2025第五届“长城杯”网络安全大赛暨京津冀蒙网络安全技能竞赛 WP Web全

Web安全攻防与漏洞利用实战解析
最新推荐文章于 2025-09-19 09:07:02 发布
原创 最新推荐文章于 2025-09-19 09:07:02 发布 · 1.7k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

文曲签学

首先随便输入一个指令尝试,发现提示输入help查看帮助

在这里插入图片描述

输入help,发现有list命令查看笔记和read命令读取笔记

在这里插入图片描述

list查看笔记列表,发现HINT,read查看

在这里插入图片描述

关注公众号后提示

在这里插入图片描述

写的很明确了,目录穿越加双写绕过

在这里插入图片描述

拿到flag

EZ_upload

随便上传一个文件,跳转至upload.php查看源码

<?php
highlight_file(__FILE__);

function handleFileUpload($file)
{
    $uploadDirectory = '/tmp/';

    if ($file['error'] !== UPLOAD_ERR_OK) {
        echo '文件上传失败。';
        return;
    }

    $filename = basename($file['name']);
    $filename = preg_replace('/[^a-zA-Z0-9_\-\.]/', '_', $filename);

    if (empty($filename)) {
        echo '文件名不符合要求。';
        return;
    }

    $destination = $uploadDirectory . $filename;
    if (move_uploaded_file($file['tmp_name'], $destination)) {
        exec('cd /tmp && tar -xvf ' . $filename.'&&pwd');
        echo $destination;
    } else {
        echo '文件移动失败。';
    }
}

handleFileUpload($_FILES['file']);
?>

代码审计,就是上传一个名字符合要求的文件到tmp目录下,他会在tmp目录下tar解压这个文件

这个题我自己想肯定是想破头也做不出来的,感谢社团师哥的提示和帮助

这里用到的知识点是软链接,下面做简单介绍

1.介绍

符号链接也称为软链接,是将一个路径名链接到一个文件。软链接文件是一种特别类型的文件,它们是一个文本文件,文件内部只包含了被链接文件的路径名。

2.命令

ln -s 源文件绝对路径 软链接路径

注意源文件的路径必须是绝对路径。

3.用法

比如现在我们在a目录,在这个目录下存有b目录的一个软链接,我们往a目录下的软链接里传文件,相当于向b目录下传文件。本题就是利用这个特点来做。

解题思路

首先明确思路,本题显然只能往tmp里传文件,我们要想往靶机传马,就要在tmp目录下有一个通往/var/www/html的软链接。所以我们创建一个软链接html -> /var/www/html ,然后我们想办法往这个软链接里传马。

这里有点难懂,我看了一会儿也算是研究明白了,还是利用的linux机制

我们可以新建一个名为html的文件夹(注意这个文件夹名字和软链接名字是一样的),然后在这个文件夹里放shell.php写马,打成tar包上传。解压后,shell.php在html文件夹中,而linux就会认为这个php文件是在html软链接中,shell.php通过软链接传到了/var/www/html,也就成功写马可以利用了。

解题

1.创建html软链接

在这里插入图片描述

2.把这个软链接打包成tar包 1.tar

在这里插入图片描述

3.创建html文件夹(因为和软链接重名,可以换一个目录或者直接把软链接删掉,打完tar包后原来的软链接就没用了)

在这里插入图片描述

4.写shell.php并把他放在html文件夹中

在这里插入图片描述

5.将html/shell.php打成tar包(注意一定写这个路径html.shell.php,不能直接写./html或者html)

在这里插入图片描述

6.回到题目,依次上传1.tar和2.tar,访问shell.php,在根目录拿到flag

在这里插入图片描述

SeRce

源码非常简单

<?php
highlight_file(__FILE__);
$exp = $_GET["exp"];
if(isset($exp)){
    if(serialize(unserialize($exp)) != $exp){
        $data = file_get_contents($_POST['filetoread']);
        echo "File Contents: $data";
    }
}

