LoRexxar's Blog

0CTF/TCTF2018 Final Web Writeup

最棒的CTF就是那个能带给你东西和快乐的CTF了,共勉 show me she shell这是一道tomato师傅出的不完整的java题,java…,java…我恨java┑( ̄Д  ̄)┍ 这是一个题目一是列目录+任意文件读取, 二是垂直越权+CLRF配SSRF打redis+反序列化命令执行 题目的难度在于代码本身的不完整和java,没办法实际测试,所以只能强行阅读源码,幸运的是代码结构是spring完成的,和python的flask/django结构很强,这为我们阅读源码提供了可能。 1整个代码中,控制器只有5个,其中12345index 首页login 登陆、注册manager 管...

基于Service Worker 的XSS攻击面拓展

在前段时间参加的CTF中,有一个词语又被提出来,Service Worker,这是一种随新时代发展应运而生的用来做离线缓存的技术,最早在2015年被提出来用作攻击向,通过配合xss点,我们可以持久化的xss控制。 本文提到的大部分技术来自 https://speakerdeck.com/masatokinugawa/pwa-study-sw 什么是Appcache 和 Service Worker?伴随着H5的诞生,Web app越来越需要应用化,与之相关,各种离线的需求也接踵而至,Appcache就是用来做网站的离线缓存的,可以通过manifest文件指定浏览器缓存哪些文件以供离线访...

TCTF/0CTF2018 h4x0rs.space Writeup

TCTF/0CTF中的压轴题目,本来可以在题目还在的时候研究的,无奈又因为强网杯的事情又拖了好几天,今天才整理出来,整个题目的利用思路都是近几年才被人们提出来的,这次比赛我也是第一次遇到环境,其中关于Appcache以及Service Worker的利用方式非常有趣,能在特殊环境下起到意想不到的作用。 下面的Writeup主要来自于 https://gist.github.com/masatokinugawa/b55a890c4b051cc6575b010e8c835803 h4x0rs.space题目分析1234567891011121314I've made a blog plat...

TCTF/0CTF2018 h4xors.club2 Writeup

本来早就该完成的club2 wp因为清明节的关系拖了一段时间,club2这个题目用了一很精巧的postMessage漏洞。 h4xors.club2一个非常有意思的题目,做这题的时候有一点儿钻牛角尖了,后面想来有挺多有意思的点。先分享一个非常秀的非预期解wp。 http://www.wupco.cn/?p=4408&from=timeline 在分享一个写的比较详细的正解 https://gist.github.com/paul-axe/869919d4f2ea84dea4bf57e48dda82ed 下面顺着思路一起来看看这题。 12345Get document .cook...

TCTF/0CTF2018 XSS bl0g Writeup

刚刚过去的TCTF/0CTF2018一如既往的给了我们惊喜,其中最大的惊喜莫过于多道xss中Bypass CSP的题目,其中有很多多应用于现代网站的防御思路,其中的很多利用思路非常精巧,值得研究,所以这里我把xss题目单独出来博文,因为它们值得更多关注! ps:writeup会在我复现整理完后不断分享出来… bl0g123An extremely secure blogJust focus on the static files. plz do not use any scanner, or your IP will be blocked. 很有趣的题目,整个题的难点在于利用上 站内的...

强网杯2018 Web writeup

现在人老了,不仅ctf不想打了,写wp也想偷点懒,下面的writeup就从简完成了,如果有问题可以直接问我看看。 Webshare your mind一道挺迷的xss题目,开始做题的时候拐入了一个神奇的非预期。 基础的思路挺明确的,首先需要找个以当前域下的self-xss,然后发送给管理员,bot访问然后进一步… 首先就需要找到一个xss点,由于写文章的点经过html过滤,尖括号被转义了,再加上第一个提示说后台bot使用了phjs做浏览器,所以提出了一个想法,phjs有什么和普通浏览器不同的点,然后就被带入歧途了。 在盲测payload的时候,这样的一个payload收到了返回1http...

从补丁到漏洞分析 --记一次joomla漏洞应急

2018年1月30日,joomla更新了3.8.4版本,这次更新修复了4个安全漏洞,以及上百个bug修复。 https://www.joomla.org/announcements/release-news/5723-joomla-3-8-4-release.html 为了漏洞应急这几个漏洞,我花费了大量的时间分析漏洞成因、寻找漏洞触发位置、回溯逻辑,下面的文章比起漏洞分析来说,更接近我思考的思路,希望能给大家带来不一样的东西。 背景其中的4个安全漏洞包括1234- Low Priority - Core - XSS vulnerability in module chromes (af...

