C#内存加载PE & 几个CTF题

Author: echo0d

src/CodeAudittutorial/4-GoVul/GoVul.md

@@ -4,7 +4,7 @@
 
 > [GitHub - Hardw01f/Vulnerability-goapp: Web application build Golang with Vulnerability](https://github.com/Hardw01f/Vulnerability-goapp)
 
-这里能看到执行命令的``exec.Command`，命令通过拼接传入，所以可以利用管道符，把命令拼在后面。
+这里能看到执行命令的`exec.Command`，命令通过拼接传入，所以可以利用管道符，把命令拼在后面。
 
 ![image-20240923104010179](img/GoVul/image-20240923104010179.png)
 
@@ -45,7 +45,7 @@ sec-ch-ua-platform: "Windows"
 
 > [GitHub - Hardw01f/Vulnerability-goapp: Web application build Golang with Vulnerability](https://github.com/Hardw01f/Vulnerability-goapp)
 
-`pkg/image/imageUploader.go` ，这里保存文件，路径是拼接的，且没有检验
+`pkg/image/imageUploader.go` ，这里保存文件，路径是拼接的，且没有检验后缀
 
 ![image-20240923160617852](img/GoVul/image-20240923160617852.png)
 
@@ -85,6 +85,20 @@ go版本太高就无法复现了，也没查到具体哪个版本更新的，靶
 
 > [GitHub - Hardw01f/Vulnerability-goapp: Web application build Golang with Vulnerability](https://github.com/Hardw01f/Vulnerability-goapp)
 
+这个项目在从cookie中获取uid之前，做了一步对cookie的有效性进行校验
+
+![image-20240924152332293](img/GoVul/image-20240924152332293.png)
+
+`CheckSessionID`里有一个`ValidateCorrectCookie`的方法校验cookie
+
+![image-20240924152633020](img/GoVul/image-20240924152633020.png)
+
+ValidateCorrectCookie通过将用户输入的cookie和后台数据库存储的信息进行比对
+
+![image-20240924152755689](img/GoVul/image-20240924152755689.png)
+
+这样就可以避免越权
+
 
 
 ## 整数反转/溢出
@@ -167,9 +181,7 @@ func NewSource(seed int64) Source {
 
 
 
-## net/http
-
-### net/http < 1.11 CRLF注入
+## net/http < 1.11 CRLF注入
 
 在HTTP协议中，HTTP header之间是由一个CRLF字符序列分隔开的，HTTP Header与Body是用两个CRLF分隔的，浏览器根据这两个CRLF来取出HTTP内容并显示出来。所以如果用户的输入在HTTP返回包的Header处回显，便可以通过CRLF来提前结束响应头，在响应内容处注入攻击脚本。因此CRLF Injection又叫HTTP响应拆分/截断（HTTP Response Splitting）简称HRS。
 
@@ -183,7 +195,7 @@ Date:Fri,26Jun 2018 17:00:05 GMT
 Content-type:text/html
 Contet-Length:155
 Connection:close
-Location:http://www.sinay.com.cn
+?Location=http://www.sinay.com.cn%0d%0aSet-Cookie:JSPSESSID%3Dhackingsite
 
 ```
 
@@ -211,31 +223,6 @@ Set-Cookie:JSPSESSID=hackingsite
 
 现在会看到存在限制，我们无法传入`\r\n`的字符
 
-
-
-### weird stuff
-
-在之前的[justCTF](https://ctftime.org/event/1050)中，出现了一道go题。题目原本的漏洞是由出题人发现的一个issuehttps://github.com/golang/go/issues/40940 加上其对fileServer一些代码的魔改组合的。
-
-简单陈述下的话，题目提供了一个go http起的FileServer
-
-```
-http.Handle("/", http.FileServer(http.Dir("/tmp")))
-```
-
-flag就在其提供文件服务的文件夹下，但是，出题人加上了web服务的flag路由,从而使得我们没法通过直接访问`/flag`来获取文件。而是得到`/flag`路由的回显。
-
-http的`Fileserver`在我们访问时，会先根据我们访问的url进行一系列处理，杜绝路径穿越的url之后进行文件读取返回给用户
-
-但是比较有意思的时，比赛中出现了一个非预期读flag的方式
-`curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag`
-
-简单说就是用CONNECT请求+路径穿越的url读取到了文件。我们看看源码是怎么处理的
-![img](img/GoVul/upload_f9abcabe3b0a17bac5f8e41a586d74ab.png)
-如果是CONNECT方式请求，就不会处理url中的特殊字符。导致直接读取flag.其他的请求方法都会在`cleanPath`中被处理url
-
-golang1.16处理了这个我问题。
-
 ## slice
 
 ```
@@ -272,20 +259,24 @@ type slice struct {
 slice结构中的cap是按2的倍数扩容的。所以说当我们`append(3)`时会发生第一次扩容，此时len为3，cap为`2*2=4`.
 执行`b := append(a, 4)`时，我们的4会被放在指针ptr的第四个位置。然后返回ptr len=4 cap=4给b。不过这并没有改变a的结构（slice只是指向内存的指针）之后进行`c := append(a, 5)`时，由于a没变，新元素只会覆盖之前b那放上的4.
 
