示了如何利用未被过滤的特殊字符进行宽字节注入攻击,揭示了phpCURLOPT_SAFE_UPLOAD特性下,使用@符号作为绝对路径读取文件的安全风险。

这题脑洞是真的大,讲道理
在这里插入图片描述
在这里插入图片描述
看到这个,先尝试了一下命令拼接,发现字符被过滤了应该。fuzz一下看看,有哪些字符还没被过滤了

import requests
dictory=["!","@","#","$","%","^","&","*","(",")","[","]","?","<",">",",",".","/","'",":","|","\\","`",":"]
sesssion = requests.session()
for i in range(0,len(dictory)-1):
    response = sesssion.get("http://111.198.29.45:30710/index.php?url="+dictory[i])
    if "Invalid URL" not in response.text:
        print(dictory[i])

在这里插入图片描述
0x02
之后没思路,后面看了师傅的wp才知道,从url编码入手了,直接宽字节走起。
在这里插入图片描述
在这里插入图片描述
报错了,而且报错信息是html,把这串html代码,弄成本地文件看看

在这里插入图片描述
找到了数据库的信息
在这里插入图片描述
在这里插入图片描述
这里骚的是php CURLOPT_SAFE_UPLOAD 如果加上@的话,会当成绝对路径,来读取文件,刚好@字符没被过滤。
在这里插入图片描述
在这里插入图片描述
结束

XCTFCatCatCat[WriteUP]
如有错误感谢斧正
01-11 934
!
XCTF-CAT
aaeoj8957的博客
07-17 478
果然还是我太菜了呜呜呜,这道题仍然是没有自己做出来。哎。 这一道用的并不是PHP的环境,而是用Python中的Django编写的。 记得做过类似的一道题目。来源于MOCTF中的网站扫描器,当时做完后其实一回想,后台用的应该是file_get_contents类似的函数,还应该开启了远程包含之类的。然后我们才可以直接输入url返回页面的源码等等。 但是这个感觉...
Xctf:CAT
羽的博客
07-23 591
尝试了很多命令执行的,发现并不是命令执行 而在URL中具备URL解析功能 可以在URL中输入%79 尝试。 然后就是一个Djiano的特性和PHP的特性。 在报错信息中可以找到 不看看dalao的wp我怎么做啊 ...
XCTFcat
Keepb1ue的博客
01-12 3468
django编码问题配合CURLOPT_SAFE_UPLOAD导致任意文件读取 php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode
XCTF Cat writeup
stepone4ward的博客
07-04 3871
刚看到题目的时候猜测是否是需要利用任意命令执行cat来读取文件的内容,后来才发现原来CAT是Cloud Automated Testing的缩写… 猜测1 测试输入127.0.0.1发现网站起到了检测目标站点网络是否连通(ping)的作用,我们都知道ping是一个php当中很危险的函数,可以利用|实现任意命令执行,测试payload:127.0.0.1|phpinfo();,得到返回为Inval...
xctf攻防世界 CRYPTO高手进阶 Decrypt-the-Message
l8947943的博客
02-11 1982
1. 进入环境,下载附件 题目给的是txt文件,如图: 2. 问题分析 看了wp才知道,一首诗+一段密文,考察的是Poem Codes加密,具体是什么样子的呢?如下: 先有一首诗 for my purpose holds to sail beyond the sunset, and the baths of all the western stars until I die. 选出关键词 “for”, “sail”, “all”, “stars”, “die.” 对其进行拆散: f o r
xctf攻防世界 Web高手进阶 ics-05
l8947943的博客
08-09 7647
这个题目后面不难,最难的是一开始使用php伪协议,其次是php代码审计。这儿是知识盲,慢慢积累吧。
XCTF-WEB进阶php_rce
Lorezon的博客
03-15 385
打开题目出现网页: 在网上查了TinkPHP的漏洞复现,得到payload如下: ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 漏洞复现具体...
xctf攻防世界 Web高手进阶 webshell
l8947943的博客
08-01 8950
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。...
xctf攻防世界 Web高手进阶 i-got-id-200
l8947943的博客
01-03 1305
1. 进入环境,查看题目 使用dirsearch扫一下,如图: 没有什么问题,第二个Forms点击去后,发现有回显,于是思考sql注入?一顿操作,发现也没有什么有用的信息。。。麻了! 2. 问题分析 点击Files,发现可以上传文件 上传个txt试试,发现上传啥就回显啥。另外发现页面都是.pl,查了查,是脚本语言perl。大概能get到出题的突破口,利用perl漏洞或者回显注入,从而拿到后台的flag,无奈对perl不熟,无从下手,查看wp后跟着操作来。 抓包上传文件,看看传输的内容,如图: a.
#XCTF整理#Cat
vircorns的博客
07-27 454
基于实验吧:简单的登录题学习
网络攻防路3-xctf Cat
大紫明宫空离境
12-08 645
抓住那只猫 打开题目,一脸茫然,输入域名是什么意思?题目提示loli.club,然而输入并没有什么反应,谷歌一下,FLAG在哪里 1 他们是怎么想到字符过滤的? 2 这种http://111.198.29.45:59577/index.php?url=%80,是什么错误? 3 怎么知道答案在 database 中/opt/api/database.sqlite3 4 多一个@是什么意思...
2020.4.9 xctf(Cat)①
DSR446的博客
04-19 444
给url参数传入参数%80,Django报错,根据报错知道网站是Django开发  结合PHP可以通过在参数中注入@来读取文件的漏洞,首先看看配置文件settings.py,看看有没有相关的有用的信息。 Payload:?url=@/opt/api/api/settings.py 得到数据库名为 database.sqlite3 再获取数据库内容 Payload:?url=@/opt/api/...
XCTF 攻防世界】WEB 高手进阶 Cat
weixin_45844670的博客
08-26 783
题目链接https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 【说在前面】:这道题需要的知识有flask,django等知识,所以部分知识我是从其他wp看的,(相关知识仍在补充中 【相关知识】: php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode Django使用的是gbk编码,超过%7F的编码不在gbk中有意义 当 CURL
XCTF-Web-catcat-new
weixin_45723896的博客
06-26 4608
proc/self/mem是当前进程的内存内容,通过修改该文件相当于直接修改当前进程的内存数据。file=../../../../proc/self/cmdline,发现有一个通过python启动app.py的命令。通过/proc/PID可以访问对应PID的进程内核数据,而/proc/self访问的是当前进程的内核数据。先读取/proc/self/maps文件获取可读内容的内存映射地址。/proc/self/maps包含的内容是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址。
XCTF-Cat+Bug
qq_43579362的博客
09-07 452
题目涉及知识点: python Django web框架 一些基本配置:Django项目下一般有一个setting.py配置文件来设置数据库路径以及其他信息(默认数据库是sqlite3) 具体思路 打开题目叫我输入域名,先是输入baidu.com,没反应 然后再试试127.0.0.1,然后出现了ping命令的结果 看到这个以为是命令拼接执行,于是构造127.0.0.1 | dir 应该是被过滤了吧, 然后看了提示所可以读取文件,如何读取文件,总要直到一些文件路径吧,如何知道文件路径,想到了SQL注入
【网络安全 | XCTF】Python之Django模块+curl 攻防世界 Cat 解题详析
等风来
05-30 5477
无回显,可能是因为/opt/api/是整个API项目的根目录,而/opt/api/api/是API应用程序的特定子目录,用于存放与API功能相关的文件。使用@+文件路径时,CURL将自动读取该文件内容并将其作为请求参数。这是python的Django模块,其数据库database文件存在于opt/api下的setting.py文件中。当使用文件路径作为参数时,若文件路径指定有误或不存在,则无法正确读取文件内容。flag为:WHCTF{yoooo_Such_A_G00D_@}题目描述:抓住那只猫。
算法分析:XCTF 4th-WHCTF-2017
m0_64973256的博客
04-13 244
1.下载附件是一个32位无壳console的exe,运行一遍发现基本逻辑就是提示输入一个字符串,输入以后通过一个判断来提示不同内容 2.既然是exe,那先用OD跑一边 ①查看是否有关键字符串 发现关键字符“Wrong!”,这个字符就在我们输入错误后提示的,可以看第一大步的图,双击找到这个字符串的引用(如下图) ②大概分析引用“Wrong!”的代码段 发现跳转到输出“Wrong!”函数的jnz在00401341,跳转条件就是eax不等于1,那说明只要eax只要等于1则就不跳转,执行输出“
Web安全攻防世界09 ics-07(XCTF
weixin_42789937的博客
01-29 1552
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值