NJCTF2017 线上赛 web 题解 By Assassin

最新推荐文章于 2025-03-03 12:54:29 发布
最新推荐文章于 2025-03-03 12:54:29 发布
阅读量7.2k 收藏 2
点赞数 1
分类专栏: Web 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35078631/article/details/62980648
版权
本文详细介绍了NJCTF2017线上赛的Web题目解题过程,涉及MySQL变量名截断、Bash通配符利用、Node.js缓冲区溢出、HMAC绕过、SQLite注入等多个技术点,通过实际操作演示了解题思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Login

打开以后出现一个登陆页面,下面有一个注册用户的链接。

这里写图片描述

打开申请界面

这里写图片描述

看着申请的密码还有要求不知道是不是题目的关键点。
我们先申请一个账号登陆一下看看,发现是这样的

这里写图片描述

尝试申请一下admin发现已经存在了

这里写图片描述

那么本题的知识点是mysql变量名在输入太长的时候会被截断!!那么我们就可以构造不是admin但是阶段后是admin的用户名

payload:
username=admin                                                                  a
pass=123QWEasd

这是登陆的截断,就相当于我们修改了admin的密码一样,然后用账号admin和密码123QWEasd登陆就可以成功了!

Get Flag

开始是上传一个文件比如1.jpg可以得到一个图片,然后我们随便输入一个东西,比如说123,然后我们可以得到如下的东西

这里写图片描述

然后是一个base64解码嘛,然后解密一下发现是这样的

cat: images/123: No such file or directory

然后我们发现就是cat查询,中间使用bash的通配符!然后可以控制命令行。有什么; * ,等都被过滤了,但是&没有被过滤,所以可以通过这个加入命令,不断用ls得到目录,当前没有,向上目录搜索,在构造11.jpg&ls ../../../ 解码时时候发现如下:

cat: images/11.jpg: No such file or directory
9iZM2qTEmq67SOdJp%!oJm2%M4!nhS_thi5_flag
bin
boot
dev
etc
home
lib
lib64
media
mnt
opt
proc
root
run
sbin
srv
sys
tmp
usr
var

估计就是第一个了,于是我们构造11.jpg&cat ../../../9iZM2qTEmq67SOdJp%!oJm2%M4!nhS_thi5_flag 在解码后得到答案!

这里写图片描述

值得一提的是,学习一发bash的通配符吧
bash之通配符


Chall I

google真是个好东西,搜索一下hack nodejs就找到了一篇思路相似的文章快来学习吧! 基本上思路完全相同,真是学习到了!

首先线下的网址是http://218.2.197.235:23729/ 看到的就是两个页面而已,然后我们观察源码根本什么都没有。然后打开F12看一下返回值。既然是讲js的,我们可以看到有angular.js和main.js,打开看一看第一个似乎是配置文件,和我们登陆的系列流程没有什么关系,但是我们再看main.js如下

var passwordApp = angular.module('passwordApp', []);

passwordApp.controller('PasswordCtrl', function ($scope, $http, $window) {
   
  $scope.password = '';
  $scope.login = {};

  $scope.enter_password = function() {
   
    $http.post('/login', {password: $scope.password}).then(function(response) {
   
            console.log(response.data);
            if(response.data.status === 'ok') {
                $window.location.href = "/admin";
            }
            $scope.login = response.data;
        }, function(response) {
   
            console.log(response.data);
            $scope.login = response.data;
        });
    }

    $scope.logout = function() {
   
        $http.get('/logout').then(function(response) {
   
            if(response.data.status === 'ok') {
                $window.location.href = "/admin";
            }
        }, function(response) {
    });
    }



});

然后我们似乎找到了其他的页面吧!

