- 博客(108)
- 收藏
- 关注
RSS订阅原创 2024盘古石初赛(服务器部分)
这次初赛就有20道服务器部分赛题,做的情况一般,错了5道题这样,主要原因就是出在第二个网站服务器没有重构起来今天来复现一下这次的服务器部分我直接用仿真仿起来就开找了先把网配置好,然后ssh连接,看看命令发现是没什么东西在的在网上访问试试发现是存在docker的,启动发现存在端口映射,是本地的8065端口访问容器内部的8065端口是一个登录界面,确定是聊天服务器了,下一步就是找用户名密码进去看看 但是在虚拟机里边没有看到mysql或者其他的数据库,猜测是在容器内部,进去看看了docker inspect 64
2024-05-30 23:43:46
1276
原创 长安杯22年
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但“HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
2024-05-30 03:39:30
903
原创 精武杯复现(服务器部分)
从2023.cn\app\admin\controller\Admin.php-->2023.cn\app\service\AdminService.php-->2023.cn\app\common.php。友情链接是弘连网络,我们找到这条信息,真正目的是要去数据库里面找到相应的链接数据。发现连接不上,这里考到了ssh的另外一个考点,在hosts.allow文件里边。这里是raid5重组,123组成一个数据盘,4是系统盘,仿真的时候记得全选。发现他的默认建站目录是空的,就要找一下他的文件了。
2024-05-30 01:07:46
1120
原创 长安杯2021年wp
2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警;警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包--zhibo.apk(检材一),请各位回答下列问题:(题目中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例:192.168.100.100-CAB2021)
2024-05-28 23:57:27
696
原创 盘古石杯复现
2023年4月,公安机关接到受害人张娟报案称自己在“USDTRE”虚拟币投资理财平台被骗。据公安机关了解,受害人张娟在抖音平台推送的。
2024-05-11 00:16:00
700
原创 平航杯复现
esxi镜像挂载是一个新的创新点就根据官方的wp进行挂载就可以了,后面差不多常规的服务器取证操作,然后服务器和计算机,u盘取证都有点联系,还是需要队友配合好一点配置网段我的建议是把本机的配置改一下,不然改了服务器里边的有点太麻烦了先把虚拟机的网卡配置改成vmnet8然后把本机的虚拟网卡改掉 下图是几个虚拟机的ip以及账号密码信息在本机实现ping通即完成网络配置登录之后发现一共有11台虚拟机记得把应用程序超时关掉,不然到时候就15分钟刷新一次,有的时候挂载的镜像会掉开始答题3台,看IP规划表就能看出来ntp
2024-05-08 23:43:01
1066
原创 [CISCN2019 华北赛区 Day1 Web2]ikun
dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。此外,它使用了 JWT 的实现,c-jwt-cracker 使用的 Base64库被证明是错误的,并且提供了无效的结果。跳转到这个路径上了,并且发现是500,服务错误,应该是jwt的密钥不对,导致正常的回显页面没出来。看了下Admin.py,和这题的标签有点吻合,是python的反序列化。
2024-05-07 22:46:07
905
原创 2019长安杯
检材2是检材一提及的数据库ip地址检材三压缩包密码为题26的ip地址经调查,你扣押获得了一台嫌疑人使用过的VPN服务器,并用服务器硬盘制作成“检材3.E01”镜像文件,根据该镜像文件,回答下列问题。172.16.80.188为检材4解压密码看到了他的账号密码,以及最后一次登录时间。
2024-05-07 13:20:57
719
1
原创 长安杯2020服务器部分取证
三种做法,一种是利用ssh连接,把docker08的日志导出来然后查找就能数,第二种就是进去直接数 ,第三种是用命令。搜索关键词kkzjc就能找到,然后利用shh连接进文件里边看他的配置是什么。我看到了两个网址,手搓看到了两个,其中火眼是192.168.160.1,实际上就是这个99.3,官方给的wp是在检材2里边比较好看一点。然后cat /etc/nginx/conf.d/hl.conf。也可以找 /etc/nginx/cond.f/所在的服务器,分析并找出其登录使用的。方式远程访问过网站,统计出检材。
2024-04-29 11:44:43
26
原创 2019长安杯题目
在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个P2P网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;88、请重构被入侵的网站,并登陆网站后台管理界面,对该网站进行证据固定,可知该网站首页左侧导航栏,不包含下列那个内容:( )91、通过分析知,嫌疑人有对目标服务器植入ddos程序,对该程序进行功能性分析,可知该程序主控地址为(多选):( )
2024-04-13 14:32:56
911
原创 NSSCTF第16页(3)
只能使用一个字符,一个字符能够购买id4,于是我们需要找到一个字符比1337大的数字,前端html使用的是utf-8,后端python处理使用的是unicode,编码不一致造成了转码安全问题。在编码网站https://www.compart.com/en/unicode/,寻找大于1337的数字就可以得到flag。题目提示python unicode,利用的漏洞是unicode安全问题,是关于Unionde等价性的漏洞。就是在最开始找注入点的时候会卡一下,剩下的都还好。bp抓包发现切换页面url是传参的。
2023-12-18 13:11:06
204
原创 NSSCTF第16页(2)
查看index.phpphpphpinfo();查看upload.phpphpecho "上传异常";else{");echo "ltj一眼就发现了phar";}else{echo $_FILES["file"]["name"] . " 文件已经存在";}else{echo "上传成功 ./upload/".$_FILES["file"]["name"];}else{echo "dky不喜欢这个文件 .".$extension;?
2023-12-17 11:54:58
466
原创 NSSCTF第16页(1)
是有附件,下载下来解压在/vote-1637654763\www\routes下找到了源码这道题的考点是AST配合Pug模板引擎实现注入有现成的payload主要代码,需要满足if语句,从而可以执行compile语句"name":"奇亚纳"},
2023-12-14 16:42:21
217
原创 NSSCTF第15页(3)
这道题有一个简单的反序列化,然后正则限制了很多函数看了wp才知道利用的函数是create_function()函数php//";看目录看flag。
2023-12-13 11:18:25
230
原创 NSSCTF第15页(2)
有源代码,点进来看// 2019.7/WORKER1 找到一个很棒的库// 2020.1/WORKER2 老板说为了后期方便优化// 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事try {');}, 1000);});try {!!!});// 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI});
2023-12-12 19:43:29
196
2
原创 NSSCTF第15页(1)
点击read something,发现访问了百度读到了源码就是ssrf+flaskstr(ex)session伪造当时可以得到flag。知道了SECRET_KEY加密的方法是str(random.random() * 233)而random.random()为Mac地址读一下mac地址注意:uuid.getnode()返回的值是Mac值的16进制形式,但是去掉了中间的冒号。然后进行session解密得到加密形式开始加密传参得到flag。
2023-12-09 18:44:33
134
原创 NSSCTF第14页(3)
题目提示说是无列名注入先进行fuzz测试过滤了很多东西information_schema 被过滤 -> 无列名注入order 被过滤 -> group 替换空格 -> /**/注释符 -> '1;%00判断回显位查数据库查表拿flag用无列名注入也可以用位或注入flag = ''count = 1data = {breakexit()count += 1。
2023-12-07 14:10:50
102
原创 NSSCTF第14页(2)
传入data数据,用data数据初始化一个UUCTF类,然后将hacker替换成loveuu后进行反序列化,可以看到youwant类可以进行命令执行,所以整条Pop链:youwant_rce()->ouput_toString()->nothing_destruct()->UUCTF_wakeup(),入口为UUCTF的__wakeup函数,要将basedata的数据替换成Pop链的base64编码才能触发Pop链,现在可以控制的只有构造函数即name的数据。
2023-11-30 21:38:27
449
原创 NSSCTF第14页(1)
利用了几种方式,发现都不行1是修改mime类型,2是修改php标签为js标签,3是修改文件后缀在试试用配置文件来上传发现上传.user.ini文件成功发现上传成功上传的png图片访问上传路径发现可以访问,上马成功ls /cat /flag。
2023-11-30 09:04:07
141
原创 NSSCTF第13页(3)
所以注册用户admin'--并修改密码就可以登录admin,在home页面的查询有两种回显,exist或no user,显然是布尔盲注,需要注意的是数据库是sqlite,查询语句不太一样。print(("%s表的%s字段数据: " + data) % (tab_name, col_name))先注册一个admin'--+ 因为admin'#报错了,用这个注册的admin来覆盖之前的那个admin。#使用时改一下Success_message、url!tbl_name:记录所从属的表名,如索引所在的表名。
2023-11-29 13:00:46
178
原创 NSSCTF第13页(2)
提示?hint访问看到了源码可以用的是,一眼自增,要求长度小于等于120。这里难办的是过滤了,之前遇到的payload,但凡短一点的都有斜杠。$_=[]._;$__=$_[1];$_=$_[0];$_++;$_1=++$_;$_++;$_++;$_++;$_++;//长度118 $_GET[1]($_GET[2])payload:GET:/?
