Skip to content

Boston Key Party 2017 writeup

Posted in 每刻,知识分享

BKP2017在大家的努力下打到了18名,的确是尽力了,期待大乌龟的回归。

Prudentialv2

看逻辑是两个sha1值的比较,用google前几天刚跑出来的结果好了,太长了,但是实际上两个文件只有一个block是不一样的,编写脚本找到这个位置跑过这个block,这两段的sha1值就是相同的。

Artisinal Shoutboxes

题目逻辑是先注册一个名称,就会生成一个对应的域名的留言板。

用户名处有长度限制,但是限制是在前端可以绕过的,改一下len属性即可。

尝试了一下<script>alert(1);</script>发现很快就被ban了,于是猜测被ban是触发xss的条件。

在admin子域中,发现html页面源代码中有一段注释里会放cookie,于是有了思路。

  1. 在留言板页面构造耿直的xss触发封禁
  2. xss的内容是设置根域的cookie,cookie的内容闭合了html注释,并且插入script标签再次完成xss
  3. 获取当前网页源代码的内容。

getflag!

Snow Cloud

本题号称新时代新云,有创建标签,浏览标签,分享标签,删除标签的功能。

删除标签的同时会输出原本标签的内容,而在浏览标签中的内容是经过html编码的。

于是我们有一个大概的思路: 首先创建个看上去能xss的标签,然后share给管理员,管理员pop后触发xss

问题来了,他这里有严格的过滤,尖括号双引号单引号全都不能用。

直到发现了他奇怪的转化。


'xxxxyz'会变成')oooo<z\n\n','a'->'','啊啊'->'BB\n\n' 'Ö' -> '\n\n', 'ÖÖ' -> 'OO\n\n' 我好像发现了什么。 'ß' -> '', 'ßß' -> 'BB\n\n'

猜测是有奇怪的编码转化,可以用看上去相似的字符绕过过滤。

给大家看个最终的payload就懂了。

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *