0%

[UnionCTF2021]Cr0wnAir

最近天天被外国比赛暴打。。。。这次UnionCTF两个web,一个sqlite的union注入,零过滤,百度的payload都能打通,还有就是这个题,还蛮有意思的,后面这步利用感觉还比较实用,学习了

源码

贴一部分

checkin.js
const pattern = {
  firstName: /^\w{1,30}$/,
  lastName: /^\w{1,30}$/,
  passport: /^[0-9]{9}$/,
  ffp: /^(|CA[0-9]{8})$/,
  extras: [
    {sssr: /^(BULK|UMNR|VGML)$/},
  ],
};
function isSpecialCustomer(passport, frequentFlyerNumber) {
  return false;
}

function createToken(passport, frequentFlyerNumber) {
  var status = isSpecialCustomer(passport, frequentFlyerNumber) ? "gold" : "bronze";
  var body = {"status": status, "ffp": frequentFlyerNumber};
  return jwt.encode(body, config.privkey, 'RS256');
}
.....
  if (jpv.validate(data, pattern, { debug: true, mode: "strict" })) {
    if (data["firstName"] == "Tony" && data["lastName"] == "Abbott") {
      var response = {msg: "You have successfully checked in! Please remember not to post your boarding pass on social media."};
    } else if (data["ffp"]) {
      var response = {msg: "You have successfully checked in. Thank you for being a Cr0wnAir frequent flyer."};
      for(e in data["extras"]) {
        if (data["extras"][e]["sssr"] && data["extras"][e]["sssr"] === "FQTU") {
          var token = createToken(data["passport"], data["ffp"]);
          var response = {msg: "You have successfully checked in. Thank you for being a Cr0wnAir frequent flyer. Your loyalty has been rewarded and you have been marked for an upgrade, please visit the upgrades portal.", "token": token};
        }
      }
阅读全文 »

DiceCTF2021

好像比justCTF简单不少。。。起码有萌新能做出来的题了呜呜
但是怎么感觉外国比赛这么喜欢XSS

BabierCSP

对标justCTF的BabyCSP,确实更baby了,justCTF那个题完全不会。。。
因为设置了default-src,fetch这些函数的请求的源也受到CSP控制,fetch就发不出去,一开始在这卡了
然后用windows.location.href跳转就行了

这个题nonce是不变的,那不就是无过滤XSS吗。一开始以为是题写歪了想考参考链接里面先知那个吞下面nonce的点的,后来测了一下发现这个必须是可控点和有nonce的script连在一起才行,不然之间的任意一个右尖括号都能把你给闭合了而无法吞下正确的nonce

阅读全文 »

mimikatz简单使用手册

mimikatz起码得是个管理员权限跑起来才有用
调用模块内命令的语法是Module::Function,需要加参数的话为/arg:value
简单记录一下常用模块的常用命令

前置知识

先提一点点关于windows权限的东西作为前置知识

用户账户等级

阅读全文 »

justCTF2020

一个都不会啊,纯挨打
等wping

Forgotten name

要猜一个6a开头的子域名,第一反应是子域名查询或者同ip查询。我找的国内的同ip域名查询网站计划不通(随便选了个web题的域名的ip查),老国王找了个子域名查询网站一键打穿
然后把域名十六进制解码一下得到flag。。。

Go-fs

阅读全文 »

域环境搭建

科恩的任务还没完成,我是划水王
前两天看了看文章,摸了两天鱼,今天搭了一天环境到这个时候呜呜
还是参考的好姐姐的文章进行搭建

环境搭建

先是折腾了一下午破解,不是很喜欢30天回退一次快照,万一我以后还有更改就不方便了。其次就是研究网络,其实VMware虚拟机咋整都是在一个子网内,用同一个虚拟网络适配器就行了,NAT Host-Only都行。接不接物理机进来都无所谓,DHCP开不开也无所谓(但是DC的ip还是写死比较好)

winserver12作为域控DC,按照上面的步骤升级为域控,选择新建林,填一个二级域名进去,我这里填为z33.com,一路默认即可
加入域后计算机全名为: 计算机名+.z33.com
整个环境由如下四台机子构成
winsever12 DC
winsever08 webServer
winserver16 后来随便加的。。。
win7 管理员主机

阅读全文 »