[湖湘杯 2021 final]Penetratable

最新推荐文章于 2024-06-29 11:59:11 发布
最新推荐文章于 2024-06-29 11:59:11 发布
阅读量82 收藏
点赞数
文章标签: java 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75005708/article/details/135139832
版权

第一次做到这种题

同样登录框

 注册root的时候提示说root已经被注册过了

扫一下看看

 访问看看好像也没有什么新的发现

 回到登录框,登录抓包

username是base64编码,password也是md5加密的,say也是被base64编码过

经过尝试,注册admin"#可以闭合造成二次注入

 登进admin"#就可以修改admin的密码了admin"#/123

 

 

源码里面好像也没有什么新的发现

想到该开始的root,看看能不能改一下,但是name那里不可以改,这里应该是行不通了

在抓包过程中看见了修改密码的发包过程,在js代码里也可以看见

req.js

function login(){
    let name=encodeURIComponent(Base64.encode($(".form-floating>input").eq(0).val()))
    let pass=hex_md5($(".form-floating>input").eq(1).val())
    $.ajax({
        url: '/?c=app&m=login',
        type: 'post',
        data: 'name=' + name+'&pass=' + pass,
        // async:true,
        dataType: 'text',
        success: function(data){
            let res=$.parseJSON(data);
            if (res['login']){
                switch (res['type']){
                    case 'user': location.href="/?c=user"; break;
                    case 'admin': location.href="/?c=admin"; break;
                    case 'root': location.href="/?c=root"; break;
                }
            }else if(res['alertFlag']){
                alert(res['alertData']);
            }
        }
    });
}

function userUpdateInfo(){
    let name=encodeURIComponent(Base64.encode($(".input-group>input").eq(0).val()))
    let oldPass=$(".input-group>input").eq(1).val()?hex_md5($(".input-group>input").eq(1).val()):'';
    let newPass=$(".input-group>input").eq(2).val()?hex_md5($(".input-group>input").eq(2).val()):'';
    let saying=encodeURIComponent(Base64.encode($(".input-group>input").eq(3).val()))
    $.ajax({
        url: '/?c=user&m=updateUserInfo',
        type: 'post',
        data: 'name='+name+'&newPass='+newPass+'&oldPass='+oldPass+'&saying='+saying,
        // async:true,
        dataType: 'text',
        success: function(data){
            alertHandle(data);
        }
    });
}

function signOut(){
    $.ajax({
        url: '/?c=app&m=signOut',
        type: 'get',
        dataType: 'text',
        success: function(data){
            alertHandle(data);
        }
    });
}

function alertHandle(data){
    let res=$.parseJSON(data);
    if(res['alertFlag']){
        alert(res['alertData']);
    }
    if(res['location']){
        location.href=res['location'];
    }
}

function changeAdminPage(type){
    let page=$('.page').text();
    if (type=='next'){
        location.href='?c=admin&m=getUserList&page='+(parseInt(page)+1);
    }
    if (type=='last'){
        location.href='?c=admin&m=getUserList&page='+(parseInt(page)-1);
    }
}
function changeRootPage(type){
    let page=$('.page').text();
    if (type=='next'){
        location.href='?c=root&m=getUserInfo&page='+(parseInt(page)+1);
    }
    if (type=='last'){
        location.href='?c=root&m=getUserInfo&page='+(parseInt(page)-1);
    }
}

function updatePass(){
    // let name=encodeURIComponent(Base64.encode($(".input-group>input").eq(0).val()))
    // let oldPass=$(".input-group>input").eq(1).val()?hex_md5($(".input-group>input").eq(1).val()):'';
    // let newPass=$(".input-group>input").eq(2).val()?hex_md5($(".input-group>input").eq(2).val()):'';
    // let saying=encodeURIComponent(Base64.encode($(".input-group>input").eq(3).val()))
    // $.ajax({
    //     url: '/?c=admin&m=updatePass',
    //     type: 'post',
    //     data: 'name='+name+'&newPass='+newPass+'&oldPass='+oldPass+'&saying='+saying,
    //     // async:true,
    //     dataType: 'text',
    //     success: function(data){
    //         alertHandle(data);
    //     }
    // });
}

function adminHome(){
    location.href='/?c=root'
}

function getUserInfo(){
    location.href='/?c=root&m=getUserInfo'
}

function getLogList(){
    location.href='/?c=root&m=getLogList'
}

function downloadLog(filename){
    location.href='/?c=root&m=downloadRequestLog&filename='+filename;
}

function register(){
    let name=encodeURIComponent(Base64.encode($(".form-floating>input").eq(2).val()))
    let pass=hex_md5($(".form-floating>input").eq(3).val())
    let saying=encodeURIComponent(Base64.encode($(".form-floating>input").eq(4).val()))
    $.ajax({
        url: '/?c=app&m=register',
        type: 'post',
        data: 'name=' + name+'&pass=' + pass +'&saying=' +saying,
        dataType: 'text',
        success: function(data){
            // console.log(data);
            alertHandle(data);
        }
    });
}
 

 function updatePass(){
    // let name=encodeURIComponent(Base64.encode($(".input-group>input").eq(0).val()))
    // let oldPass=$(".input-group>input").eq(1).val()?hex_md5($(".input-group>input").eq(1).val()):'';
    // let newPass=$(".input-group>input").eq(2).val()?hex_md5($(".input-group>input").eq(2).val()):'';
    // let saying=encodeURIComponent(Base64.encode($(".input-group>input").eq(3).val()))
    // $.ajax({
    //     url: '/?c=admin&m=updatePass',
    //     type: 'post',
    //     data: 'name='+name+'&newPass='+newPass+'&oldPass='+oldPass+'&saying='+saying,
    //     // async:true,
    //     dataType: 'text',
    //     success: function(data){
    //         alertHandle(data);
    //     }
    // })
 

这里就给出了修改密码的url地址,传参方式

再根据之前的name和pass的加密方式,来修改root密码

登录admin账号在抓包,改包,get传参改成post

 成功登录

 

 

 发现一个下载,下下来看看

发现是日志

 

 抓包

发现有目录遍历,?c=root&m=downloadRequestLog&filename=../../../var/www/html/phpinfo.php

在phpinfo页面看到东西

phpinfo.php?pass_31d5df001717=1q2w3e&cc=eval($_POST[1]);

密码:1

在根目录下发现,但是什么也没有

 用终端打开发现没有权限,需要提权

sed有suid权限,用sed读文件

sed选项:

    常见的sed命令选项包含以下几种:
    -e或-expression=:表示用指定命令或者脚本来处理输入的文本文件
    -f或-file-:表示用指定的脚本文件来处理输入的文件文件
    -h或–help:显示帮助
    -n、-quite或silent:表示仅表示处理后的结果
    -i:直接编辑文本文件
 

 

sed操作:

    a:增加,在当前行下面增加一行指定内容。
    c:替换,讲选定行替换为指定内容。
    d:删除,删除选定的行。
    i:插入,在选定行上面插入一行指定内容。
    p:打印,如果同时指定行,表示打印指定行;如果不指定行,则表示打印所有内容,如果又非打印字符,则以ASCLL码输出。通常与“-n”选项一起使用。
    s:替换,替换指定字符
    y:字符转换
 