1

访问一下可以看到

这里写图片描述

admin是可以访问的,其他两个访问不到。
尝试登陆一下看看效果,登陆后network中多了一个login,打开看一下

这里写图片描述

这里有个东西很有意思

这里写图片描述

eyJhZG1pbiI6Im5vIn0=解码为{“admin”:”no”},好像改成yes就行了?但是这里是不行的!所以还是想想其他办法。

然后干啥???居然是网上找源码,在github上找,搜索请登录,bibibibibibibibibibibibibibi~找到一个代码!还真是老司机

这里写图片描述

到处看看其实最主要的代码在app/routes/index.js上

var express = require('express');
var config = require('../config');
var escape = require('escape-html');  
var crypto = require('crypto');
var reg = /^[0-9]*$/;
var router = express.Router();

router.get('/', function(req, res, next) {
   
    res.render('index', { title: 'index', admin: req.session.admin });
});

router.get('/admin', function(req, res, next) {
   
    res.render('admin', { title: 'admin', admin: req.session.admin, flag: config.secret_password });
});

router.get('/logout', function(req, res, next) {
   
    req.session = null;
    res.json({
  'status': 'ok'});
});

router.post('/login', function(req, res, next) {
最低0.47元/天 解锁文章
NJCTF writeup
Ni9htMar3的博客
03-27 5436
WEBLogin打开是一个注册与登陆界面,随便注册一个账号然后抓包,发现必须是admin账号才会给flag 这样利用长度截取 用空格空出,超出注册用户名长度,然后后面跟一个1避免被函数消掉,这样我们就成功强行修改admin的密码为自己的密码 登陆即得flagGet Flag首先按照他所说的输入,会出现图片,并且格式是base64 然后随便输入 解密后发现执行的是cat命令 这样只要构造命
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 9165
NJCTF 2017 web Writeup
NJCTF-2017-web-writeup
dengzhasong7076的博客
03-15 668
记录一下这次比web一些有意思的题 Be Logical(450) http://218.2.197.235:23739/ 注册账号密码进去后发现大概是一个,积分可以转换为金币,然后再历史纪录里面又可以将金币转换为积分。 第一个感觉肯定这个是逻辑漏洞,感觉积分和金币之间转换的时候,可以利用多线程来跑一下。 在积分转换为金币的页面得知Sign.php,后面猜解文件泄漏为.Sign.php...
CTF比是什么?需要学哪些东西,1篇文章给你讲透彻!从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
03-03 1051
除了这些基础技能外,还需要不断学习和尝试,积累更多的知识和经验,才能更好地参与CTF比并取得好成绩。7.web安全:了解Web应用程序的基本原理和常见的安全漏洞,比如SQL注入、跨站点脚本攻击等,可以更好地保护自己的Web应用程序。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」6.攻击手段:了解常见的恶意软件类型和攻击方法,比如病毒、蠕虫和木马等,可以更好地防范和应对攻击。**在攻防模式下,**参者需要攻击对方团队的系统并防止自己的系统被攻击。
NJCTF WEB Writeup
4ct10n
03-18 5978
Login 首先创建id 登陆进去 发现要用admin登陆 首先用爆破想想不可能 其次利用注册重新注册admin 一开始想的是利用SQL注释等注册但发现不行 其次就想到长度限制&空格漏洞 'guest'= 'guest ' 首先绕过重名检测 ,接着设置了长度限制之后用空格漏洞注册注册admin Get Flag随便输入试
NJCTF2017-pingme-wp
fa1c4的blog
02-03 1006
文件下载 注意这题是无源码和二进制文件的题目(blind fmt) 运行发现是输入字符串然后回显, 输入长字符常看是否崩溃判断溢出, 输入格式化字符串查看输出判断格式化漏洞 初步判断有格式化漏洞, 且AAAA在第7个参数位置, 也可以用pwntools的fmtstr模块确认位置 from pwn import * io = process('./pingme') def exec_fmt(payload): io.sendline(payload) info = io.recv()