2023-11-19 14:11:23
430
原创 NSSCTF第13页(1)
小小代码审计$_REQUEST:PHP的内置变量,是一个数组,保存传递的参数,它的特性是如果get,post一起传参,则会优先post传参,可以由此进行变量覆盖。$_SERVER:PHP的内置变量,是一个数组,其中QUERT_STRING是指问号之后的所有字符串,其不会对参数进行url解码,可以采用url编码绕过。substr()返回字符串的提取部分,如果失败则返回 FALSE,或者返回一个空字符串。md5()处理数组时也会返回flase。
2023-11-18 21:55:46
577
原创 NSSCTF第12页(3)
首先,代码定义了一个名为 waf 的函数,用于执行一个简单的文件扩展名检查来防止上传恶意文件。$black_list 是一个存储不允许的文件扩展名的数组,如 “ph”、“htaccess” 和 “ini”。pathinfo($filename, PATHINFO_EXTENSION) 用于获取上传文件的扩展名。在 foreach 循环中,代码检查上传文件的扩展名是否在黑名单中。如果扩展名在黑名单中,函数返回 false,否则返回 true。
2023-11-16 17:37:32
491
原创 NSSCTF第12页(1)
应该是和[HUBUCTF 2022 新生赛]ezsql搞混掉了点击按钮出现了发现输入什么回显什么伪协议也不行看源代码发现了这个玩意输入了1;发现了其他回显ls 发现了两个文件发现被限制了不知道是cat还是空格绕过直接找吧还是 得到flag。
2023-11-14 21:23:07
351
原创 upload-labs12-21关
绕过思路:首先使用的是白名单,从代码中可以看出他首先对上传的文件名的后缀进行了验证。所以我们在第一步上传$_FILES['upload_file']['name'],文件名的时候必须后缀是.jpg.png.gif的格式。绕过后缀名的验证后,进入到循环。最后重点他保存的文件是,由上传路径决定的,原参数$_GET['save_path'],save_path=../upload/。那么上传路径可控的。我们就使用%00截断,把上传的路径修改为文件名。原理 :
2023-11-11 14:33:54
359
原创 NSSCTF第11页(3)
源码发现会在写入文件之前会删除目录下的除了index.php的文件。写入文件的文件名和文件内容也是可控的,只不过存在过滤stristr函数对文件内容进行过滤,该函数绕过还是简单的,只需要添加一些特殊字符就可以了,和字符串弱类型比较相似。对于文件名的正则匹配,有点没读懂怎么个条件,到底是允许字母还是不允许,测试了一下该代码环境,运行之后明白该正则条件输入.[a-z]是可以绕过该正则的,返回false知道了这些剩下的就是利用了既然会删除除了index.php文件,直接覆盖index.php。
2023-11-09 20:20:45
620
原创 NSSCTF第11页(1)
进到主页翻译回答以下数学问题20次;你有3秒钟的时间来解决每个问题;为了保护服务器,你不能在1秒内回答一个问题您已回答0个问题;让我们3秒速算,没那个实力,提示说是写脚本,之前从来没写过,趁这次学习一下看了这个大佬的思路,很清晰脚本import re)</div>'num=''print(num)这段代码使用Python编写,实现了一个循环请求网页并进行简单计算的功能。importtime用于控制时间间隔,requests用于发送HTTP请求,re用于正则表达式匹配。url。
2023-11-06 22:15:21
262
1
原创 NSSCTF第10页(3)
第一题:(1/?第三题:php// 第三个彩蛋!(看过头号玩家么?//(3/??第六题:wow 你找到了第二个彩蛋哦~_S0_ne3t?(2/?第七题:这个好像是最后一个个彩蛋拼接:_S0_ne3t?注意:题目给的提交的格式是NSSCTF{},因此:_S0_ne3t?