 sed -n '1p' /flag 

 也可以理解换命令读取答案

芝诺的乌龟M
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
final2021:决赛2021
04-09
决赛2021 决赛2021
2023 羊城 final
11-21
附件
[湖湘 2021 final]Penetratable-----记suid提权
qq_73767109的博客
06-24 307
于是可以根据这个发包对里面的data改写成root的,这要登录在admin下进行修改,因为root没有权限哪只能是admin有。sed命令来自英文词组“stream editor”的缩写,其功能是用于利用语法/脚本对文本文件进行批量的编辑操作。可以看到有目录泄露,经过读取有static里可以看到有用信息其他的都说php文件读取后没有回显。但是用同样的方式发现不能对root进行修改密码导致不能登录root。这样意思是在admin下修改root的密码,这里修改为root。登录后暂时没有发现什么有用的信息。
2021年--湖湘--final
unexpectedthing的博客
04-28 1349
21年湖湘比赛
2021-湖湘final-Web
feng的博客
01-05 2073
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
2021湖湘WEB
~airrudder~
03-02 819
文章目录2021 湖湘MultistaeAgencyPenetratablevote 2021 湖湘 MultistaeAgency 分析参考文章:2021湖湘决赛-MultistageAgency。 一道 Golang 的题目,附件目录结构如下所示: tree . ├── Dockerfile ├── dist │ ├── index.html │ └── static │ ├── css │ │ ├── app.21c401bdac17302cdde185ab
刷题日记 date 6.7
m0_64348326的博客
06-07 102
这种方式我刚开始在普通用户的测试越权时试过是不行的,可能是由于这个账号是admin的原因导致这种方式又能成功越权执行了。而这两个功能是在类Notes中,node.js的类实际上还是语法糖,本质还是函数。1.先注册个用户,进入后台发现有修改密码的地方,抓包查看是否有逻辑越权,但是由于需要旧密码,导致这步失败了。4.注意到管理员的修改密码功能被禁止了,查看req.js文件,找到了一段js,这里有隐藏的修改密码接口。一次包含,这个我是真没猜到,因为啥提示都没有,我猜测的是可能设置了文件读写权限。
CTF 湖湘 决赛 2021 final.zip
12-07
CTF 湖湘 决赛 2021 final
2021-final大作业1
08-03
(1) 选择一款社会工程学工具,尝试在合法范围内使用,并形成记录 (2) 优化修改一款社会工程学工具 (1) 选择一个公开发布的漏洞,参考资料编制漏洞利用程序,
Solution2021_Final
04-12
解决方案2021_Final
配置系统PATH环境变量
最新发布
weixin_44626980的博客
06-29 327
PATH环境变量在操作系统中起着非常重要的作用,特别是在命令行或脚本中执行程序时,系统会根据PATH环境变量中定义的路径查找可执行文件。当用户在命令行或脚本中输入一个命令时,系统会根据PATH环境变量中定义的路径依次查找对应的可执行文件,如果找到则执行。本文详细介绍了如何配置系统的PATH环境变量,包括在Windows和Linux系统中的操作步骤。在Linux系统中,可以通过编辑shell配置文件来配置PATH环境变量,常用的shell配置文件包括.bashrc、.bash_profile等。
Java面试题:Redis为什么速度快
qq_55630615的博客
06-25 547
因为Redis是纯内存操作,执行速度非常快,性能的瓶颈是网络延迟而非执行速度I/O多路复用模型主要就是实现了高效的网络请求。
微服务和kafka
m0_51586984的博客
06-26 1204
ZooKeeper 是一个开源的分布式协调服务,ZooKeeper框架最初是在“Yahoo!"上构建的,用于以简单而稳健的方式访问他们的应用程序。后来,Apache ZooKeeper成为Hadoop,HBase和其他分布式框架使用的有组织服务的标准。例如,Apache HBase使用ZooKeeper跟踪分布式数据的状态。ZooKeeper 的设计目标是将那些复杂且容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并以一系列简单易用的接口提供给用户使用。
基于weixin小程序智慧物业系统的设计
ing65768的博客
06-27 277
管理员账户功能包括:系统首页,个人中心,管理员管理,用户管理,员工管理,房屋管理,缴费管理,车位管理,报修管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。工作人员账号功能包括:系统首页,维修管理,维修指派,公告管理,轮播图信息。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
解决Java中的数组越界异常的技术
weixin_44627014的博客
06-26 376
通过本文的讨论,我们了解了如何有效地处理Java中的数组越界异常。预防异常的发生,合理使用异常处理机制以及考虑使用集合类来替代数组,是确保Java应用程序稳定性和可靠性的关键步骤。
编译正则表达式模式re.compile
liujingwei8610的专栏
06-27 159
print("【执行】pattern.findall('这里有123个苹果和45个橘子')")result = pattern.findall('这里有123个苹果和45个橘子')print(f"【显示】pattern={pattern}")print(f"【显示】result={result}")根据给定的Python代码,哪个选项是正确的?A选项:返回值可以进行search操作。B选项:返回值可以进行match操作。D选项:参数为要编译的正则表达式模式。C选项:参数为要搜索的字符串。
Java 中的访问修饰符及其适用范围
liangzai215的专栏
06-25 634
public就像是开放的公园,对所有人开放。private好比你的私人日记,只有你能看。protected则是家庭相册,家人和继承者可以看到。而默认访问级别,则像是一扇未上锁的后门,只对同在一个包的“家人”开放。合理使用这些访问修饰符,可以帮助你构建更加安全、模块化和易于维护的代码。就像管理家中的物品一样,通过设置合适的访问权限,让每个部分各司其职,既保护了隐私,又促进了内部的合作与协调。
深入理解装饰者模式(Decorator Pattern)及其实际应用
qq_40254606的博客
06-25 1150
装饰者模式是一种结构型设计模式,它允许你通过将对象放入包含行为的特殊封装对象中来为原对象添加新的行为。装饰者模式提供了比继承更灵活的扩展功能的方法,因为它可以在运行时动态地添加功能。装饰者模式通过在运行时动态地为对象添加功能,提供了一种比继承更灵活的扩展方式。在Java I/O库中的应用展示了装饰者模式的实际效果,提高了代码的灵活性和可扩展性。希望这篇文章对你理解装饰者模式有所帮助。
Java开发中static.this.super.final用法
08-23
Java初学者要看看了,Java修饰符轻松搞定!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值