[De1CTF 2019]ShellShellShell复现

最新推荐文章于 2022-01-04 19:11:45 发布
最新推荐文章于 2022-01-04 19:11:45 发布
阅读量500 收藏 3
点赞数 3
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lllffg/article/details/113845788
版权
本文详细介绍了De1CTF 2019比赛中关于ShellShellShell的挑战,涉及SQL注入、PHP反序列化漏洞的利用过程。通过注册、SQL注入发现index.php~,然后利用包含漏洞,接着通过源码分析找到SQL注入点,使用get_column进行测试。进一步发现正则表达式注入,结合INSERT INTO注入,利用SSRF和SOAP触发反序列化。最后,通过文件上传漏洞获取内网shell并读取flag。
摘要由CSDN通过智能技术生成

[De1CTF 2019]ShellShellShell

在这里插入图片描述

这里是一个md5截断,直接拿脚本跑一下即可

# -*- coding: utf-8 -*-
#在python2环境下执行python2 1.py '94d20' 0即可执行
import multiprocessing
import hashlib
import random
import string
import sys


CHARS = string.letters + string.digits


def cmp_md5(substr, stop_event, str_len, start=0, size=20):
    global CHARS

    while not stop_event.is_set():
        rnds = ''.join(random.choice(CHARS) for _ in range(size))
        md5 = hashlib.md5(rnds)

        if md5.hexdigest()[start: start+str_len] == substr:
            print rnds
            stop_event.set()


if __name__ == '__main__':
    substr = sys.argv[1].strip()

    start_pos = int(sys.argv[2]) if len(sys.argv) > 1 else 0

    str_len = len(substr)
    cpus = multiprocessing.cpu_count()
    stop_event = multiprocessing.Event()
    processes = [multiprocessing.Process(target=cmp_md5, args=(substr,
                                         stop_event, str_len, start_pos))
                 for i in range(cpus)]

    for p in processes:
        p.start()

    for p in processes:
        p.join()

如果注册admin会返回用户名不唯一的提示,但是测试了一波后,并不是SQL,扫目录发现了index.php~这种格式的文件

./dirsearch.py -u http://027c9a90-cc75-4715-b399-61e408378d56.node3.buuoj.cn/ -e php -s 0.3 | grep 200

