Posts

又是一个XSS题，Docker里起了一个Web一个Bot一个Redis，Web使用Java写的，用的Eclipse的Jetty服务器，上层是Micronaut微服务框架来的，整体打包成一个JAR。 附件地址：CTF-Chal/fancy-notes.zip (github.com) 一开始还以为是Java相关的漏洞，随手看了下反编译，发现好像除了题目是Java写的之外和Java没啥关系，同理Redis也只是个用来传数据的中间媒介，似乎也利用不了什么漏洞。于是继续关注题目本身的逻辑。 先看Bot做了啥： const puppeteer = require("puppeteer"); const Redis = require('ioredis'); const connection = new Redis(6379, process.env.REDIS_HOST ?? "127.0.0.1"); const browser_option = { headless: true, args: [ '--no-sandbox', '--disable-gpu', '--js-flags="--noexpose_wasm --jitless"', ], executablePath: "google-chrome-stable" }; const MAIN_SITE = process.env.MAIN_SITE ?? "http://127.0.0.1:8000" const FLAG = process.env.FLAG ?? "flag{test}" const sleep = (delay) => { return new Promise((resolve) => setTimeout(resolve, delay)) } async function browse(url) { console.log(`[+] browsing ${url} started`) const browser = await puppeteer....

valentine Web签到题，考的是Node.js的ejs模板库命令执行。首先给出源码，里面的库版本都是最新的： var express = require('express'); var bodyParser = require('body-parser') const crypto = require("crypto"); var path = require('path'); const fs = require('fs'); var app = express(); viewsFolder = path.join(__dirname, 'views'); if (!fs.existsSync(viewsFolder)) { fs.mkdirSync(viewsFolder); } app.set('views', viewsFolder); app.set('view engine', 'ejs'); app.use(bodyParser.urlencoded({ extended: false })) app.post('/template', function(req, res) { let tmpl = req.body.tmpl; let i = -1; while((i = tmpl.indexOf("<%", i+1)) >= 0) { if (tmpl.substring(i, i+11) !== "<%= name %>") { res....

一个硬核的XSS题，收获相当大（还得感谢CrumbledWall师傅点拨了我几次） 开局给了后端的源码，能看见里面用了腾讯的COS对象存储，可以上传文件到上面，docker-compose.yml里面还有一个名为的bot的服务但没有给出源码，能看出来后端有个接口会去连接这个bot。 const express = require("express") const isJpg = require('is-jpg') const isPng = require('is-png') const isWebp = require('is-webp') const fs = require('fs') const fileUpload = require('express-fileupload') const bodyParser = require('body-parser') const net = require('net') const crypto = require("crypto") const https = require('https') var COS = require('cos-nodejs-sdk-v5') const app = express() const BOT_HOST = 'bot' const BOT_PORT = 8080 app.use(fileUpload({ limits: { fileSize: 2 * 1024 * 1024 // 2 MB }, abortOnLimit: true })) app....

UCORE的段页式内存布局 从UCORE启动到物理内存管理的初始化结束，一共加载了3次GDT，实现了由单纯的分段到段页式内存管理的布局。 在内核链接脚本中，内核的加载地址由Lab1中的0x100000改为了0xC0100000： OUTPUT_FORMAT("elf32-i386", "elf32-i386", "elf32-i386") OUTPUT_ARCH(i386) ENTRY(kern_entry) SECTIONS { /* Load the kernel at this address: "." means the current address */ . = 0xC0100000; ...... } 根据文档里提到的，这个地址为虚拟地址，后续通过分段和分页来映射到物理地址，实际内核还是放在0x100000的物理地址开始的。这个从bootmain函数中可以看得出来，在加载ELF段的时候对va进行了与操作，去除了地址中的高8位数据，也就是把C0给抹除了： // load each program segment (ignores ph flags) ph = (struct proghdr *)((uintptr_t)ELFHDR + ELFHDR->e_phoff); eph = ph + ELFHDR->e_phnum; for (; ph < eph; ph ++) { readseg(ph->p_va & 0xFFFFFF, ph->p_memsz, ph->p_offset); } // call the entry point from the ELF header // note: does not return ((void (*)(void))(ELFHDR->e_entry & 0xFFFFFF))(); 1 - 准备进入内核代码 在boot/bootasm....