34c3 Web部分Writeup

34c3作为ctftime很少见的高权重比赛仍然没让人失望,提供了足够好的题目质量,其中有3题是和xss有关系的,很有趣 这里整理了一下Writeup给大家 urlstorage初做这题目的时候感觉又很多问题,本以为最后使用的方法是正解,没想到的是非预期做法,忽略了题目本身的思路,抛开非预期不管,题目本身是一道非常不错的题目,用了css rpo来获取页面的敏感内容。 CSS RPO首先我们需要先解释一下什么是CSS RPO,RPO 全称Relative Path Overwrite,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他...

前端防御从入门到弃坑--CSP变迁

原文是我在内部showcase的时候修改而来的,总结了一些这一年接触CSP的很多感想… 前端防御的开始对于一个基本的XSS漏洞页面,它发生的原因往往是从用户输入的数据到输出没有有效的过滤,就比如下面的这个范例代码。 123<?php$a = $_GET['a'];echo $a; 对于这样毫无过滤的页面,我们可以使用各种方式来构造一个xss漏洞利用。 123a=<script>alert(1)</script>a=<img/src=1/onerror=alert(1)>a=<svg/onload=alert(1)> 对于这样的漏洞点...

阿里先知xss挑战赛 Writeup

8月里阿里先知办了一个xss的挑战赛,可惜全程都刚好属于比较忙的时候,很多题目都是违背基本规则的,要花长时间来搜索尝试…和一个朋友花了一天的时间,也就做出来6、7题,后来就没有提交了… 现在整理所有的Writeup,先膜一发@L3m0n师傅,大部分不会的题目思路都是看了他的Writeup才知道的…下面整理的wp中,我做了的部分会尽量加入我的理解,其他部分基本为lemon师傅的思路. https://xianzhi.aliyun.com/forum/read/2044.html 01 文件上传123456789101112131415161718192021222324252627282...

从瑞士军刀到变形金刚--XSS攻击面拓展

这篇文章的原文被我首发在阿里先知社区。 前段时间我阅读了Sucuri Security的brutelogic的一篇博客以及ppt,对xss有了一些新的理解。 在我们真实场景下遇到xss漏洞的时候,我们常常会使用1<script>alert(1)</script> 来验证站点是否存在漏洞(PoC),为了不触及敏感信息,我们往往不会深入研究XSS的危害程度,很多人都只知道Cross-Site Scripting(XSS)可以窃取cookie,模拟admin请求,但事实上在复杂环境下,我们可以使用XSS完成复杂的攻击链。 测试环境wordpress v4.8.0(默认...

pwnhub 改行做前端

题目说实话是完成了一半,后一半是无意中上车的,有一些迷…关于注入部分是后来才发现的。 这里先按照我的思路来吧 self-xss站内有提交bug的地方,地址必须是http://54.222.168.105:8065/开头,也就是说我们必须找到一个self-xss的地方。 无意间发现,如果提交错误,那么错误是通过302跳回?error=xxx来输出到页面内jquery中,然后通过jquery输出到页面的,输出内容大多都经过了转义。 也就是说我们没办法通过闭合语句来执行js。 这里有一个小trick,假设<>没有被过滤,那么可以直接插入一个</script>,那么s...

finecms分析

在过去的一段时间里,我对FineCMS公益版进行了一波比较详尽的审计,我们找到了包括SQL注入、php代码执行、反射性XSS、任意url跳转等前台漏洞,其中部分漏洞危害巨大。 CVE-2017-11581CVE-2017-11582CVE-2017-11583CVE-2017-11584CVE-2017-11585CVE-2017-11586CVE-2017-11629 更新至v5.0.11即可修复大部分漏洞 URL 任意跳转漏洞(CVE-2017-11586)漏洞分析/finecms/dayrui/controllers/Weixin.php 204~219 sync函数123456...

xssgame writeup

前段时间无意中玩了玩xssgame,应该是最新的xss挑战了吧,最近才有空整理了一下writeup,网上很多搜到的wp说的都不清楚,这里推荐一片wp。 xssgame(需要翻墙)推荐的wp level 1第一题没什么特别的,查询输入没做任何过滤就输出了,所以直接插入标签就好了。 1http://www.xssgame.com/f/m4KKGHi2rVUN/?query=1<img src="/" onerror=alert(1)> level 2第二题其实有一点儿特别,dom xss,最关键的部分,其实就是如何让语句合理,因为在js的解析器中,js语句是按顺序解释的,如果碰...

RCTF2017 web writeup

膜蓝猫师傅,比赛中的很多题目使用的技巧其实都是常用的技巧,但是却没想到会在不同的情况下产生新的利用,让我有了新的理解。 rcdn12345Are you pro?http://rcdn.2017.teamrois.cnThere is no XSS or SQLi. Just prove you are a pro(e.g owning a pro short domain), you will get flag. 这里是个挺常见的trick,之所以做出来的人,可能是没有想明白题目中的提示。 站内有效的功能不多,可以新建basic的cdn,新建成功之后,会获得一个8位的随机字符串做...