BaseCTF2024复现_web_week4部分

最新推荐文章于 2025-08-28 00:00:00 发布
原创 最新推荐文章于 2025-08-28 00:00:00 发布 · 379 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #安全

圣钥之战1.0(原型链污染)

题目提示,去read,找flag

得到源码

J1ngHong说:你想read flag吗?
那么圣钥之光必将阻止你!
但是小小的源码没事,因为你也读不到flag(乐)

from flask import Flask,request
import json

app = Flask(__name__)

def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

def is_json(data):
    try:
        json.loads(data)
        return True
    except ValueError:
        return False

class cls():
    def __init__(self):
        pass

instance = cls()

@app.route('/', methods=['GET', 'POST'])
def hello_world():
    return open('/static/index.html', encoding="utf-8").read()

@app.route('/read', methods=['GET', 'POST'])
def Read():
    file = open(__file__, encoding="utf-8").read()
    return f"J1ngHong说:你想read flag吗?
那么圣钥之光必将阻止你!
但是小小的源码没事,因为你也读不到flag(乐)

{file}

"

@app.route('/pollute', methods=['GET', 'POST'])
def Pollution():
    if request.is_json:
        merge(json.loads(request.data),instance)
    else:
        return "J1ngHong说:钥匙圣洁无暇,无人可以污染!"
    return "J1ngHong说:圣钥暗淡了一点,你居然污染成功了?"

if __name__ == '__main__':
    app.run(host='0.0.0.0',port=80)

 然后进入

关键代码分析:

1、merge函数:递归地将源字典src中的键值对合并到目标对象dst中(这种递归合并的方式可能会导致原型链污染)

2、cls类:用于储存被污染的数据

3、pollute路由:如果请求是JSON格式,merge函数会将JSON数据合并到instance对象中

思路:利用merge函数的递归特性,通过构造恶意的JSON数据来污染instance对象,再根据/read目录里的file = open(__file__, encoding="utf-8").read(),利用__file__属性查看

 然后再刷新/read界面

flag直接读取不就行了?(目录遍历)

<?php
highlight_file('index.php');
# 我把flag藏在一个secret文件夹里面了,所以要学会遍历啊~
error_reporting(0);
$J1ng = $_POST['J'];
$Hong = $_POST['H'];
$Keng = $_GET['K'];
$Wang = $_GET['W'];
$dir = new $Keng($Wang);
foreach($dir as $f) {
    echo($f . '<br>');
}
echo new $J1ng($Hong);
?>

源码中有提示,要进行目录遍历

那我们就先进行目录遍历,然后在去读取文件内容

这里是通过J、K传入类名,然后H、W传入对应值

先找可以进行目录遍历的类

DirectoryIterator类:一个内置的类,用于迭代目录中的文件和子目录。它实现了 Iterator 接口,可以方便地在目录中进行遍历。

RecursiveDirectoryIterator 类:一个递归迭代器,可以用于遍历目录及其所有子目录。它通常与 RecursiveIteratorIterator 配合使用,以便更方便地处理递归目录。

任选一个作为K的值传入即可,W的值为“/secret”

接下来进行文件读取 (这里复用前两个参数也能做到文件读取)