Easy_S2 这题主要考察的是Struts2的路径匹配规则以及Java Web中的Security-Constraint安全约束选项。题目附件是一个.war包，将其解压之后可以直接通过Tomcat部署，代码实现也很简单。通过web.xml可以了解到整个网站的路由都被导向了中间Struts2，同时有两条安全约束项： <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" version="3.1"> <filter> <filter-name>struts2</filter-name> <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class> </filter> <!-- 整个网站的路由都由Struts2处理 --> <filter-mapping> <filter-name>struts2</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- /img/* 和 /index.jsp 不需要认证即可访问 --> <security-constraint> <display-name>pass-static</display-name> <web-resource-collection> <web-resource-name>static</web-resource-name> <url-pattern>/img/*</url-pattern> <url-pattern>/index.jsp</url-pattern> </web-resource-collection> </security-constraint> <security-constraint> <display-name>interceptor</display-name> <web-resource-collection> <web-resource-name>flag</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint/> <!-- 剩下的路由需要认证才能访问 --> </security-constraint> <login-config> <!-- 认证方式为Basic Auth --> <auth-method>BASIC</auth-method> </login-config> </web-app> 因为这两条安全约束项的存在，访问被限制为只有路由/img/*和/index.jsp可以直接访问，其余的若没有经过认证则会返回403。但现在没有有关认证用户密码相关的任何信息，于是先看看其他的配置文件。在WEB-INF/classes/struts.xml中，定义了Struts2的路由规则： <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN" "http://struts.apache.org/dtds/struts-2.0.dtd"> <struts> <constant name="struts....

Ex.1 Makefile 狗都不看 操作系统镜像文件ucore.img是如何一步一步生成的？ make -n可以输出具体执行的命令： # Compile Kernel Sources echo + cc kern/init/init.c gcc -Ikern/init/ -fno-builtin -Wall -ggdb -m32 -gstabs -nostdinc -fno-stack-protector -Ilibs/ -Ikern/debug/ -Ikern/driver/ -Ikern/trap/ -Ikern/mm/ -c kern/init/init.c -o obj/kern/init/init.o echo + cc kern/libs/stdio.c gcc -Ikern/libs/ -fno-builtin -Wall -ggdb -m32 -gstabs -nostdinc -fno-stack-protector -Ilibs/ -Ikern/debug/ -Ikern/driver/ -Ikern/trap/ -Ikern/mm/ -c kern/libs/stdio.c -o obj/kern/libs/stdio.o echo + cc kern/libs/readline.c gcc -Ikern/libs/ -fno-builtin -Wall -ggdb -m32 -gstabs -nostdinc -fno-stack-protector -Ilibs/ -Ikern/debug/ -Ikern/driver/ -Ikern/trap/ -Ikern/mm/ -c kern/libs/readline....