+`b := append(a, 4)` 语句将元素 4 追加到切片 `a` 中，并将返回的新切片赋值给 `b`。同样，`c := append(a, 5)` 语句也将元素 5 追加到切片 `a` 中，并将返回的新切片赋值给 `c`。
+
+由于 `b` 和 `c` 都是通过向切片 `a` 追加元素生成的，它们实际上共享相同的底层数组。因此，向 `a` 中追加元素 4 或 5 会影响到 `b` 和 `c`，因为它们都指向相同的底层数组。
+
 ## 目录遍历
 
 ```
 filepath.Join()
 filepath.Clean()
 ```
 
-`Join` 将任意数量的路径元素合并成一个单一的路径，并用操作系统特定的分隔符进行分隔。先对路径做一些`Clean()`处理，但不能完全避免路径目录遍历
+`Join` 将任意数量的路径元素合并成一个单一的路径，并用操作系统特定的分隔符进行分隔。先对路径做一些`Clean()`处理，但不能避免目录遍历
 
 ![image-20240923223106640](./img/GoVul/image-20240923223106640.png)
 
-我们看如下测试代码来验证我们的猜想：
+测试代码：
 
-```
+```go
 package main
 
 import (
@@ -313,7 +304,7 @@ func main() {
 
 ![image-20240923222514199](./img/GoVul/image-20240923222514199.png)
 
-`filepath.Clean()`函数的作用如下：
+`filepath.Clean()`函数的作用如下：（其实就是根据先拼接，再去掉没用的地方，例如`a/./../`，这种情况搞来搞去还是当前目录，就会被直接去掉）
 
 ```
 1.用一个分隔符元素替换多个分隔符元素。
@@ -322,12 +313,14 @@ func main() {
 4.消除以根路径开头的 .. 元素：也就是说，假设分隔符是“/”，将路径开头的“/..”替换为“/”。
 ```
 
-可以看到该`filepath.Clean()`函数专门允许`switch-case`'../../../../' 类型的输入。
+可以看到该`filepath.Clean()`函数允许`switch-case`'../../../../' 类型的输入。
 
 ![image-20240923223511699](./img/GoVul/image-20240923223511699.png)
-那么我们对上述代码改为如下代码，添加了一层`filepath.Clean()`函数，我们再次运行会发现最后一句打印语句还是`../`开头，这说明我们不需要在花心思在`filepath.Join()`函数中，因为`Clean()`它已经内置了。
+那么我们对上述代码改为如下代码，再添加一层`filepath.Clean()`函数，我们再次运行会发现最后一句打印语句还是`../`开头
 
-```
+这个故事告诉我们，`filepath.Clean()`函数加上也不能放置目录遍历。
+
+```go
 package main
 
 import (
@@ -401,7 +394,7 @@ goroutine 的有趣之处在于，调用函数不必等待它们返回即可返
 
 在其基本用法中，我们可以向通道发送数据或从通道接收数据：
 
-```
+```go
 import (
     "fmt"
 )
@@ -425,11 +418,11 @@ func main() {
 
 该代码展示了如何使用 Goroutines 和 channels 来并发地计算两个数字范围内的数值，并找出能被特定数字整除的第一个数。
 
-在这个例子中，我们有*阻塞、无缓冲的*通道。这两者是相辅相成的，因为无缓冲通道用于同步操作，程序在从通道接收到数据之前无法继续，因此它会阻止进一步的执行。
+在这个例子中，使用**阻塞、无缓冲的**通道。这两者是相辅相成的，因为无缓冲通道用于同步操作，程序在从通道接收到数据之前无法继续，因此它会阻止进一步的执行。
 
 当无缓冲通道没有机会在其通道上发送数据时，就会发生 Goroutine 泄漏，因为其调用函数已经返回。这意味着挂起的 Goroutine 将保留在内存中，因为垃圾收集器将始终看到它在等待数据。举个例子：
 
-```
+```go
 package main
 
 import (
@@ -473,12 +466,8 @@ func main() {
 
 这个简单的示例用于模拟需要用户交互但超时值很低的功能。这意味着，除非我们的用户反应非常快，否则超时会在它做出选择之前发生，因此goroutine内的userChoice()函数将永远不会返回，从而导致泄漏。
 
-### 安全问题
-
 此类漏洞的安全影响在很大程度上取决于具体的情况，但最有可能导致拒绝服务的情况。因此，只有当程序的生命周期足够长，并且启动了足够多的 goroutine 来大量消耗内存资源时，这才会成为问题。因此该问题主要是取决于用例和环境才会导致该漏洞产生更严重的影响。
 
