LoRexxar's Blog

通过浏览器缓存来bypass CSP script nonce

原文被我发在freebuff上http://www.freebuf.com/articles/web/133455.html 最近看了去年google团队写的文章CSP Is Dead, Long Live CSP!,对csp有了新的认识,在文章中,google团队提出了nonce-{random}的csp实现方式,而事实上,在去年的圣诞节,Sebastian 演示了这种csp实现方式的攻击方式,也就是利用浏览器缓存来攻击,事实上,我很早就看到了这篇文章,但是当时并没有看懂,惭愧了,现在来详细分析下。 漏洞分析原文http://sirdarckcat.blogspot.jp/2016/...

PlaidCTF 2017 web writeup

原文我首发在freebuff上http://www.freebuf.com/articles/web/133336.html 稍微整理下pctf2017的web writeup,各种假web题,有心的人一定能感受到这些年国外的ctf对于web题目的态度 只可惜有道很有趣的游戏题完全无从下手,也找不到相关的wp,很可惜 echo上来时flask的代码审计 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636...

xss bot从入门到弃坑

原文被我首发在freebuff上http://www.freebuf.com/articles/web/133456.html xss在近几年的ctf形式中,越来越受到了人们的重视,但是出xss的题目最重要的可能就是xss bot的问题了,一个合格的xss bot要稳定还能避免搅屎。 下面我们就来看看一个xss bot是怎么完成的。 bot之前一般来说,对于xss bot来说,最重要的是要bot能够执行js,事情的本质是我们需要一个浏览器内核来解析js,这里我们一般会用selenium+webdriver。 而webdriver一般有3种chrome webdriver、firefox...

pwnhub 绝对防御 出题思路和反思

由于整个站最初的时候其实是用来测试漏洞的,所以被改成题目的时候很多应该注意的地方没有仔细推敲,在看了别人wp后仔细研究了一下,我发现题目本身漏洞就要求admin和xss点在同源下,整个漏洞被改成ctf题目是存在冲突的,再加上flag所在的地方使用了referer check本身就有问题,导致题目有了很多非预期解法,深感抱歉。 下面就完整的整理一下wp和所有的非预期攻击方式 初逛站里面什么都没有,聊天版的地方存在基本的xss,复写就能绕过,但有 简单的csp,允许unsafa-inline,session是httponly的,复写构造xss读admin页面的消息(让admin去请求ap...

Shadow Brokers大新闻整理

上周末大半夜的突然爆了大新闻,Shadow Brokers公布了一批美国国家安全局所使用的黑客工具,里面有很多windows的攻击工具,甚至通杀win10和最近版的windows server http://www.freebuf.com/news/131994.html https://github.com/x0rz/EQGRP_Lost_in_Translation https://github.com/misterch0c/shadowbroker 概况解压完主要有几个文件夹,Windows, Swift和OddJob。 Windows文件夹中包含众多针对旧版Windows操作系...

360春秋杯2017 writeup

题目不是太有趣,基本都是从hincon那里扒来的,正好整理完了,就发出来吧 where is my cat没什么好说的,很有ichunqiu风格的一题 进去发现https签发机构不合法,点开发现颁证机关找到一个域名 到这里本以为是抄hitcon的,然后一通操作发现并不是… 然后发现cookie里有个host=0 把host改成那个域名,getflag 写一写 看一看题目是原题抄http://www.2cto.com/article/201510/446796.html 但是因为没有运维,所以服务器日常爆炸 进来发现可以编辑文件,然后找到exec.php 1234567891011121...

bctf2017 web部分wp

周末干了一发bctf,因为周六出去玩了,所以没能看完所有的web题还是挺可惜的,先整理已经做了的2道火日聚聚的web题,后面在整理别的题目。 paint 打开题目是一个画画板,除了基本的画画功能以外,还可以上传图片文件。浅逛一下整个站不难发现有效的目标点只有2个,image.php和upload.php。 首先分析upload.php,可以上传任意文件,但要求上传文件后缀必须为图片,感觉应该是白名单,上传之后文件会改名,最重要的一点,上传图片的目录服务端做了设置,php后缀的文件会直接返回403,这也说明了后面的漏洞类型。 查看右键源码获得提示,flag在flag.php。 然后是i...

pwnhub 之小m的复仇

做题的时候思路差不多是对的,但是没想明白,讲道理是菜了,稍微整理下,这是一个比较特别的利用方式。 纵观整个站,看着很大但是有用的功能并不多,看上去唯一的输入点是注册的第三个参数,但是没意义,会经过实体编码。所以我感觉关键在于怎么找到xss点。 1、首先,classes.php这里有专门的路由,而且这个页面里有个单独存在的css,http://52.80.19.55/classes.php/,这里肯定是故意的。 2、css的引入方式是相对路径,<link rel="stylesheet" type="text/css" href="...

