您现在的位置是:首页 > 黑客技术

网络黑客学习培训|PlaidCTF 2017 web writeup

作者:果E安全网时间:2020-10-25 12:42:06分类:黑客技术

简介*原原创者:LoRexxar,文中属宝洁信息平台网原創奖赏方案,转截请标明来源于宝洁信息平台网.COM前不久不久经历了国际性很知名的pctf,在文中中略微梳理下pctf2017的webwriteup,各种各

* 原原创者:LoRexxar,文中属宝洁信息平台网原創奖赏方案,转截请标明来源于宝洁信息平台网.COM

前不久不久经历了国际性很知名的pctf,在文中中略微梳理下pctf2017的web writeup,各种各样假web题,用心的人一定能感受到这么多年海外的ctf针对web题型的心态,这么多年国外的赛事中,web通常把重心点都放到和二进制或是密码算法紧密结合上,这很有可能也是将来web的发展趋势吧。

只遗憾有道在线很有意思的游戏题彻底找不到方向,也找不着有关的wp,很遗憾

上去时flask的代码财务审计

细读全部代码,最初很有可能都是会把眼光放进ffmpeg上去,实际上,全部站的作用基本上全是紧紧围绕音频的,这儿也不会有之前的哪个cve,而ffmpeg的功效后边再提

这儿的重要信息内容是

这儿的docker实际上是可以下载到的,pull出来,看一下run.py

1.png

关键难题取决于这儿,我们可以根据合闭冒号,来实行随意指令。

大家再次看一下题型的步骤

大家输入字符串数组->tweets->合闭字符串数组运行命令->回到判断尺寸->判断根据历经ffmpeg转换->获得回到音频。

换句话说,大家最先没法得到 flag文件的內容,由于太长了,次之我们不能立即获得回到,由于ffmpeg会转换內容为wav,假如输入并不是wav,那麼便会不成功。

最终,大家想想方法根据载入python代码,解flag为恰当flag,随后根据espeak获得回到音频。

依然是flask的代码财务审计

flag是和别的的精灵宝可梦在一个目录里,可是自身启用不上。

代码中有一个重要的地区

2.png

python的恢复出厂设置字符串数组系统漏洞,系统漏洞就很少讲过

https://www.leavesongs.com/PENETRATION/python-string-format-vulnerability.html)

3.png

4.png

共享一份海外的wp

https://pequalsnp-team.github.io/writeups/SHA4)

最先大家能发觉最下边有一个要求url的作用,存有本地文件包括系统漏洞,能够载入当地的一切。

有关linux数据泄露的难题我不多聊了

略微试一下发觉能够读到apache的配备

找到web文件目录

读到server.py和sha4.py

关键代码是下边这些

上边的代码关键干了下边两步

对post进去的数据信息解hex

对输入做sha4测算

把輸出做为文件夹名称输入到

解输入,将結果载入文档

判断有木有不安全的标识符

判断根据载入模板

纵览上边的步骤,如果我们先把一个python的反跳shell载入comments下的某一文档内,随后运用模板引入引入就可以实行随意指令,但这就代表着会包含符号,没法根据unsafe涵数。

上边的实际能看本文

https://nvisium.com/blog/2016/03/11/exploring-ssti-in-flask-jinja2-part-ii/)

5.png

从代码里非常容易发觉一个难题,为何out_text自变量中原本就会有內容了,在判断以后,也要文本文件中载入呢,这一定是为了更好地系统漏洞能解而有意的。

但如果我们能够在判断is_unsafe取得成功后,根据市场竞争载入新的內容,就可以取得成功的结构模板引入了。

那麼假如要想标准创立,大家必须有两个输入不同样,可是hash同样的输入。

大家关心下hash涵数

这儿upad会把七个9ait bytes转换为八个7bit byte。

而DES自身的加密算法并不适合全部64位,它忽视每一个字节数的lsb,这就寓意我们可以根据一些方法来寻找两个同样hash的payload

只必须撞击出大家必须的3个被严禁的标记就可以了

payload

贴上详细的测算payload

大家找到两个payload,

剩余的便是循环系统要求,等候shell反跳了

* 原原创者:LoRexxar,文中属宝洁信息平台网原創奖赏方案,转截请标明来源于宝洁信息平台网.COM

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句