Authorimagin

安恒2月月赛 部分wp

easyflask1 打开是个非常熟悉的魔方前端,然后随意 fuzz 一下目录发现存在 ssti,结合题目名猜测是 flask ssti。 url 中过滤了下划线、句号,群里师傅搜到了这个讲如何 bypass 的项目,简单来说就是换一种代码风格,把 a.b 写成 a[‘b’] 的形式,由于本题目没有过滤中括号和引号,因此成功绕过;同时 ssti 需要调用某些魔法方法来支持 rce,因此还得绕过下划线,传别的参数可以绕过。 这个题目不知道是不是设置的问题,只要 url 里有 [\d*] 就直接 500,因此要用 __getitem__ 绕一下。flask 注入也不太熟,以后知道为什么了再回来补。 最后 rce 的 payload:...

2020 GYCTF WP

2

easy_thinking TP6 的一个漏洞,由于网站给所有未登陆的用户也会发 session,而登陆之后服务器会继续用这个 session_id 对用户进行区分,由于这个过程服务器没有检查 session_id 否合法,且在接下来服务的过程中会把 session_id 当做文件名来存储用户信息,这样就为 getshell 提供了可能性。 由于 tp6 还是会判断 session 长度是否合法,因此在未登录状态下将 session 最后四位修改为 .php,登录后在搜索框直接搜索一句话,再访问 /runtime/session/ 即可看到我们写入的一句话。 修改 session_id 用菜刀直接连接,发现 200 无法执行,仔细看一下报错,看起来下一步是要 bypass disable_function,再看看 phpinfo,发现 allow_url_fopen...

[Buu RCE ME]奇奇怪怪的RCE && Bypass disable_function

[

[极客大挑战 2019]RCE ME tags:无数字字母rce、bypass disable_function难度:困难 当时打这个比赛的时候就没做出来,这个题目难点不在于第一步无字母数字的 RCE,而是能命令执行后 getflag 操作。今天偶然看到这个一个学期之前的题,赶紧做了做。 打开网站十分直接地给了源码: <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); } if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code); } else{...

[Buu Easyweb] 盲注踩坑

[

[CISCN2019 总决赛 Day2 Web1]Easyweb tags:备份文件、盲注、文件上传难度:困难 首先打开网页是个登录框,随着登录操作框里的图片似乎会变化,查看源代码发现是调用了 image.php 中的内容。扫一下目录发现 robot.txt,有 .bak 后缀的 php 备份文件,访问 index.php.bak 没东西,试了下 image.php.bak,得到源码: <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:"";...

NeverLAN CTF 一道有意思取证题

N

老外的比赛,地址 题目比较简单,取证最近做的少了,简单记录一下 Look into the past We’ve captured a snapshot of a computer, but it seems the user was able to encrypt a file before we got to it. Can you figure out what they encrypted? Your flag will be in the normal flag{flagGoesHere} syntax. 下载附件之后发现是个 linux 系统文件的复制,这种题目因为没法执行命令,相比内存取证就少了很多骚操作,就先看看用户的目录,查看一下常规的配置文件。 首先看 root 目录,有 .bashrc .profile .vimrc...

2020 HGame Web 前三周姿势总结

2

第三周 序列之争 – Ordinal Scale tags:反序列化难度:中等分值:300 网址 这个题构造的有点巧妙,一共三个类,只有一个有反序列函数,在这个点反序列另一个类才能拿到 flag。 首先打开网页,要输入一个名字,是一个打怪升级的 web 小游戏,应该是名次拿到第一就给 flag。源码提示有 source.zip,直接下载源码,审计即可。(这个 zip 不知道为啥我在 win 上下不下来,用 vps wget 就可以了,不知道出题人怎么设置的。) <?php error_reporting(0); session_start(); class Game{ private $encryptKey = 'SUPER_SECRET_KEY_YOU_WILL_NEVER_KNOW'; public $welcomeMsg = '%s, Welcome to...

2020 ACTF Week1 Web

2

新生赛,赛题比较简单,一共要打两个礼拜,下周的题估计要难一些。 比赛地址(平台做得很漂亮啊) UNIVERSAL_SQL tags:信息搜集、SQL MD5 注入难度:简单分值:100网址 题目提示万能密码,但是啥也莫得,一开始瞎打了半天,以为巨难,就没做。 后来 burp 看到了源码里有个 <a href='index.txt'></a> 里面有 sql 语句,直接查看 $username = $_POST[username]; $passwd = md5($_POST[passwd]); $sql = "select username from users where (username='$username') and (pw='$passwd')"; 由于 passwd 被 md5 了,因此只能把 username...

Y1ng’s RCE WP

Y

这个弱智还打错字了hhhhh 大晚上搞事! 打开网址,是个假的 403,还会给你放 dota 的 BGM,cookie 里面有提示 进入 s3cReT_b0x.html,发现有个盒子,点一下就多两条狗,跟那个 RCTP 的题一样。Y1ng 师傅,前端剽窃者石锤! 拖着那个盒子到 url 框,即可得到这个盒子的源码,或者按 F12 -> network -> 点击几下盒子,再点击下图红框的位置,都可以得到源码。 源代码没啥可看的,里面藏了个注释,rc3_Me.php,直接访问 vim 泄漏,后面加上 swp 结尾访问得到源码 <?php error_reporting(0); $exp = $_GET['exp']; function isPost(){ return $_SERVER['REQUEST_METHOD'] == 'POST' ? true : false;...

RTCP CTF Web 部分 WP

R

平台地址 美国佬办的比赛,题目较为简单,做题过程中最困难的地方在于英语阅读理解……由于题目比较无聊,稍微写写充充数,就当补前两天鸽的东西了 23333 Robots. Yeah, I know, pretty obvious. 这个题没给链接,题目描述是一堆骚话,啥用都没有。看到题目里提示了 robots 协议,硬着头皮试了一下平台有没有 robot,结果还真有…… 自然而然去访问 flag,然后十分符合国情的事情发生了 没辙,去访问另一个,然后神奇地找到了 flag No Sleep 题目描述:Jess doesn’t get enough sleep, since he’s such a gamer so in this challenge, you’ll be staying up with him until 4:00 in...

BJDCTF Web Write Up

B

寒假终于开始啦,本来定的计划是趁早开始buuoj,顺便看看 htb,但是计划赶不上变化, hgame 和 BJDCTF 几乎同一时间开始,快过年了又跟不少亲戚小伙伴逛吃逛吃,所以刷题计划就耽误了23333 下次一定补回来! 这次 BJDCTF 算是招新赛,题目并不是特别难,但是也从中学到了不少新姿势。比较遗憾的是自从第二天被 Y1ng 师傅分数超了之后就一直没追上23333。 Hello_World tags:信息搜集、Fuzz难度:简单分值:50网址 打开网址明显是一个用模板搭建的站,稍微找了下版权信息,没找到23333(如果找到对应的模板可以直接搜索对应模板的ssti漏洞)。 对应这种题目的办法一个是瞎点,看能不能点出来有用信息,其次就是查看源代码的 href 指向,无论哪种都可以很轻松得得到线索 search.php。 打开search.php,会发现返回只有一行字 please...

Imagin 丨 京ICP备18018700号-1


Your sidebar area is currently empty. Hurry up and add some widgets.