护网杯圆满结束,还不满足?不如来看看大佬的WP扩展思路~
护网杯预选赛 WP
转载自:https://qingchenldl.github.io/2018/10/13/%E6%8A%A4%E7%BD%91%E6%9D%AFWP-BitPwn/#more
WEB easy tornado

打开链接是几个文件的列表,分别打开,关注url和内容
http://49.4.79.198:31809/file?filename=Orz.txt&signature=0434ba1fadd43ce31661c315fbb8a9c6
Orz.txt render()
http://49.4.79.198:31809/file?filename=hint.txt&signature=78423a4ae34f2a6e9088a35ef650af22
hint.txt md5(cookie_secret + md5(filename))
http://49.4.79.198:31809/file?filename=flag.txt&signature=dbc862f7ca4cd3dd4ba82c6e7ff6d6af
flag.txt /fllllllllllag
容易看出来,读文件的url就是,filename=(想读的文件名)加上一个签名,而签名是md5(cookie_secret + md5(filename))
问题就在于cookie_secret是什么。又看到Orz.txt里面有提示 render(),这个是生成模板的函数,于是想到模板注入STTI。
在读取文件失败的这个链接中,发现STTI漏洞:

但是发现有过滤,测试一下发现,过滤的特殊字符有:
结合Tornado框架,想到的是:
在Tornado的前端页面模板中,Tornado提供了一些对象别名来快速访问对象,具体定义可以参考Tornado官方文档!
这里我想将的是Handler这个对象,Handler指向的处理当前这个页面的RequestHandler对象!
于是payload为:

得到cookie_secret,利用这个cookie_secret,可以写脚本,来获得相应文件的签名值。

ltshop
注册账号,进入系统,发现我们有¥20
看一下要求
¥5一包辣条
5包辣条换一包辣条王
9999999包辣条王换flag
看到第三个要求,很容易想到不是常规解法,可能会用到溢出。
但是问题在于就算是溢出,我们也应该至少能换一个辣条之王才行,但是我们只有20元,只能买4包辣条,一个辣条之王也换不了。
这里算是纠结了一下,最后想到利用条件竞争,试验发现一个账户的两个登陆同时买辣条,只会扣一次钱,却会得到两个辣条。利用burpsuite进行条件竞争:
这里多设置几个线程
看到已经购买到很多的辣条
再看此时的账户,已经有足够的辣条了。
下面考虑溢出:
**
int: 2**32-1 = 4294967295
long: 2**63 -1 = 9223372036854775807
longlong: 2**64-1 = 18446744073709551615
**
但是要注意一点,这个题的逻辑是,numer*5<最大值
所以,其临界值应该为:18446744073709551615 / 5 == 3689348814741910323
于是尝试:3689348814741910323+1 == 3689348814741910324
溢出后的值比较小,在辣条的数量之内,从而兑换成功。
注意另一点,溢出的时候不能太大,因为太大导致溢出后的值过大而超过辣条的数量,出现这种情况
此时的账户:
再兑换flag,即可:
PWN
gettingstart
用 IDA 打开程序:
发现可以溢出 buf 从而修改掉 v7 和 v8 的值来通过验证,所以构造利用脚本:
得到 flag :flag{e47ba37e5e4fe4d6538f91955c63ef23}
Misc
迟来的签到题
easy xor???
提示xor,base64解码后异或
写个脚本爆破下
import base64
Crypto
fez
fez.py
fez.log
048d26224aae9f6be49f13202c0b173c2346909fcbba868d5d9b7431002957c5c01c546530f84e45b8a3892526401c007bca7d39b0b7
69d41820c61c7e8fb47fde8f09064f24af72dc6251e97e72bdc2d7c0b4696110ef84f30da6ac88b7059500f8e814cec9e9e13bcafad8
32e7094533a1e76ac8acdeb882c0d6965ca954d75dfd00e759b5aff9663f41d49ae70ee18fd3c067ad7ae577433ad2512b764f4b2eb2
Feistel加密方法,轮函数也是异或
这里给出了print出的值,所以知道
**
**
test和用flag填充的m的长度都为54
加密使用的K值是不知道的,所以写不出解密函数,但可以通过给出的testans与ans异或使K消掉
记最后一轮flag加密后的为L7和R7,test加密的为tL7和tR7,初始test为tL0和tR0
则ai=tLi^Li=tRi+1^Ri+1^tLi+1^Li+1
而且Ri=Li+1
所以ai=ai+1^tLi+1^Li+1
最终得到L0和R0
exp
import os def xor(a,b):
assert len(a)==len(b)c=""for i in range(len(a)): c+=chr(ord(a[i])^ord(b[i]))return ctest='048d26224aae9f6be49f13202c0b173c2346909fcbba868d5d9b7431002957c5c01c546530f84e45b8a3892526401c007bca7d39b0b7'.decode('hex')
testans='69d41820c61c7e8fb47fde8f09064f24af72dc6251e97e72bdc2d7c0b4696110ef84f30da6ac88b7059500f8e814cec9e9e13bcafad8'.decode('hex')
ans='32e7094533a1e76ac8acdeb882c0d6965ca954d75dfd00e759b5aff9663f41d49ae70ee18fd3c067ad7ae577433ad2512b764f4b2eb2'.decode('hex')tL7=testans[0:27] tR7=testans[27:54] L7=ans[0:27] R7=ans[27:54]
tL0=test[27:54] tR0=test[0:27]
a6=tR7^R7^tL7^L7^tR1
tL6^L6 a6=xor(xor(tR7,R7),xor(tL7,L7))
a5=xor(xor(tL7,L7),a6)
a4=xor(a6,a5)
a3=xor(a5,a4)
a2=xor(a4,a3)
a1=xor(a3,a2)
a0=xor(a2,a1)
L0=xor(tL0,a1)
R0=xor(tR0,a0)
print R0+L0
运行结果:
**λ python fez_exp.py
flag{festel_weak_666_lol88fj3820}叡↓泺y蝵:;铸醛o磋萸?**
护网杯圆满结束,还不满足?不如来看看大佬的WP扩展思路~的更多相关文章
- NGK英国路演圆满结束,未来科技布局看好NGK公链技术
近日,NGK全球路演英国站在首都伦敦圆满结束.区块链业内专家.各投行精英.各市场节点代表.八大产业代表参加了此次路演.同时,英国经济学人.每日邮报.金融时报等近百家财经媒体对此路演进行了大力报道.并且 ...
- 2016年象行中国(上海站)圆满结束,会议PPT分享
2016年象行中国(上海站)已于5-21日圆满结束,所有技术交流的文档和PPT经整理后,现集中存放在云盘中,相关议题如下: DeepGreen-LLVM-Intro.pptx ... 1.1M ...
- 深圳测试研讨会圆满结束,PPT共享
深圳测试研讨会圆满结束,PPT共享http://www.automationqa.com/forum.php?mod=viewthread&tid=3417&fromuid=29
- 深圳安全研讨会圆满结束,PPT共享下载
深圳安全研讨会圆满结束,PPT共享下载: http://pan.baidu.com/s/19XFtO
- 2019护网杯baby_forensic
题目名称:baby_forensic题目描述:can you catch the flag?附件:“data.7z” 2019护网杯初赛的一道取证题,比赛时没做出来,赛后又研究了一下. 获取profi ...
- buu[护网杯 2018]easy_tornado
[护网杯 2018]easy_tornado 1.看看题目给了我们三个文件: /flag.txt url=?filename=/flag.txt&filehash=98c6aac4fbecf1 ...
- [原题复现]2018护网杯(WEB)easy_tornado(模板注入)
简介 原题复现: 考察知识点:模板注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 [护网杯 2018]eas ...
- 灵雀云新一期DevOps认证培训圆满结束,下期学员招募同步开启
近日,灵雀云最新一期EXIN DevOps认证培训在北京圆满结束,来自某知名运营商领域ISV的近40名学员以百分百的通过率为此次培训画上圆满的句号. 灵雀云是国内首家在DevOps培训领域与EXIN合 ...
- 护网杯一道crypto
import os def xor(a,b): assert len(a)==len(b) c="" for i in range(len(a)): c+=chr(ord(a[i] ...
随机推荐
- spring错误处理 Build path is incomplete. Cannot find class file for org.springframework.aop.Advisor
Build path is incomplete. Cannot find class file for org.springframework.aop.Advisor 初学spring,记录一下出现 ...
- mac 下 python链接mysql
安装过程 :http://blog.topspeedsnail.com/archives/6018 注意 报错的话要先装一个东西 http://cdn.mysql.com/Downloads/Conn ...
- Controller和View传递数据的几种方式
使用ViewBag存储数据,如ViewBag.time=2012/7/1,View中可以直接用ViewBag("time")的方式取出数据. 使用ViewData存储数据,存储对象 ...
- C++:初始化列表
有两种原因需要使用初始化列表: 让我们先看一下第一个原因——必要性.(1)对另一个类成员的初始化,(2)成员是一个常量对象,(3)成员是引用.根本原因:编译器总是确保所有成员对象在构造函数体执行之前( ...
- 在Action中操作域对象
----------------------siwuxie095 在 Action 中操作域对象 1.在 Action 中可以操作的域对象主要有三个: (1)Request (2)Session (3 ...
- shiro 和spring集合 实现登录时输入验证码并校验(七)
编写实现验证码的主体实现类:CaptchaCode import java.util.UUID; import javax.servlet.http.HttpServletRequest; impor ...
- sql批量插入添加自动编号
使用: ROW_NUMBER() over(order by ID desc) insert into dbo.Aa(Name,Nums) select top 10 NickName,ROW_NUM ...
- max文件属性设置,
之前一直都没找到 用到的时候就是用net 弄了.哎.还在开发东西都是在9上面, 这次脚本必须在 max8 上面 逼的我找到了他 getFileAttribute <filename_string ...
- 关于C语言中的Complex(复数类型)和imaginary(虚数类型)
关于C语言中的Complex(复数类型)和imaginary(虚数类型) 其实这里的复数complex就是数学里的复数,包含实部和虚部两个部分,比如:x=2.1+6i,下面进行详细介绍. C99 新增 ...
- 数据结构(c语言版)文摘
第一章 绪论 数据结构:是一门研究非数值计算的程序设计问题中计算机的操作对象以及它们之间的关系和操作等的学科. 数据:是对客观事物的符号表示,在计算机科学中是指所有能输入到计算机中并被计算机程序处理 ...