近期关于flash csrf学习的一点总结

这个月在百度的BSRC刷了一周,

提交了三个关于bduss劫持的漏洞

用一个图来概括吧。。

链接我贴出来:

http://www.wooyun.org/bugs/wooyun-2014-072951

(1)。找个地方上传swf
(2)。找个可以利用的图片上传点(参考http://drops.wooyun.org/tips/2031)
(3)。找个没有过滤的jsonp接口输出swf文件流(依旧参考上一条链接)
(4)。flash权限反射(参考http://drops.wooyun.org/papers/5732,http://weibo.com/p/1001603881940380956046)

 

SCTF的一点笔记

rsa:

yafu是分解大数的一个高效工具

地址:https://sourceforge.net/projects/yafu/files/latest/download?source=typ_redirect

wiener-attack是针对rsa中d的攻击工具

链接:https://github.com/pablocelayes/rsa-wiener-attack

rsatool可以用来生成rsa的私钥

地址:https://github.com/ius/rsatool

openssl用来对一些标准格式的rsa加解密

kali已经自带,就不贴地址了

openssl rsautl -decrypt -in xxxx -inkey -out out.txt

openssl还可以在命令里输出公钥的两个值

openssl rsa -in pek -pubin -text -modulus

在这里要注意被加密的文件的文件格式有个选项是啥来着忘了,可以-h看一下

 

WEB:

Phar://伪协议可以用来包含压缩文件执行(本地包含,大小写都可以)

Phar:///tmp/asdf/aaa.php

如果上面这个字符串被包含,那么/tmp/asdf这个文件会被解压缩,并且里面aaa.php文件会被包含

类似的:

Zip://伪协议也可以包含压缩文件

Zip:///tmp/asdf#aaa

效果同上,具体内容可以参考php官网

这两个文件包含,如果遇到了,但是没有文件上传点,但是给了phpinfo页面的话,可以通过上传文件,时间竞争来包含getshell,对任意php上传文件,会在tmp目录留下临时文件,但是一旦上传好就会把文件删掉,所以我们只能通过脚本重复发包。争取在文件被删除之前包含它。至于文件路径,会在phpinfo中被当做全局变量输出出来。所以可以用自动化脚本去上传,读路径,包含

这里附上一个脚本web200

要使用的时候需要更改目标地址,目标页面地址,以及文件的16进制

 

做web还跟jj学到了一个新姿势,如果命令执行过滤了空格,可以用<>来绕过

比如,php<"/tmp/code.php">"/tmp/result.txt"

这条命令里面没有空格,会执行code.php里面的代码并且把输出重定向到result.txt里面

还有个注意点就是做命令执行题目的时候,很可能ls命令没法列出所有文件,我们可以去php里面找相关函数来列文件

http://www.freebuf.com/articles/web/54086.html

这里可以对抗php里面 imagecreatefromgif这类函数,使得被php_gd库修改之后的图片中仍存在恶意代码。OTZ原来这一题不需要时间竞争

xpath injection这次没做,傻杰哥做出来了。有时间我要补补

 

关于pwn,pwn一直是我们的痛处,web题在比赛的时候坑太多太多。。感觉是时候学一波pwn了。。