-### 修复方式
-
 最简单的解决方法是使用缓冲通道，这意味着 goroutines 具有非阻塞（异步）行为：
 
 ```
@@ -514,7 +503,7 @@ resp, err := http.Post(filepath.Join("https://victim.site/", URI), "application/
 
 因此我们有如下两种解决方案：
 
-1.使用`%q`格式化动词，它将创建一个带编码控制字符的引号字符串
+1.使用`%q`格式化，它将创建一个带编码控制字符的引号字符串
 
 2.可以使用`strconv.Quote()`，它将引用字符串并编码控制字符
 
@@ -543,11 +532,11 @@ rawPointer := uintptr(unsafe.Pointer(pointer))
 
 如果从 unsafe.Pointer 转换为 uintptr 并在 syscall 中使用时触发垃圾收集机制，我们可能会向系统调用传递一个完全不同的内存结构。这是因为垃圾收集器可能会在内存中移动对象，但它不会更新 uintptr，因此该地址可能与我们执行转换时完全不同。
 
-### 安全问题
+**安全问题**
 
 同样，与其他Go异常类似，该漏洞的影响实际上取决于上下文。首先，由于垃圾回收而更改内存的机率非常低。但是，这种机率会随着我们拥有的 goroutine 数量和程序运行时间的增加而显著增加。最有可能的是，我们会得到一个无效指针解引用异常，但有可能将这样一个漏洞变成一个利用点。
 
-### 修复方式
+**修复方式**
 
 使用如下代码可有效防御该问题：
 
@@ -559,9 +548,9 @@ _, _, errno := syscall.Syscall(syscall.SYS_IOCTL, f.Fd(), request, uintptr(unsaf
 
 ## OS.EXECUTABLE()
 
-`OS.EXECUTABLE()`函数如何处理符号链接取决于操作系统，我们可以看如下代码：
+`OS.EXECUTABLE()`函数作用是获取当前程序的路径。它如何处理符号链接取决于操作系统，我们可以看如下代码：
 
-```
+```go
 func withoutEval() string {
     execBin, _ := os.Executable()
     path, err := filepath.Abs(filepath.Dir(execBin))
@@ -625,10 +614,10 @@ Number of bytes read: 16
 Bytes: AAAAAAAAAAAAAAAA
 ```
 
-### 安全问题
+**安全问题**
 
 假设我们有一个长期运行的 Go 二进制文件，例如服务或类似文件，位于受保护的位置，以防止低权限用户访问，并且配置文件规定了一些安全选项，例如对服务器或类似文件的主机证书验证。在 Windows 和 MacOS 上，即使对于权限较低的用户，我们也可以在可控制的位置创建指向此二进制文件的符号链接，并在那里添加修改后的配置文件，程序将在下次运行时读取该文件。实际上，这使得攻击者能够从低权限用户帐户覆盖那里的安全设置。
 
-### 修复方式
+**修复方式**
 
 修复方法相对简单。我们只需要将结果传递`os.Executable()`给`os.EvalSymlinks()`。此函数将检查路径是否为符号链接，如果是，它将返回链接指向的绝对路径。

src/CodeAudittutorial/4-GoVul/img/GoVul/image-20240924152132441.png

@@ -1,5 +1,7 @@
  # CTF-WEB
 
+> 题目来源[题库 | NSSCTF](https://www.nssctf.cn/problem)
+
 ## 1. PHP md5 相等绕过
 要求字符串不同，但MD5相同
 
@@ -724,3 +726,48 @@ O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
 然后查看log信息，对比两次提交即可
 
 ![image-20240901095711570](./img/1-CTF_WEB/image-20240901095711570.png)
+
+## 8. [SWPUCTF 2021 新生赛]PseudoProtocols
+
+初始提示`http://node7.anna.nssctf.cn:22900/index.php?wllm=`
+
+![image-20240925104555403](img/1-CTF_WEB/image-20240925104555403.png)
+
+先用php协议读一下hint.php
+
+![image-20240925104715121](img/1-CTF_WEB/image-20240925104715121.png)
+
+然后解码这个hint.php
+
+```php
+<?php
+//go to /test2222222222222.php
+?>
+```
+
+还是一样，读test2222222222222.php
+
+![image-20240925104906653](img/1-CTF_WEB/image-20240925104906653.png)
+
+解码后
+
+```
+<?php
+ini_set("max_execution_time", "180");
+show_source(__FILE__);
+include('flag.php');
+$a= $_GET["a"];
+if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
+	echo "success\n";
+	echo $flag;
+}
+?>
+```
+
+发现`file_get_contents`函数，读取后的内容等于`I want flag`
+
+```
+GET /test2222222222222.php?a=data://text/plain,I%20want%20flag 
+```
+
+![image-20240925105137206](img/1-CTF_WEB/image-20240925105137206.png)