LoRexxar's Blog

finecms分析

在过去的一段时间里,我对FineCMS公益版进行了一波比较详尽的审计,我们找到了包括SQL注入、php代码执行、反射性XSS、任意url跳转等前台漏洞,其中部分漏洞危害巨大。 CVE-2017-11581CVE-2017-11582CVE-2017-11583CVE-2017-11584CVE-2017-11585CVE-2017-11586CVE-2017-11629 更新至v5.0.11即可修复大部分漏洞 URL 任意跳转漏洞(CVE-2017-11586)漏洞分析/finecms/dayrui/controllers/Weixin.php 204~219 sync函数123456...

第十届信息安全国赛 Web MISC writeup

周末花了一整天的打国赛技能赛的线上赛,去年比赛没能进入线下,当时就是因为感觉选手之间py太严重,今年没想到又遇到了这样的问题,所幸的是,今年运气比较好,做出来的题目比较多,所以py没有太过影响到我们。 下面就奉上web和misc的writeup,就我个人看的话,题目虽然不够新颖,但质量已经算是中上了,所谓的抄袭不知道是不是我见识短浅,就我个人看来都是比较正常的思路,xss可能抄袭了一个sandbox吧,感觉对题目本身没有太大的影响。 webphp挺有趣的一题,虽然过滤很多,但是php是世界上最好的语言,能做的事情还是有很多 列目录,可以找到flag文件1code=$f=[];$d=ne...

0ctf2017 final

几周前刚刚从0ctf final的现场回来,虽然名词不好,但是收获很多,一直没来得及整理,今天终于整理完了… AVATAR CENTER题目很简单,但是刚上手的时候挺萌比的,一共两个功能。 1、修改时区,登陆注册之后有一个修改时区的功能。(盲测讲道理是没什么卵用的)2、上传头像,这里盲测的结果是没有不会做任何处理,包括文件名和内容,但是头像内容是通过函数返回的,访问getavatar,返回文件内容,没办法找到目录在哪。 研究了一会儿发现这题被秒的差不多了,感觉有忽略的条件,于是扫端口发现2121存在ftp服务,匿名登陆上了服务器,翻了翻拿到了源码。 分析下逻辑主要是这样的。 输入时区必...

RCTF2017 web writeup

膜蓝猫师傅,比赛中的很多题目使用的技巧其实都是常用的技巧,但是却没想到会在不同的情况下产生新的利用,让我有了新的理解。 rcdn12345Are you pro?http://rcdn.2017.teamrois.cnThere is no XSS or SQLi. Just prove you are a pro(e.g owning a pro short domain), you will get flag. 这里是个挺常见的trick,之所以做出来的人,可能是没有想明白题目中的提示。 站内有效的功能不多,可以新建basic的cdn,新建成功之后,会获得一个8位的随机字符串做...

360春秋杯2017 writeup

题目不是太有趣,基本都是从hincon那里扒来的,正好整理完了,就发出来吧 where is my cat没什么好说的,很有ichunqiu风格的一题 进去发现https签发机构不合法,点开发现颁证机关找到一个域名 到这里本以为是抄hitcon的,然后一通操作发现并不是… 然后发现cookie里有个host=0 把host改成那个域名,getflag 写一写 看一看题目是原题抄http://www.2cto.com/article/201510/446796.html 但是因为没有运维,所以服务器日常爆炸 进来发现可以编辑文件,然后找到exec.php 1234567891011121...

bctf2017 web部分wp

周末干了一发bctf,因为周六出去玩了,所以没能看完所有的web题还是挺可惜的,先整理已经做了的2道火日聚聚的web题,后面在整理别的题目。 paint 打开题目是一个画画板,除了基本的画画功能以外,还可以上传图片文件。浅逛一下整个站不难发现有效的目标点只有2个,image.php和upload.php。 首先分析upload.php,可以上传任意文件,但要求上传文件后缀必须为图片,感觉应该是白名单,上传之后文件会改名,最重要的一点,上传图片的目录服务端做了设置,php后缀的文件会直接返回403,这也说明了后面的漏洞类型。 查看右键源码获得提示,flag在flag.php。 然后是i...

0ctf201 web部分writeup

纪念下偷偷登上萌新榜第一的比赛,也实现了比赛前的愿望,0ctf争取不0分,rsctf争取高名次,:> Temmo’s Tiny Shop题目是个类似于小卖铺的站,最有趣的是刚开始的时候,这题进去是钱很多的,可以随便买,也可以看到hint1OK! Now I will give some hint: you can get flag by use `select flag from b7d8769d64997e392747dbad9cd450c4` 后来突然题目就改了,只有4000块了,买不了hint,很气…(看别人的wp听说admin是弱口令还是什么的,里面一百多万可以随便买…...

