BUU上的复现,之前做其他题的时候一直在想HFCTF是个啥,合肥CTF?听起来就很不合理,这次这个题是之前队里师傅出的,所以我到这个时候才发现原来是虎符CTF。。。
SQL注入题,但是我作为SQL注入废物,自然是不能很顺畅的做出来
代码很简单,登录注册两个功能,admin登录就能拿flag。过滤了一堆东西 preg_match('/union|select|or|and|\'|"|sleep|benchmark|regexp|repeat|get_lock|count|=|>|<| |\*|,|;|\r|\n|\t|substr|right|left|mid/i', $str)),同时还限制了数字(preg_match('/\d{9}|0x[0-9a-f]{9}/i',$str))。登录的话,登录成功失败和发生错误是三个不同的回显,所以可以通过触发错误进行盲注,常见操作就是整数溢出注入了,但是这里限制了数字的位数,所以整数溢出似乎也做不到。
java题,有一个非预期版本和一个完全体,由于我垃圾的java基础和审计水平,并没有发现非预期写的垃圾代码,都是按完全体思路去做的
注册登录两个路由,注册点了之后会有一个not allowed的烟雾弹,但是其实页面存在且有js提示。但是我直接抓了个登录的包然后改路由到register上成功注册了
登录进去之后有两个主要功能,一个上传一个下载,上传要求用户权限admin,而下载是个任意文件下载。一开始并没有意识到这个是java题,还在想是不是nodejs或者python,但是后来看那个默认的图片下载目录穿越了两层目录才下下来,越想越不对劲,感觉可能是java。开始乱按,对java的工作路径和目录结构不是很熟悉,但还是成功摸到../../WEB-INF/web.xml,看到了各个类的路径
依次根据各类路径下载class文件,丢到Intellij中反编译。
buu重拳出击!这个比赛的题目都还挺有意思的,做完之后觉得学到了些什么
有一个是一分题之前做过了,这次的两个不是一分,不过因为其相似性还是很有意思
就一个功能点,给url返回这个url内容的PDF,稍微试了一下,功能并不是很完整,很多内容加载不出来就进行了截图。然后测了一下能不能直接ssrf之类的,协议貌似写死了http(s),所以直接file不行的,支持重定向,但是重定向也不能改协议到file啊。计划1不通
那么进行经典ssrf扫端口,但是我觉得不告诉你内网端口硬扫的题目也挺坑的(应该不会有人出这么脑瘫的东西),试了几个常用端口无果之后开始想其他办法
这次的题四个web,但是抄原题的抄原题,套娃的套娃,并且感觉题目的重复程度好高。。。虽然垃圾的我做不出来,但是我还是觉得这次的题目没有那种让人眼前一亮或者学到东西的感觉。。。
魔改自XNUCA2020 oooooooooldjs,加载图片的地方可以任意文件读取,读了源码加package.json,然后npm audit看一下,能发现是打的一个express-validator的原型链污染,污染完了就是一个pug的rce,pug的rce是复制粘贴就能打的那种,express-validator的原型链污染也是复制粘贴就能打的,但是改了一个地方,原来的题目用了express.json支持json数据解析,所以json直接提交一个对象就能打通,这里没有json解析了,但是没有认真去了解过这个库是怎么处理数据的,不知道怎么样的提交能实现之前同样的效果
一开始在想怎么伪造admin身份,也有可能是打那个session-file-store,但是那个需要获取到session key和能写文件,session-file-store的session也和phpsessionid有点像,前半截文件名,默认路径是./session,后半截是拿key算的签名保证不被伪造,因为前半截的文件名完全没有校验,甚至可以目录穿越去加载session文件,但是这里既读不到key也写不了文件,也不行
需要进行乱按来进行原型链污染,一开始没有意识到抄的payload里面的双引号是在转义json。。。所以抄payload的时候一直带着那个转义符,第二天复盘的时候突然意识到这一点,去掉之后瞬间打通。。。呜呜呜,污染完原型链之后就是复制粘贴打在开启pretty选项时pug的rce,纯复制粘贴题
非json解析下的原型链污染payloada[__proto__][isadmin]=admin&a"].__proto__["isadmin=222
除了那个没太看懂怎么回事的0解题,剩下的题目都挺简单的,很适合我这种萌新去做
就是简单的跟随重定向就行了,跟1337次后得到flag但是他的服务器似乎有点土豆,所以直接写个脚本然后访问的话基本上重定向个一二十次就断了,浏览器访问当然是直接重定向过多,所以不跟重定向然后自己每次重新访问重定向的内容就行
import requests
url = "http://adnetwork-cybrics2021.ctf.su/adnetwork"
cnt = 0
while cnt <= 1337:
try:
response = requests.get(url, allow_redirects=False, timeout=2)
cnt += 1
if response.status_code > 300:
print(response.headers['Location'])
url = response.headers['Location']
else:
print(response.text)
except Exception as e:
print(e)
ans = "http://tend.adnetwork-cybrics2021.ctf.su/military-front-low/learn-fill-though-factor-line/hear-hundred-subject-wind/enough-lot-tree-will-color"