在这里插入图片描述

seay扫一下发现几个漏洞,我们去确认一下是否存在

在这里插入图片描述

首先看包含

在这里插入图片描述

直接白名单写死了,告辞,但是这个白名单也告诉了我们网站有哪些功能

我们注册进入后有一个更新,删除的功能,读了源码后我们发现这个功能正好对应了上面爆出的SQL注入漏洞

源码中可以看到select、insert into、delete、update这几个sql语句,我们先从我们最熟悉的select开始

在这里插入图片描述

这里可以看到调用了一个get_column

在这里插入图片描述

看不懂了,去测试一下

<?php
function get_column($columns){
   
    if(is_array($columns)){
   
        $column = ' `'.implode('`,`',$columns).'` ';
    }
    else{
   
        $column = ' `'.$columns.'` ';
    }
    return $column;
}
$columns = "1' and sleep(5)#";
$column = get_column($columns);
print($column);
最低0.47元/天 解锁文章
N0Tai1学习又咕了
关注
专栏目录
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1542
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
[De1CTF2019]xorz
2er0!=O的博客
08-02 1517
[De1CTF2019]xorz 附件: from itertools import * from data import flag,plain key=flag.strip("de1ctf{").strip("}") assert(len(key)<38) salt="WeAreDe1taTeam" ki=cycle(key) si=cycle(salt) cipher = ''.join([hex(ord(p) ^ ord(next(ki)) ^ ord(next(si)))[2:].zfill
[De1CTF 2019]ShellShellShell
qq_43756333的博客
07-17 1751
平台:buuoj.cn 打开靶机是一个登录框
刷题[De1CTF 2019]ShellShellShell
weixin_43610673的博客
10-10 2379
关键字:sql注入,反序列化原生类,ssrf,绕过unlink() 这两题缝合出来的,tmd好难 https://github.com/rkmylo/ctf-write-ups/tree/master/2018-n1ctf/web/easy-php-540 https://xi4or0uji.github.io/2018/11/06/2018%E4%B8%8A%E6%B5%B7%E5%B8%82%E5%A4%A7%E5%AD%A6%E7%94%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5
De1ctf - shell shell shell记录
weixin_30376453的博客
08-08 362
虽然是N1CTF原题,但是自己没遇见过,还是做的题少,记录一下吧== 1.源码泄露,直接可以下到所有源码,然后代码审计到一处insert型注入: 这里直接带入insert里面,跟进去看看 insert函数对values进行正则替换,先调用get_columnsp 这里把数组分成以` , `连接的字符串并且以`反引号包在内,而正则则是匹配字符串中所有反引号之间的内容,将其取...
[De1CTF 2019]ShellShellShell 内网探测&curl 传参传文件
a3320315的博客
02-01 1466
0x01 题目描述 总共分为两部分,都是两道原题~~,我们主要讲一下第二部分,关于第一部分的writeup,以前也写过~~ 第一部分:传送门 第二部分: 我们穿了一句话之后,可以用蚁剑连接,然后就是内网探测了~~ 打开/proc/net/fib_trie,查看内网信息~~ 我们的主机是173.158.29.9,我们用蚁剑自带的端口探测工具扫一下~~ 然后我们使用wget http://173.1...
[攻防世界 pwn]——get_shell
Y_peak的博客
02-18 254
[攻防世界 pwn]——get_shell 题目地址: https://adworld.xctf.org.cn/ 题目: IDA源码 直接交互就好 exploit from pwn import * p = remote("111.200.241.244",39864) p.interactive()
BUUCTF [De1CTF2019]cplusplus
weixin_53349587的博客
01-04 665
拿到文件,IDA打开,进入主函数main(): 通过分析,函数第60行为标志性的获取输入函数。 然后在第104行出现了关键函数判断: 其中v47是我们输入的字符串,所以第108行和109行也是关键函数,对我们的输入进行了加密。 先进入104行sub_140005910函数: 函数中有三个sub_140005A90函数,通过动态调试发现,就是将我们输入的字符串每一个都转化为十六进制数。 进入sub_140005A90函数: 因为在关键判断的函数中一共有三个将输入的字符转为16进制的函数...
[De1CTF2019]babyrsa
2er0!=O的博客
07-25 497
[De1CTF2019]babyrsa 附件 import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [2012961535249176549934011294318831718054876159786130084730582714151046561967053684463455824643923037165883692810306343287024570718035590719428486151090607126535240957
shell 获取MD5值
墨痕诉清风的博客
01-03 4046
password_do_md5=$(echo -n $password_do | md5sum | cut -d " " -f 1)
[SWPU2019]Web6
lllffg的博客
03-16 789
[SWPU2019]Web6 SQL注入中的with rollup 利用session.upload_progress进行文件包含和反序列化渗透 一个登陆页面,尝试一下1’ and sleep(4)#后弹出被过滤的回显,然后怎么都没思路,然后输入了下万能密码1’ or 1=1 or ‘1’='1,回显了passwd错误,这证明只对passwd进行的检测 看了下wp 猜测源码太狠了 $sql="select * from users where username='$name' and passwd='$
SpringMVC学习开篇
lllffg的博客
07-19 189
前言 挖了一段时间的tp和tp二开,差不多对php的框架有了一定了解,现在准备把Java审计的部分也开一下来拓展一下自己的审计面,当然想挖Java肯定不能像php一样,首先还是学一下SpringMVC来熟悉一下 Spring框架概述 安装:https://blog.csdn.net/u011976388/article/details/80356808 Spring是轻量级的开源JavaEE框架(类似于php的Thinkphp和laravel吧) 解决企业应用开发的复杂性 Spring特点: 1
[SUCTF 2019]Upload Labs 2 phar+Soapclient结合
a3320315的博客
02-02 2394
0x01 源码 // admin.php <?php include 'config.php'; class Ad{ public $cmd; public $clazz; public $func1; public $func2; public $func3; public $instance; public $arg1; ...
CTF比赛时准备的一些shell命令
dfhz2014的博客
09-15 865
防御策略:sudo service apache2 start :set fileformat=unix1.写脚本关闭大部分服务,除了ssh 2.改root密码,禁用除了root之外的所有用户 sudo passwd root3.curl命令4.ssh 一秒开一秒关5.比赛开始就查看自己Linux,apache的版本,找到对应漏洞打上补丁 apache2ctl -...
一道二次注入Getshell的CTF题
Lethe's Blog
03-03 4240
这道题是CUMT第二次双月赛的一道web题,在上一篇wp:CUMT第二次双月赛——Web详解中已经详细分析过了,由于我刚入门,觉得在这道题中收获了很多知识,所以想单独放在一篇文章中,方便之后分类查阅。 关于什么是二次注入,可参考:SQL二次注入 下面进入题目: 文件管理系统 1、先扫目录,发现可以下载源码,进行代码审计。 2、查看upload.php代码,发现是如下白名单验证,无法上传绕过。 ...
“百度杯”CTF比赛 九月场 类型:Web 题目名称:SQLi
大方子
08-01 2823
收获的知识: 重定向一般发生在访问域名而且不加参数或者文件夹名,文件名这样的情况下 sql注入也要留意HTTP信息的变化 可以利用SQL map跑一下看看有没有有用的信息 不使用单引号和逗号的注入的注入技巧       发现页面空白 然后查看源文件 发现另一个页面 进去后出现   后来手测和用sqlmap跑感觉这不是一个注入点 看了别人的writeup之后发现...
CTF中几种通用的sql盲注手法和注入的一些tips
xuchen16的博客
10-09 2627
转载自:https://www.anquanke.com/post/id/160584 0x00 前言 在ctf比赛中难免会遇到一些比较有(keng)趣(die)的注入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的注入方法都是盲注。然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用的盲注手法和一些小tips,希望能在今后大家的...
8-11刷题
Realiy的博客
08-11 273
[GWCTF 2019]枯燥的抽奖 在check.php里找到了验证的源码,SESSION固定情况下,mt_srand()函数生成的是伪随机数,那么我们破解就可以了 mt_seed破解工具 先根据前十个写出解密需要的参数 str1 ='8505R6hICJ' str2 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" result ='' length = str(len(str2)-1) for i in
题目总结 web 51-100
羽的博客
04-28 4151
0x051 [BJDCTF2020]Mark loves cat 知识点: a=b&c=d foreach($_POST as $x => $y){ echo $x; echo "</br>"; echo $y; echo "</br>"; } 将输出 a b c d 0x052[BJDCTF 2nd]Schrödinger 修改...
[de1ctf 2019]ssrf me 1
最新发布
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值