【CTF大赛】2021 DASCTF July cybercms 一探再探

最新推荐文章于 2023-05-11 18:21:26 发布
最新推荐文章于 2023-05-11 18:21:26 发布
阅读量639 收藏
点赞数
分类专栏: 网络 安全 程序员 文章标签: php 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/119968677
版权

引言

在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 题目。

预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做题的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。

由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。

这篇就来记录一下做这道题时候的心路历程吧……

题目初探

cybercms

赛博CMS,只为安全而生

Hint: 信息搜集是一个web手必备的技能

在这里插入图片描述
很好,是 BEESCMS,head 里的 description 没改,正文里其实也没改完。

从官网找到了 官方 V4.0 源码下载

(不过貌似没啥用 后来发现还是有用的

后台登录绕过 & 上传

参考 【代码审计】 beescms 变量覆盖漏洞导致后台登陆绕过分析,$_SESSION 可以被任意覆盖。

POST /

_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=99999999999

在这里插入图片描述
然后直接可以访问后台了。

http://xxxxxxxxxxx/admin/admin.php
在这里插入图片描述
参考 代码审计就该这么来3 beescms getshell

按照文中的思路,上传一个后缀为 .php 的一句话木马,并修改 Content-Type: image/png 来通过后端对文件类型的校验。
网安资料
然而发现他文件目录没权限上传啊,随便上传一个正常的图片也是如此……
在这里插入图片描述

源码泄露

麻了,做到一半才发现有 源码泄露,/www.zip…

diff 大法好啊,看来官方源码还是有用的 2333。

多了个 hackable/ 目录,看起来只有这个目录可写的样子。(虽然最后发现也不行
在这里插入图片描述
登录还过滤了一下 SQL 注入。
在这里插入图片描述
在这里插入图片描述
注意的是还把 /* * 的过滤给去掉了。

上传点源码审计

再来看上传部分的源码。
在这里插入图片描述
审了一波源码,发现其实可以 构造目录穿越。
在这里插入图片描述
在这里插入图片描述
$up_file_name2 由 $pic_alt 而来,这个是可控的,只需要构造个目录穿越到 hackable 目录下就完事了。
网安资料
为了进到这里,上传的时候记得再把 Content-Type: image/png 改好, is_alt 设为 1。

然而还是没打通,报错和上面的类似,也是 PHP 执行的时候文件目录没权限,只不过可以注意到文件名是 .php 了。

(咱也不知道为啥他 $pic_alt 没传进来,留空的话也不是随机数,一脸懵逼

另一个上传点审计

于是么得办法,再挖了另一个文件上传的点,考虑通过 修改已上传图片的接口 来进行上传。
在这里插入图片描述
相应源码如下。
在这里插入图片描述
这里的 $pic_path 和 $pic_name 都是可控的,任意改一个就完事了。当然这是 PHP/5.6.40,%00 截断不可行 2333.

然而还是打不通……

绝绝子,挖了两条上传的路,试着绕到 hackable 目录也打不通……

看来还是文件目录的限制吧。

心态炸了啊啊啊啊啊。

SQL 注入写马(预期解)

害,赛后看了看大佬的 wp,么得办法,还是得走 SQL 注入写入文件呗。(佛了
在这里插入图片描述
再来看上面 diff 出来的关于 SQL 注入的语句。

function fl_value($str){
   
    if(empty($str)){
   return;
最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021CTF工业信息安全大赛第一场题.rar
09-19
【标题】"2021CTF工业信息安全大赛第一场题.rar" 提供的信息表明,这是一个与2021年工业信息安全领域的CTF(Capture The Flag)比赛相关的压缩包文件,其中包含了第一场比赛的试题。CTF比赛通常涉及网络安全、密码学...
BUUCTF-Misc-No.5
pone2233的博客
07-04 1841
文章目录比赛信息内心os(蛮重要的)Misc:[BSidesSF2019]zippy | SOLVED |[ACTF新生赛2020]明文攻击 | SOLVED | working : pjy 2020年05月20日[GKCTF2020]Pokémon | SOLVED | working : pjy 2020年05月25日[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vHU9Dfjq-1593850934903)(https://uploader.shimo.im/f/xJf
Nepnep x CatCTF Writeup
http://www.lunatic007.top/
01-03 1566
Nepnep x CatCTF Writeup
攻防世界 Misc miao~
muyi_jj_的博客
05-11 2040
在Audacity中打开,查看频谱图,得到密码CatCTF。在deepsound中打开wav文件,得到flag.txt。分离出jpg中隐含的内容,得到一个wav音频文件。打开flag.txt发现是兽语。得到一个jpg图片,
BUUCTF 喵喵喵
Charles_Andrew的博客
11-24 972
文件打开来是张图片 题目也写了扫一扫,那就直接用stegsolve打开来 发现文件0通道有异常,是LSB隐写,保存为.png文件,并用010打开 发现文件头有问题,将FF FF删去保存 发现二维码只有一半, 使用010更改高度 使用 QR扫码,即可发现网址:https://pan.baidu.com/s/1pLT2J4f .txt打开后显示没有,结果...... 最后上网查找了一下,结果发现可能是NTFS流,放到NtfsStreamsEditor2中发现了 ...
CTF Crypto中涉及的AES题目
M3ng@L的博客
04-20 7044
keywords: `AES_CBC模式`,`AES_ECB模式`,`AES_CTR模式` 来源于陇原战疫2021网络安全大赛 `Civet cat for Prince` $keywords:$ `AES_CBC`,`xor`,`狸猫换太子` 来源于安洵杯2020 `easyAES` $keywords:$ `AES_CBC`,`AES_CBC所使用的加解密器和AES_ECB模式所使用的相同` 来源于安洵杯2021 `air encryption` $keywords:$ `AES_CTR`,`xo
2021CTF工业信息安全技能大赛(杭州站)
08-02
【标题】"2021CTF工业信息安全技能大赛(杭州站)" 描述了一次重要的信息安全竞赛活动,该活动在2021年于杭州举行,聚焦于工业信息安全领域。CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜...
2021CTF工业信息安全大赛第二场.rar
09-19
【标题】"2021CTF工业信息安全大赛第二场.rar"是一个压缩包,它包含了2021CTF(Capture The Flag)工业信息安全大赛的第二轮比赛的相关材料。CTF是一种信息安全竞赛,参赛者通常需要通过解谜、破解密码、逆向工程...
2021CTF工业信息安全技能大赛(常州站)
08-03
2021CTF工业信息安全技能大赛(常州站)
2021第一届网刃杯网络安全大赛.zip
09-13
2021第一届网刃杯网络安全大赛.zip
BeesCMS4.0多处漏洞复现
1匹黑马
04-20 8085
文章目录前言漏洞复现后台报错注入 前言 本次复现的漏洞有: 后台报错注入漏洞 文件上传漏洞 变量覆盖漏洞 Beescms v4.0由于后台登录设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入、文件上传、变量覆盖漏洞。现在依然有许多企业选用BeesCMS4.0,百度搜powerd by BEESCMS © 2010-2015 www.beescms.com 还是有很多站的: ...
CTF入门
热门推荐
chaoyueziji123的专栏
09-28 5万+
感谢白帽子ADoG A.K.A D3AdCa7 (死猫&霸道总裁)同学的投稿,以下内容供安全爱好者参考学习,本文获得投稿奖励300元,即将打入作者账户,投稿请发送邮件至 huangyuan#360.cn 序 信息安全作为国家越来越重视的领域已经在渐渐起飞,而CTF(Capture the flag)作为信息安全领域选拔人才和互相比拼技能水平的比赛形式,也被越来越多的人所关注,那么作为一
[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser
cosmoslin的博客
09-28 584
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function show(){
2021DASCTF没做出来的那些题(已更新官wp版本)
kofi的博客,已停更
08-01 2053
2021DASCTF没做出来的那些题crypto签到 这两天参加了DASCTF,感觉题目质量不错,有挑战性,都是看了大概有点思路,但是实际去做又需要花点功夫的题。所以总结一下这次比赛尝试做但是没做出来的题目 crypto 签到 签到题是一个密码学的AES的题目,加密脚本给出来了 from Crypto.Cipher import AES import os def pad(a): size = (16-len(a)%16)%16 a += chr(size)*size return a iv =
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn datasystem
yongbaoii的博客
09-27 324
开了沙箱。 看到两个特征数的时候显然知道是md5了,密码需要md5.
DASCTF七月赛
D.MIND 的博客
08-03 723
前言: 复线两到WEB题,七月赛WEB感觉就是考了许多最新漏洞,也暴露出自己平时积累漏洞库的不足,搜索能力还是不够强,555 文章目录前言:齐博php企业建站系统 v1.0——后台RCEBeescms——后台登陆SQL注入 齐博php企业建站系统 v1.0——后台RCE 漏洞点在application/admin/controller/Upgrade.php,这里有个写文件的函数,写其中的文件内容嵌入了变量,这还写的是一个PHP文件,关键还没有对这个变量进行过滤… 这部分代码属于writelog方法,该方
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WriteUp
七月的博客
10-26 2837
本篇文章原文:http://www.7yue.top/dasctf-oct-x-%E5%90%89%E6%9E%97%E5%B7%A5%E5%B8%88-wp/ 雪殇杯好耶,顶碗人大胜利!!! WEB 迷路的魔法少女 ?attrid=0&attrstr=${eval(system('cat /etc/timezone'))} REVERSE 魔法叠加 pyc文件,改掉了magic,首先需要修复一下 前两位是版本信息,fuzz一下可知这是python3.7的pyc文件,正常python3.7的
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 910
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
DASCTF X CBCTF 2022九月挑战赛 bar wp
qq_65147345的博客
10-03 188
思路: 1. 通过漏洞改写fd打tcache attack
2021ctf工业信息安全技能大赛常州站题目
最新发布
10-03
2021ctf工业信息安全技能大赛常州站题目是一个为期一天的竞赛活动,旨在检验参赛选手在工业信息安全领域的技能和知识。题目的设置涵盖了工业控制系统安全、网络安全、应用安全、逆向工程等多个方面。 其中一个题目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值