NJCTF 2017-messager
yld666的博客
12-06 427
但此处由于程序fork()出了子进程,子进程的崩溃并不影响主进程,所以此处我们可以通过爆破的方式突破canary保护,然后覆盖函数返回地址并将其改变为sub_400BC6,便可以成功获取flag文件值。分析可知,在第38行位置while循环中,每次发生连接程序就复刻(fork)一个子进程,然后跳出循环,调用sub_400BE9()函数与用户进行交互,如果函数正常返回,会打印出字符串“Message received!分析可知该函数打开flag文件,并将文件内容放入unk_602160处,
CTF使人变傻——3
tas的博客
03-30 209
more。
BugkuCTF-WEB题login1
am_03的博客
08-29 1546
知识点 存在SQL约束攻击的网站,注册时通过数据库已有账户例如admin+大量空格,随意密码点击注册,后端先在数据库查找select,将已有账户扩充相同长度,已有账户与注册账户(有大量空格)不等,因为有效长度不同(已有账户扩充的长度不为有效长度),之后插入insert,截断注册账户的多余长度,但后面为大量的空格,由于在SQL里执行字符串处理时,字符串末尾的空格符将会被删除,所以最后插入的注册账户即为已有账户admin,密码成为注册时的密码,即可成功登陆。 补充: 简单来说:就是在注册页面通过大量空格来超过s
CTF练习题[WEB]-点login咋没反应
weixin_45246254的博客
02-10 2679
https://ctf.bugku.com/challenges/detail/id/109.html?page=1 拿到题目如下 点击登录没有反应 扫目录发现admin.css 尝试提交参数 需要在elseif处获得flag 先把KEY进行序列化 放入cookie中,获得flag
[NCTF2019]SQLi
qq_52671379的博客
04-17 786
[NCTF2019]SQLi
[HCTF 2018]admin (三种解法详细详解)
记录学习,一起进步
01-17 2802
[HCTF 2018]admin
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
热门推荐
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
CTF-WEB总结(四-题目来源i春秋)
weixin_41038905的博客
05-07 5696
Web总结: 1.网页源代码查看 即使浏览器不设置 直接访问此链接也可以看到原代码,后来发现其他网页也是如此, 所以破解方法有三个 一个是直接F12查看元素可以看到 一个是设置浏览器关闭js 一个是直接在链接前加view-source    注意看原代码的链接:view-source:http://159.138.137.79:55803/ 2.直接在链接后加/robots.txt,这边记录了爬虫...
Padding Oracle Attack 分析
4ct10n
05-12 9073
Padding Oracle Attack是一个经典的攻击,在《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,本篇文章结合着NJCTFBe admin 进行详细的讲解,扫除知识上的盲点。 本篇文章讲解的顺序是攻击原理、攻击条件、本地测试、结果分析与总结四个方面进行详细的讲解。
NTUCTF web——admin
weixin_45664911的博客
11-26 456
admin 打开网页,看到右上角,注册一个账号并登录。 查看源代码 “你不是管理者!” 那就去注册一个name为管理者的账号,发现是成功不了的 GitHub是用于版本控制和协作的代码托管平台。它使您和其他人可以在任何地方共同处理项目。 这题有使用到github,可以参考文章(https://www.runoob.com/w3cnote/git-guide.html) github使用教程:h...
c++判断整数翻转溢出_CBC字节翻转攻击解析
weixin_39881387的博客
11-27 148
CBC字节翻转攻击解析一、分组密码的模式分组密码的主要模式有5种:ECB模式(电子密码本模式)—(Electronic CodeBook mode)CBC模式(密码分组链接模式)—(Cipher Block Chaining mode)CFB模式(密文反馈模式)—(Cipher FeedBack mode)OFB模式(输出反馈模式)—(Output FeedBack mode)CTR模式...
Buuctf之web(五)
qq_50589021的博客
12-14 7095
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
2018ACM江苏省邀请张恺晨题解解析
标题中提到的“2018ACM江苏省邀请题解+std”是指2018年在江苏省举办的ACM邀请的题目解答,以及参选手提交的标准答案(standard solutions,简称std)。这份资料不仅包含了解决问题的方法和策略,还附有参...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值