2023-11-05 11:47:31
347
原创 NSSCTF第十页(2)
题目提示是jinja2模板怎么感觉之前做过,看到了注入随便进行一下注入,发现了过滤大致的黑名单args -- 无法使用 request.argsos -- 无法导入os不允许post -- 无法使用 request.value正常用的payload因为过滤了东西,所以就可以用request.cooike来进行注入get:?e=lipsum;z=flag得到flag。
2023-11-04 22:39:10
362
原创 23秋季学期期中考核(密码题)
题目给出的9yMQ=";console.log("解密:" + result)询问后,因为需要node.js环境,就把他转换为python语言 ,这个是借用的print("解密:", unpadded_data.decode())运行结果如下。
2023-10-30 22:33:27
113
原创 NSSCTF做题第十页(1)
看源代码也没什么东西,扫一下看看发现了git泄露 话不多说直接开整下载下来了flag.php还是代码审计phpecho "flag在哪里呢?<br>";if (!if(';R)?if (!else{die("还差一点哦!");else{die("再好好想想!");else{die("还想读flag,臭弟弟!");?看见了eval危险函数执行,还有正则第一个if过滤了data/filter/php/phar伪协议,不能以伪协议形式直接读取文件。
2023-10-30 20:59:16
198
原创 NSSCTF做题第9页(3)
代码审计这段代码定义了一个名为ClassName的类,并在脚本的最后创建了一个ClassName类的实例。在ClassName类的构造函数中,首先通过调用$this->x()方法获取了请求参数$_REQUEST中的值,并将其赋值给属性。接下来,使用函数对进行解码,将解码后的结果赋值给属性。最后,使用eval()函数执行中的代码。ClassName类还定义了一个名为x()的公共方法,它返回$_REQUEST数组,即包含了所有请求参数的关联数组。最后,通过创建了一个ClassName。
2023-10-25 22:11:59
517
1
原创 NSSCTF做题第9页(2)
这道题主要有三个绕过点,第一个是__wakeup()函数,第二个是变量的MD5相等,但是两个变量不等那需要我们构造的两个类就是class lt和class fin构造的时候设置一个变量a,创建了一个类的对象lt然后把md5的条件满足一下,而这类的第一个变量$impo没有用到就可以利用它来指向下一个新创建的变量class fin,再利用fin里边的公共变量进行命令执行得到flagphpclass ltclass finpublic $a;
2023-10-25 13:14:02
356
原创 NSSCTF第九页(1)
看到了一个东西访问之后进行简单的ssti注入发现被骂了......这里过滤了双大括号,只能用这道题的考点没有{{情况下如何构造回显如何绕过字符串过滤过滤器的熟悉程度看大佬的wp才知道这道题怎么做因为.和[]被过滤,所以使用flask的|attr来调用方法推荐去看nssctf这道题里的,这位大佬的wp——v2ish1yan的WriteUp再给大家推荐两篇flask过滤绕过的文章‘’|attr(“__class__”)等于如果要使用xxx.os(‘xxx’)类似的方法,可以使用。
2023-10-24 13:43:34
148
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人