NSSCTF刷题——Web篇
记录了我在NSSCTF的刷题之旅,会持续更新。
1.[CISCN 2019华东南]Web11
解题思路:
打开靶场发现右上角有:Current IP:120.207.145.180最下面有:Build With Smarty !查Smarty是SSTI漏洞(模板注入漏洞),PHP中的SSTI猜测IP是由XFF控制。
burp抓包,添加:X-Forwarded-For: {4*4}显示:Current IP:16证明猜测正确。
然后利用该漏洞实现rec,例如X-Forwarded-For: {system(‘cat /flag’)}成功得到flag。
Smarty SSTI
Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。
一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。该题目的Smarty版本是3.1.30
相关推荐
2025-02-11
BUUCTF刷题记——Web篇
这篇文章记录了我在BUUCTF的刷题之旅,会持续更新。 1.BUU CODE REVIEW 1解题思路:123456789101112131415161718192021222324highlight_file(__FILE__);class BUU { public $correct = ""; public $input = ""; public function __destruct() { try { $this->correct = base64_encode(uniqid()); if($this->correct === $this->input) { echo file_get_contents("/flag"); } } catch (Exception $e) { } ...
2025-02-11
GeekChallenge2024 (复现)
赛后跟着官方wp复现的。 Webbaby_upload解题思路:解法1:可以再url后面乱加点东西,返回404页面可以看到阿帕奇版本号————Apache/2.4.10,网上查询到该版本存在道CVE-2017-15715这个解析漏洞。 CVE-2017-15715:**Apache換行解析漏洞(CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.0至2.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析成PHP文件而不是普通文件。此漏洞会影响具有以下条件的服务器: 未正确配置的服务器 未对文件名进行适当验证的服务器 使用正则表达式并启用Multiline属性的服务器 攻击者可以将1.php\x0A作为文件名上传到服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析为PHP文件。此外,在上传文件时添加换行符也可以使文件被成功解析,从而绕过系统的黑名单检测。(x0A...
2025-02-11
CYBERGON_CTF 2024 (复现)
WebTrickery Number解题思路:开启题目,发现需要我们知道y的值才能得到flag,先输入个1,发现url尾巴加上了/?y=1,然后下载题目附件看看,代码审计看到一段重要的代码. 第38-41行代码用于输出flag,看一下if条件,去搜了以下BigInt和parseInt两个函数,发现BigInt函数存在阈值,它只能表示2^53-1以内的整数,再看到35-37行代码,y最大长度不大于17,而2^53-1刚好才16位,所以我们只要让y=一个17位的数字即可。
2025-02-11
SHCTF2024 WriteUp
WebWeek 11. 1zflask解题思路:首先打开容器发现出现404网页,刚开始很懵,后来明白了原来是出题人没做主页nishen太懒。根据题目描述,我们访问robots.txt,发现一个/s3recttt路由,访问下载源码如下: 123456789101112131415161718192021222324import osimport flaskfrom flask import Flask, request, send_from_directory, sendapp = Flask(__name__)@app.route('/api')def api(): cmd = request.args.get('SSHCTFF', 'ls /') result = os.popen(cmd).read() return result@app.route('/robots.txt')def static_from_root(): return...
2025-02-11
第一届“吾杯”网络安全技能大赛 (复现)
题目环境只保留了四个小时,wp也没出,没来得及复现,其他题也复现不了了,只能看看其他师傅的wp学习学习。 Misc原神启动解题思路:下载附件得到两个文件,发现压缩文件解压需要密码,先看看png图片,放到stegsolve里面看看。 emm假flag,那应该就是解压密码,flag格式的密码真的难绷,解压得到一个docx文件,打开滚到35页好像发现flag,看不清,拿到stegsolve看看。 还是假的,把这个docx文件以zip打开,发现目录下还有一个img.zip,里面有个text.zip,需要解压密码,把刚得到的假flag拿去解压发现密码不对,看看目录下其他文件,最终在word文件夹里的document.xml,找到解压密码。 再拿去解压得到flag。 原神套娃,真的唐。 Crypto...
2025-02-11
ciscn2024 (复现)
WebSafe_Proxy解题思路:比赛的时候和队友一起也没做出来,构造一个ssti的payload绕过黑名单还是不难的,但是无回显卡住了,赛后看wp学到了两个方法。 法1:对app.py进行写入操作 payload:1code={%set o1=(dict(o=a,s=n))|join%}{%set re=(dict(re=a,ad=n))|join%}{%set pppct=(dict(po=a,pen=n))|join%}{%set%20a=(lipsum|string|list)|attr(%27pop%27)(18)%}{%set%20glob=(a,a,(dict(glo=a,bals=b)|join),a,a)|join%}{%set...
评论