SplFileObject 是类:PHP 的标准库类之一,它提供了一个面向对象的方式来读取文件。它支持逐行读取文件内容,并且可以方便地操作文件指针

然后ctrl+u查看源码

yu@n_
关注
webid、sec_poison_id、a1web_session参数分析与算法实现
吴秋霖的博客
06-22 2962
最新且最全的webid、sec_poison_id、a1web_session参数分析与算法实现
[ vulhub漏洞复现篇 ] ECShop 4.x collection_list SQL注入
qq_51577576的博客
10-01 2038
[ vulhub漏洞复现篇 ] ECShop 4.x collection_list SQL注入ECShop是上海商派网络科技有限公司(ShopEx)旗下——B2C独立网店系统,适合企业及个人快速构建个性化网上商店,系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。
BaseCTF2024 Web方向 WP
2302_81393479的博客
09-22 365
文章在博客,链接:BaseCTF2024 Web&Misc WP | 0pium's Blog (hack3r0pium.github.io)
BaseCTF2024复现_web_misc_week2
2302_79586141的博客
12-15 1853
(由48字节的随机数据转换成。对于第二个判断,它将传入的值,转换成了字符串,数组不再适用,但判断中第二个条件“md5((string)$apple) == md5((string)$banana))”是一个弱类型判断,传入两个经MD5加密后时0e开头且其后是数字的字符串即可。打开压缩包,发现flag.txt文件,但是被加密,下面还有密提示(“The_key_is_n0secr3t”),但与题目提示中的“压缩包密码为6位”(相冲)暂且不管(试了一下确实不是),进行压缩包爆破,将口令长度设为6位,开始爆破。
2024BaseCTF新生赛wp(前三周)
2301_79200709的博客
09-06 4206
根据题目改数据包,最后提示flag已经出现过了,说明可能是需要抓包看每一步的响应数据这样就能看见flag已经有了,base64解码就可以得到。
2024BaseCTF Web
2301_80913334的博客
09-23 470
根据代码我们可以知道是需要发送JSON数据到/pollute,merge函数会尝试将这个 JSON 数据合并到instance对象中,再根据/read目录里的file = open(__file__, encoding="utf-8").read(),可以猜测有可能利用__file__属性打开flag文件查看。是一道原型链污染(其实从题目提示的污染就可以猜到了)此时再返回题目访问/read即可得到flag。进入后可以发现题目说去read找flag。所以访问发现得到源码。
BaseCTF2024 WP (主要为Rev)
Pisces50002的博客
08-21 980
经典迷宫,出题人不知道怎么想的让程序故意打不开,也没看见动调。搓一个DFS(AI写的),上下左右wasd。nc一下即可,注意nc之后要ls。脱UPX标准壳,解base64。简单的反向异或,数据动调取一下。AI秒了,实际上就是个AES。GPT秒了,爆一下hash。换表base64+异或。
BaseCTF2024复现_web_week1
2302_79586141的博客
12-01 726
阅读源码,这是一个传参利用eval()漏洞问题构造payload:url/?得到flag。
BaseCTF2024复现_web_week4补充
2302_79586141的博客
03-09 855
JWT(JSON Web Token)是一种用于在网络应用中安全地传输信息地开放标准,通常用于用户身份验证和授权,JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),每部分之间用点(.)进行分隔。载荷:存储了要传输的数据,JWT的载荷有三种类型——注册的声明(Reserved claims)、公共的声明(Public claims)和私有的声明(Private),且默认情况下JWT是加密的。但是在复现的时候这个题目的容器似乎有问题,进入靶场,其页面显示。
BaseCTF2024复现_misc_week1
2302_79586141的博客
12-08 417
现进行base32解码再将解码结果进行base64解码,得到flag。
[GFCTF 2021]Baby_Web复现)
qq_53460654的博客
12-20 5023
打开环境 所以要我们读取上层目录的某个文件 所以我想应该会存在任意文件读取和路径穿越漏洞 然后标签有CVE-2021-41773 所以直接github拿到这个漏洞的 工具 payload 我们来读一下index.php.txt <?php error_reporting(0); define("main","main"); include "Class.php"; $temp = new Temp($_POST); $temp->display($_GET['filename']); ?
简单漏洞复现_网络渗透测试
Radiency的博客
11-23 1807
利用easy file sharing server服务漏洞;远程控制目标,生成主控端、被控端,获得靶机控制权。
海洋CMS admin_notify.php 远程代码执行漏洞复现(CVE-2024-30565)
0xSec
06-12 2028
海洋CMS admin_notify.php 接口处存在远程代码执行漏洞,经过身份验证的远程攻击者可利用该漏洞执行任意代码,写入后门文件,进而控制整个web服务器。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8755
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就1013日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全】XSS漏洞——PortSwigger靶场-DOM破坏
2301_79915754的博客
08-26 512
本文分析了利用DOM破坏技术绕过XSS防御的案例。研究发现目标网站使用DOMPurify框架过滤XSS,但存在通过DOM破坏覆盖window.defaultAvatar属性的漏洞。通过构造特殊HTML元素(如带name属性的a标签)可控制头像图片的src属性,最终实现XSS攻击。文章提供了完整攻击链分析,包括漏洞定位、payload构造和绕过技巧,并建议通过对象类型检查等方法来防御DOM破坏攻击。该案例展示了前端安全防护中DOM操作可能带来的安全隐患。
网络安全监控中心
2302_76384361的博客
08-27 288
img src="https://flagcdn.com/w80/${attack.sourceCountry}.png" alt="${attack.sourceCountry}国旗" class="w-5 h-3 mr-2 rounded"><img src="https://flagcdn.com/w80/${attack.targetCountry}.png" alt="${attack.targetCountry}国旗" class="w-5 h-3 mr-2 rounded">
汽车盲点检测系统的网络安全分析和设计
NewCarRen的博客
08-27 647
摘要:本文针对软件定义车辆(SDV)架构下的盲点检测功能开展网络安全研究,基于ISO/SAE 21434:2021标准实施威胁分析与风险评估(TARA)流程。研究首先识别了具有网络安全属性的关键资产,随后定义了7种损害场景及其影响等级、9个威胁场景及其攻击可行性等级,据此确定了风险值与网络安全防护等级(CAL)。最终制定7项网络安全目标及对应防护措施,包括OTA更新认证、数据加密传输等。研究表明,SDV架构下的ADAS功能面临新型网络安全,需通过系统化防护策略确保功能安全。论文为汽车网络安全防护提供了标
工业网络安全:保护制造系统和数据
最新发布
网络研究观
08-28 963
工业控制系统指南之类的成熟框架提供了构建有效且可审计的防御措施的结构化方法。
Web安全开发指导规范文档V1.0
魔都虫师的博客
08-26 40
Web安全开发指导文档V1.0
cmapss_RUL复现方法详解与实践
4. **复现研究的重要性:** - 论述复现研究对于科学进步的重要性。 - 描述复现工作在验证其他研究者结果中的作用。 5. **Jupyter Notebook的使用:** - Jupyter Notebook的安装、配置和使用方法。 - 如何在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值