type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment
WEB
What the cow say?
这题有点…..
一开始ssti和xss都试过了,都没用
结果看了wp竟然是
image-20240215133813401
给我无语住了,事后我看了一下源代码
发现了shell=True
myflask
题目给了源码
可以看到一共有两步,第一步是flask的session伪造,第二步是pickle反序列化执行RCE
首先第一步
可以看到session的key是通过当前时间来获取的,当前时间也就是你开容器的时间,那么我们可以爆破生成一个key字典
得到
image-20240208150138874
再去爆破
image-20240208150214330
其中cookie.txt文件中的内容就是cookie请求头中的session值,可以看到爆破出来密码是112716,题目要求我们用admin身份登录,那么就用key进行session伪造admin
image-20240208150349749
得到:eyJ1c2VybmFtZSI6ImFkbWluIn0.ZcRUbg.XOTr5m3BdA23sqIHWd5tSSmW35s
然后就是第二步,进行pickle反序列化rce,我比较菜,反弹不了shell,只能通过debug报错回显pickle执行结果,exp生成的代码如下
得到:b’gASVVwAAAAAAAACMCGJ1aWx0aW5zlIwEZXhlY5STlIw7cmFpc2UgRXhjZXB0aW9uKF9faW1wb3J0X18oJ29zJykucG9wZW4oJ2NhdCAvZmxhZycpLnJlYWQoKSmUhZRSlC4=’
接下来就直接上burp了
image-20240208150642974
得到flag:hgame{a0fdd637de4a910d01a24a04ac25843cb7d96219}
Select More Courses
第一步先用提示所给的字典用burp爆破出密码,然后直接登录
image-20240211131155114
看到有两个选项,其中要选课就必须先扩展学分
image-20240211131240793
我们用burp不断发点击“申请”的包
image-20240211131354970
image-20240211131416244
点击start attack
然后我们同时去网站上选课
image-20240211131504130
可以看到选课成功
image-20240211131518281
hgame{5ak_p45sW0rD_&_r4Ce_c0nDiT10n}
MISC
ezWord
解压得到“这是一个word文件”,先打开,发现里面有一张png,根据提示改成“这是一个word文件.zip”,解压缩
image-20240212210904382
在这个目录下得到了两张图片和一个zip,以及一个txt文件,根据txt文件的提示,先去用puzzlesolver双图忙水印解开压缩包密码
image-20240212211010324
解压压缩包之后得到一个txt文件
image-20240212211047157
发现是卡尔达诺栅格密码,用https://www.spammimic.com/decode.shtml在线网站去解密
image-20240212211215467
得到
image-20240212211236874
再用rot8000解密
image-20240212211300032
得到hgame{0k_you_s0lve_al1_th3_secr3t}
- 作者:qetx
- 链接:http://qetx.top/article/680df811-f398-4805-a7b7-8e0166a0d06a
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
