BUUCTF-刷题记录-3

WEB

[HCTF 2018]admin

页面没什么功能点，注册一个账号并登录，在更改密码的页面发现注释，存在源码。

在config.py中发现SECRET_KEY：ckj123，同时发现session为jwt，去解密一下。

将kab1改成admin以及10改成1得到的session与原来的进行更换，得到flag。

[De1CTF 2019]SSRF Me

题目给了源码

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')app = Flask(__name__)secert_key = os.urandom(16)class Task:def __init__(self, action, param, sign, ip):self.action = actionself.param = paramself.sign = signself.sandbox = md5(ip)if(not os.path.exists(self.sandbox)):          #SandBox For Remote_Addros.mkdir(self.sandbox)def Exec(self):result = {}result['code'] = 500if (self.checkSign()):if "scan" in self.action:tmpfile = open("./%s/result.txt" % self.sandbox, 'w')resp = scan(self.param)#可以读取文件if (resp == "Connection Timeout"):result['data'] = respelse:print(resp)tmpfile.write(resp)tmpfile.close()result['code'] = 200if "read" in self.action:f = open("./%s/result.txt" % self.sandbox, 'r')result['code'] = 200result['data'] = f.read()if result['code'] == 500:result['data'] = "Action Error"else:result['code'] = 500result['msg'] = "Sign Error"return resultdef checkSign(self):if (getSign(self.action, self.param) == self.sign):return Trueelse:return False#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():param = urllib.unquote(request.args.get("param", ""))action = "scan"#此处action被定为scanreturn getSign(action, param)@app.route('/De1ta',methods=['GET','POST'])
def challenge():action = urllib.unquote(request.cookies.get("action"))param = urllib.unquote(request.args.get("param", ""))sign = urllib.unquote(request.cookies.get("sign"))ip = request.remote_addrif(waf(param)):return "No Hacker!!!!"task = Task(action, param, sign, ip)return json.dumps(task.Exec())
@app.route('/')
def index():return open("code.txt","r").read()def scan(param):socket.setdefaulttimeout(1)try:return urllib.urlopen(param).read()[:50]except:return "Connection Timeout"def getSign(action, param):return hashlib.md5(secert_key + param + action).hexdigest()def md5(content):return hashlib.md5(content).hexdigest()def waf(param):check=param.strip().lower()if check.startswith("gopher") or check.startswith("file"):#禁用了gopher和file两个协议return Trueelse:return Falseif __name__ == '__main__':app.debug = Falseapp.run(host='0.0.0.0')

首先看路由：
1、通过/geneSign路由我们可以过的hashlib.md5(secert_key + param + action).hexdigest()的值，且action的值被锁定为scan。
2、通过/De1ta路由可以读取文件，通过Exec函数，读取文件的地方已在源码中注释。
3、但是想要执行Exec函数里面的读取文件的代码，还需要通过checkSign()的验证，也就是验证两次的md5值是否相等。
分析完路由开始解题，checkSign()好绕过，通过构造/geneSign?param=xxx即可得到md5值，虽然不知道secert_key的值，但是也没有必要知道，我们只需要得到加密后的md5值，再把它放入sign中，访问/De1ta路由即可。
然后构造/geneSign?param=flag.txtread访问得到9a6fa1811f9ac95a5b6d72c5c12ee9d7，再构造如下内容读取flag

[SUCTF 2019]Pythonginx

题目给了源码

@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():url = request.args.get("url")host = parse.urlparse(url).hostnameif host == 'suctf.cc':return "我扌 your problem? 111"parts = list(urlsplit(url))host = parts[1]if host == 'suctf.cc':return "我扌 your problem? 222 " + hostnewhost = []for h in host.split('.'):newhost.append(h.encode('idna').decode('utf-8'))parts[1] = '.'.join(newhost)#去掉 url 中的空格finalUrl = urlunsplit(parts).split(' ')[0]host = parse.urlparse(finalUrl).hostnameif host == 'suctf.cc':return urllib.request.urlopen(finalUrl).read()else:return "我扌 your problem? 333"

这道题用的是这道题用的是blackhat议题之一HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization
网上的一个脚本

from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():for x in range(65536):uni=chr(x)url="http://suctf.c{}".format(uni)try:if getUrl(url):print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])except:passdef getUrl(url):url=urlhost=parse.urlparse(url).hostnameif host == 'suctf.cc':return Falseparts=list(urlsplit(url))host=parts[1]if host == 'suctf.cc':return Falsenewhost=[]for h in host.split('.'):newhost.append(h.encode('idna').decode('utf-8'))parts[1]='.'.join(newhost)finalUrl=urlunsplit(parts).split(' ')[0]host=parse.urlparse(finalUrl).hostnameif host == 'suctf.cc':return Trueelse:return Falseif __name__=='__main__':get_unicode()

同样原理构造/getUrl?url=file://suctf.cℂ/../../../../../etc/passwd来读取文件，读取配置文件发现flag的位置，/usr/local/nginx/conf/nginx.conf

最后构造如下payload读取flag

/getUrl?url=file://suctf.cℂ/../../../../../usr/fffffflag

[ASIS 2019]Unicorn shop

进入题目，发现有个购买东西的地方

但是全部购买不成功，如果价格输入两个字符以上，还会说你超出了字符限制（1个字符），再根据题目的提示Unicode，想到输入一个Unicode字符进去购买第四个商品，也就是flag，在这个网站上面找到这样的一个字符

其UTF-8编码为0xE1 0x8D 0xBC，也就是咱们输入%E1%8D%BC即可，然后购买得到flag。

MISC

弱口令

在压缩包的注释中发现东西

将其莫斯解密之后得到密码HELL0FORUM，得到一张图片，使用lsb隐写脚本进行解密，因为题目叫做弱口令，所以尝试密码123456，最后得到flag{jsy09-wytg5-wius8}。
python2 lsb.py extract 1.png new 123456

[V&N2020 公开赛]拉胯的三条命令

使用这条命令即可

tcpdump -n -r nmapll.pcapng 'tcp[13] = 18' | awk '{print $3}'| sort -u

[SUCTF 2019]Game

题目给了两个附件，在SRC文件夹的index.html里面发现一段字符串，尝试解密发现是base32的，得到一个假的flag：suctf{hAHaha_Fak3_F1ag}。
然后在图片中发现存在lsb隐写，全部开启0通道得到一段字符串，在网上搜索了很多发现是3DES加密，以前是不知道的，这是由字符串的头U2FsdGVkX1判断出来的，然后进行3DES解密即可得到flag，密码为第一次得到的suctf{hAHaha_Fak3_F1ag}，3DES在线解密地址。

百里挑一

提取出来所有的http请求，发现很多张图片，在kali里面使用如下命令得到一半的flag

剩下来的一半在tcp的114里面（网上搜到的，哈哈，真难找，怎么会有人出这种东西，一点提示没有）

[ACTF新生赛2020]swp

先导出http流中的文件，发现一个伪加密的压缩包，但是我没有手动修复成功，使用ZipCenOp工具修复，成功得到flag。

java -jar .\ZipCenOp.jar r .\secret.zip