0ctf201 web部分writeup

纪念下偷偷登上萌新榜第一的比赛,也实现了比赛前的愿望,0ctf争取不0分,rsctf争取高名次,:> Temmo’s Tiny Shop题目是个类似于小卖铺的站,最有趣的是刚开始的时候,这题进去是钱很多的,可以随便买,也可以看到hint1OK! Now I will give some hint: you can get flag by use `select flag from b7d8769d64997e392747dbad9cd450c4` 后来突然题目就改了,只有4000块了,买不了hint,很气…(看别人的wp听说admin是弱口令还是什么的,里面一百多万可以随便买…...

NJCTF Web部分writeup

又到了一年一度的比赛季,这次打了打赛宁自己办的NJCTF,这里稍微整理下Web部分的wp,虽然不知道题目是谁出的,但是我觉得大部分题目还是挺蠢的…看的人从中汲取自己想要的知识就好。 WebLogin1login? 没啥好玩的,注册的时候有超长用户名截断 原理就是用户名在check的时候是不同的,但是数据库字段保存是有长度的,所以会发生截断,注册中间为空格的超长用户名就可以截断为admin Get Flag123别BB,来拿FLAGPS:delay 5s 命令执行,没什么好说的。 cat 后用 & ls 列目录下文件flag在../../../9iZM2qTEmq67SOd...

pwnhub_another php web部分

周末不是太有时间,所以就没怎么打pwnhub,后来快结束的时候完成了web部分,这里贴上web部分的wp吧 开始没啥可说的,应该是用来当一些咸鱼的吧,index.php~ 登陆框,验证码很普通的,没啥可说的,试了试没啥可玩的,那就扫目录,找到了.svn 123http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/.svn/400 跑脚本拖源码报错了,搜了搜好像是拖的数据库报错了,所以手动看看,好像是内容被改过了 12345678http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/...

pwnhub 打开电脑

这是个比较特别的题目,开始上来逛了逛发现其实挺迷的… 123456题目介绍http://52.80.1.108:66662017.02.18 20:00:00没有SQL注入,仔细看CSP头。2017.02.18 12:00:00管理员只爱看有意思的东西,谁关心bug啊哈哈哈哈。 看看站内的功能,min.php和max.php可以提交md5,会显示最大或者最小的md5,但是输入的地方存在正则,研究了一下发现不能输入任何符号,也就意味着这里不存在问题。 有个contact和report bug,content提交有趣的md5,但不同的是,没有正则提示,很多都提示提交成功,report bu...

有趣的cdn bypass CSP

最近在逛github的时候看到一个bypass csp的挑战,也是我最近才知道的一个新思路,一般人bypass csp都是通过允许域下的某个漏洞构造文件绕过,但是其实往往没人注意到cdn的问题。 先贴上原文https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh*t,-it%27s-CSP!%22 这个利用方式其实我在ctf里也遇到过https://blog.0daylabs.com/2016/09/09/bypassing-csp/ 我们写个简单的demo 12345678910111213...

聊聊hctf2016

hctf2016在11月底落幕了,零零散散已经过去了2个月了,时至今日,才算是有空收拾下一下去年的得失… 过年了总想写点儿什么,下面的东西就随便说说,祝大家新年大吉x. 聊点儿有的没得相信很多人都知道当年十一期间闹得沸沸扬扬的L-CTF和XDCTF的事,很多事情的发生让人措手不及,所以西电的大佬们选择了这样的方式来解决问题,而同样的事情其实当时正在发生在杭电HDUISA的身上…但就如当年在知乎上发的一样,为了能让杭电的CTF走的更远,我们选择了今天这条路。 早在16年的5、6月份时候,杭电成立了浙江第二个网络空间安全学院,但没想到的是,在整个信息安全专业被剥离到网安学院的同时,信息安全协...

pwnhub 深入敌后

从第一天晚上开始零零散散到17号晚,差不多做了几十个小时…由于实在没日过windows服务器,整个过程遇到各种没玩过的东西…稍微整理下writeup 为了能让看的人理解,下面的wp我保留了大部分思考过程 getshell123456789101112详情http://54.223.229.139/ 禁止转发入口ip机器的rdp服务端口,禁止修改任何服务器密码,禁止修改删除服务器文件。 禁止对内网进行拓扑发现扫描,必要信息全部可以在服务器中获得。 文明比赛,和谐共处。更新2017.01.15 11:50:00administrator:啊,好烦啊,需要设置那么多密码,偷懒好了,妈蛋,w...

phpmailer RCE漏洞分析

最近爆出来个CVE-2016-1003,国内人分析了两天发现ying 是国外十几年前发现的漏洞,分析了两天发现影响覆盖越来越严重,现在最新的patch也被绕过了,又爆了新的cve… 朋友的博客 CVE-2016-1003最早爆出来的版本是这样的 http://seclists.org/oss-sec/2016/q4/750 漏洞详情https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html 环境,poc,exp相关https://github.com/op...