NJCTF Web部分writeup

又到了一年一度的比赛季,这次打了打赛宁自己办的NJCTF,这里稍微整理下Web部分的wp,虽然不知道题目是谁出的,但是我觉得大部分题目还是挺蠢的…看的人从中汲取自己想要的知识就好。 WebLogin1login? 没啥好玩的,注册的时候有超长用户名截断 原理就是用户名在check的时候是不同的,但是数据库字段保存是有长度的,所以会发生截断,注册中间为空格的超长用户名就可以截断为admin Get Flag123别BB,来拿FLAGPS:delay 5s 命令执行,没什么好说的。 cat 后用 & ls 列目录下文件flag在../../../9iZM2qTEmq67SOd...

有趣的cdn bypass CSP

最近在逛github的时候看到一个bypass csp的挑战,也是我最近才知道的一个新思路,一般人bypass csp都是通过允许域下的某个漏洞构造文件绕过,但是其实往往没人注意到cdn的问题。 先贴上原文https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh*t,-it%27s-CSP!%22 这个利用方式其实我在ctf里也遇到过https://blog.0daylabs.com/2016/09/09/bypassing-csp/ 我们写个简单的demo 12345678910111213...

聊聊hctf2016

hctf2016在11月底落幕了,零零散散已经过去了2个月了,时至今日,才算是有空收拾下一下去年的得失… 过年了总想写点儿什么,下面的东西就随便说说,祝大家新年大吉x. 聊点儿有的没得相信很多人都知道当年十一期间闹得沸沸扬扬的L-CTF和XDCTF的事,很多事情的发生让人措手不及,所以西电的大佬们选择了这样的方式来解决问题,而同样的事情其实当时正在发生在杭电HDUISA的身上…但就如当年在知乎上发的一样,为了能让杭电的CTF走的更远,我们选择了今天这条路。 早在16年的5、6月份时候,杭电成立了浙江第二个网络空间安全学院,但没想到的是,在整个信息安全专业被剥离到网安学院的同时,信息安全协...

浅谈xss的后台守护问题

在出好HCTF2016的两道xss题目后,就有了一个比较严重的问题就是,如何守护xss的后台,用不能人工一直在后台刷新吧(逃 一般来说,之所以python的普通爬虫不能爬取大多数的网站的原因,是因为大多数网站都把显示数据的方式改成了js执行,通过各种各样的方式,然后输出到页面中,浏览器一般帮助你完成这部分js的解析,所以我们使用的时候,就感受不到阻碍了。 但是对于普通的爬虫来说,这就是比较致命的了,那么对于python的爬虫来说,我们一般使用比较轻量级的selenium+phantomjs来解决,但是如果你的xss题目对浏览器内核有需求呢? 就好像我这里的题目guestbook浏览器要...

using polyglot JPEGs bypass CSP 分析

前段时间,外国爆出来的新的bypass CSP方式,这里稍微研究下。 http://blog.portswigger.net/2016/12/bypassing-csp-using-polyglot-jpegs.html 但实际检查整个逻辑之后,我觉得应该算作是对上传检查的绕过,不能算作是bypass csp 文章里提到通过创建一个多语言的JavaScript/JPEG 来绕过CSP,他给了两张demo图片,回顾整个逻辑。 我们打开给出的demo图片和随便一张jpg图片,首先前四位是JPEG头0xFF 0xD8 0xFF 0xE0,如果你曾尝试过把一张图片当作script来执行的话,应...

hctf2016 简单部分WEB && misc writeup

因为队伍里没有专门的misc选手,所以其实这次比赛的的misc都是我们凑的,除了最开始的杂项签到,只有你所知道的隐写就仅此而已嘛不是我出的,这里稍微整理一下,整体misc都非常简单,唯一一个比较难的misc题目还因为我的出题失误导致基本上只有一个师傅做题方式接近我的正解,下面稍微研究一下简单的web部分和misc题目 level12099年的flag题目描述:only ios99 can get flag(Maybe you can easily get the flag in 2099最终分数:10pt完成人数:226 进去后发现这么一句话,相信有经验的人第一时间就能反应过来是要改u...

hctf2016 guestbook&secret area writeup

这次比赛专门出了两个xss题目,前段时间阅读了几篇和CSP有关的文章,有了一些特别的理解,所以就专门出了2题 第一题guestbook思路来自于http://paper.seebug.org/91/ 当然我自己也写了分析文章http://lorexxar.cn/2016/10/28/csp-then/ 源码https://github.com/LoRexxar/hctf2016_guestbook 出题思路主要来自于CSP对域的限制,但是没想到翻车了,忘记了location的问题,导致guestbook的做法简单了一倍多,在中途的时候突然发现了几个特殊的payload,发现题目思路和去年...