前言 前阵子参加了Balsn CTF 2022，有道Node.js的题目叫2linenodejs，个人觉得思路十分巧妙，遂进行了完整的复现，收获颇多。下面是整个复现的过程。 题目代码如下： // server.js process.stdin.setEncoding('utf-8'); process.stdin.on('readable', () => { try{ console.log('HTTP/1.1 200 OK\nContent-Type: text/html\nConnection: Close\n'); const json = process.stdin.read().match(/\?(.*?)\ /)?.[1], obj = JSON.parse(json); console.log(`JSON: ${json}, Object:`, require('./index')(obj, {})); }catch{ require('./usage') }finally{ process.exit(); } }); // index.js module.exports=(O,o) => (Object.entries(O).forEach(([K,V])=>Object.entries(V).forEach(([k,v])=>(o[K]=o[K]||{},o[K][k]=v))), o); // usage.js console.log('Validate your JSON with <a href="/?{}">query</a>'); 在try block里面将输入的JSON字符串转换为JavaScript对象，再使用一个遍历将对象的属性逐一赋给另一个空对象，很明显这里存在原型链污染。 预期思路是在读取JSON是产生异常，然后进入catch执行require('./usage')，通过require()方法实现RCE。 至于如何产生异常，方法是在JSON里面加一个项值为null，这样在遍历时Object.entries(V)为null，再调用forEach就会产生无法读取属性的异常。 require()任意文件包含执行 使用WebStorm对源码进行调试，在catch处下断点，然后传入输入：?{"a":null} ，使用Force Step Into（快捷键Alt+Shift+F7）即可跳转到require()的源码继续调试： 最终定位到Module._load方法： Module._load = function(request, parent, isMain) { let relResolveCacheIdentifier; if (parent) { debug('Module....

学到了一些SQL注入的新姿势~ ezweb 首先是一个登录页，随便输入后发现会显示出查询数据库的具体语句： 于是想到可能有注入，试了一下万能密码admin' or 1=1 -- ，竟然成功进去了 登进去之后发现一个修改个人信息的功能点，可以上传头像： 尝试传个一句话上去，但发现存在后缀名的黑名单，和PHP相关的后缀名不是被ban了就是没解析，其他格式也不会被解析。还搜了一下，PHP在FashCGI模式下，也支持类似Apache里面.htaccess的独立配置文件用法，可以在某个文件夹创建一个名为.user.ini的配置文件，该配置仅对当前目录生效。但后面又发现.ini也被ban了……所以也没法通过修改解析格式的方式来解析脚本了（具体.user.ini能不能修改解析方式也没有去深究，找个时间研究一下） 除此之外，发现文件内容也会被替换，比如?会被替换成!，使得PHP起始的标签没法构造： 不过其他的过滤倒也没有，可以使用<script language="php"></script>来绕过PHP标签的过滤，来写入一句话。 一句话传上去了，接下来就想着怎么执行。因为无论怎么传也没法解析，黑名单也没法绕过，于是想到是不是可能有其他的包含点，翻源码翻来翻去，在用户列表的页面里找到了一个小提示，果然有包含点： 然后就是直接包含上传的一句话，执行命令cat /flagaaaaaaaaaaaa拿到Flag： sqli 一道很直白的SQL注入题，随便试了一下发现有报错，根据报错信息可以知道传参外面是包裹了一层单引号的。尝试了不少关键词都显示hack，于是首先fuzz了一下黑名单，发现过滤的有亿点多： 除去常见的关键字外，还过滤了下面这几类： 所有的空白字符，包括空格、\n、\t、\x00等； 所有的注释符（//除外但并不能注释成功）； information_schema； 逻辑运算&&、||、OR； 时间盲注相关：sleep、benchmark； 字符串截取函数substr、substring、mid、left、right； …… 对于空格的绕过，可以使用括号来括住表达式，这样可以不使用空格；但测试了一波之后，发现虽然UNION SELECT没有被过滤，但因为无法使用注释符，使得尾部的单引号无法被注释导致UNION SELECT无法构造成功。联合注入就走不通了。 遂尝试布尔盲注，首先子字符串的截取函数被ban，但又需要找到个办法来判断子字符串，翻了翻手册找到了locate函数，虽然没法截取字符串直接返回，但可以返回指定子字符串的索引值，似乎是个曲线救国的办法： LOCATE(substr,str), LOCATE(substr,str,pos) The first syntax returns the position of the first occurrence of substring substr in string str. The second syntax returns the position of the first occurrence of substring substr in string str, starting at position pos. Returns 0 if substr is not in str....