exp直接交给ai绕过

?exp=i:01

关键就是后面的file_get_contents

这种类型的题之前做过一次,也是师哥教的,我也想到了那个做法

file_get_contents文件读取rce

利用这种做法,我们需要/proc/self/maps和这个目录中的so文件,放脚本运行。至于我为什么卡住了。。。

因为当时那个题要找libc-2.x.so,而这个题中没有这个,只有libc.so.6,我认为必要文件缺失,于是卡住了。。。

也是长个教训吧

1.读/proc/self/maps

在这里插入图片描述

注意用的时候我们需要里面的每一条换行,所以这里查看源代码再复制

在这里插入图片描述

在这里插入图片描述

2.找到so文件

在这里插入图片描述

3.读so文件

由于直接读的话是乱码,所以我们用filter伪协议base64输出,再用cyberchef下载解base64后的结果即可。

在这里插入图片描述

在这里插入图片描述

4.将maps.txt、download.elf和脚本放在同一目录下

在这里插入图片描述

5.修改脚本,生成payload

在上一次的题目中,我们的cmd是

echo "<?php eval(\$_POST[a]);?>" > /var/www/html/shell.php

测试发现这个目录没有写入权限,所以不能这么用

测试又发现我们可以在tmp下写文件,所以cmd

ls / | tee /tmp/1.txt

运行脚本,得到payload执行。

值得一提的是,本题执行后回显容器不存在,着并非说明靶机过期了,而是已经rce了

在这里插入图片描述

这里注意,如果脚本运行失败,看一下maps.txt是不是从源代码中复制的每一行都是换行的

执行根据回显发现根目录中有flag文件,直接tac /flag是无回显的,也就是没有访问权限

但是我们注意到根目录下有一个readflag,这是一个可执行文件,可以执行读flag的操作

在这里插入图片描述

于是我们的cmd

readflag | tee 1.txt

拿到flag。

在这里插入图片描述

Acc1oFl4g
关注
2021 长城杯ctf wp
qq_45603443的博客
09-20 5721
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
第五届长城杯网络安全大赛京津冀网络安全技能竞赛(初赛)Writeup
2303_76585504的博客
09-15 1463
第五届长城杯网络安全大赛 京津冀网络安全技能竞赛(初赛)Writeup
2025第五届长城杯网络安全大赛初赛 Web方向 WP
WayneJH的博客
09-15 3050
第五届长城杯网络安全大赛京津冀网络安全技能竞赛初赛 Web方向 题解WP
第五届长城杯”初赛 2025 Web WP
qq_75192794的博客
09-14 2999
摘要:本文记录了多个CTF解题过程,包括文件上传、目录穿越、符号链接利用等技巧。1. 通过调试模式获取flag;2. 利用tar解压符号链接特性实现文件位置修改,上传webshell;3. PHP文件读取到RCE的CVE-2024-2961漏洞利用,包括下载exp脚本、修改参数实现命令执行。每个题目都详细说明了操作步骤和关键点,展示了从信息收集到最终获取flag的完整过程,涉及多种安全漏洞的实战利用技巧。
2024长城杯-第五场-流量分析wp
qq_67760645的博客
04-11 2326
查看了一下流量包里的协议包,发现只有TLS协议进行了加密。使用冰蝎4.0自带的解密脚本进行解密,协议名称那里根据前面发现的代码判断出是xor+base64。先把这段数据放入冰蝎进行解密,然后把这个cmd变量的这段base64进行解码,发现将这段串数字输入到文件中,文件名带有passwd。得到了flag{Keep_going_jpg},但是这个flag是错误的。但是这个flag里面的内容就是图片的文件名+文件后缀。说明解题还是看这个图片。查看那个key文件,拖入十六进制查看工具发现这个是RSA加密的key。
2025长城杯线上初赛wp
最新发布
m0_55282610的博客
09-19 678
发现写入内容是"Z.m.x.h.Z.3.t.k.O.T.g.4.Z.W.I.1.Z.m.N.k.Y.T.E.0.O.D.h.m.Y.T.N.k.M.z.A.y.N.G.E.4.N.z.g.w.Y.m.J.j.Z.H.0.=">fffllagg1.txt。所有模型均通过 torch.save(model.state_dict(), path) 保存权重字典,符合目标系统中 model.load_state_dict 的加载要求,确保上传后能被正确解析。# 修改最后一层的偏置,使其总是输出接近0的值。
2025 长城杯 决赛 逆向 第二届 长城杯 国赛 逆向
05-03
2025 长城杯 决赛 逆向 第二届 长城杯 国赛 逆向
第二届“长城杯信息安全铁人三项赛“crypto部分解题wp
符啸九天的博客
12-16 1864
长城杯crypto的fffffhash和rasnd的解题思路
[ CTF ]【天格】战队WriteUp-2022年第二届“长城杯网络安全大赛
ZXW_NUDT的博客
08-25 2754
2022年第二届“长城杯网络安全大赛
第一届 长城杯 总决赛wp
weixin_45906533的博客
05-27 3023
第一届 长城杯 总决赛 - Ahisec。
第一届“长城杯网络安全大赛 Crypto 复现
qq_52193383的博客
09-20 1149
baby_rsa 题目代码: #!/usr/bin/env python3 from Crypto.Util.number import * from secret import flag, v1, v2, m1, m2 def enc_1(val): p, q = pow(v1, (m1+1))-pow((v1+1), m1), pow(v2, (m2+1))-pow((v2+1), m2) assert isPrime(p) and isPrime(q) and (p*q).bit
2024-长城杯-wp
m0_73889365的博客
02-18 1114
CTF 比赛wp
第四届长城杯部分wp
weixin_74427106的博客
09-09 1854
还是太菜了,要经常练了。
CISCN && 长城杯 2025半决赛 Pwn-typo wp(含附件)
XiDPPython的博客
03-20 1347
通过网盘分享的文件:2025CISCN半决赛pwn.rar链接: https://pan.baidu.com/s/1jplAyW7_0UnTWql9f6YJ7w 提取码: xidp。
长城杯-铁人三项-WP
zong02023的博客
01-11 1196
解法一:查看数据包过滤http协议追踪http流量,发现base64编码base64解码得到flag也可以直接搜索flag的base64编码前几位zmxh,也可以搜到flag解法二:使用流量分析工具CTF-NetA将流量包拖入工具,可以直接找到base64编码的flag。
2021长城杯WP
qq_49422880的博客
04-21 1158
2021长城杯WPMISCWEB MISC WEB
长城杯线上赛WP
蚁景网安学院
09-28 1176
本文为goodcat战队参赛wp,非官方出品Pwn1、 K1ng_in_h3Ap_II libc2.27-0ubuntu1.4,存在明显的UAF;tcahce double free 控...
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6372
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2024长城杯密码学
03-18
<think>好的,我现在需要处理用户关于2024长城杯密码学比赛信息和学习资料的请求。首先,我需要检查用户提供的参考引用,看看是否有相关的资料可以直接引用。用户提供了三个引用,其中引用[2]和引用[3]提到了长城杯的密码学题目和取证溯源的内容。 用户的问题集中在密码学相关的比赛信息或学习资料,所以我应该优先关注引用[2],因为它明确提到了crypto部分的题解,包含了一个flag的示例。而引用[3]虽然涉及取证,但可能和密码学没有直接关联,不过可能需要确认是否有交叉内容。引用[1]则主要涉及比赛准备,安装了Wireshark等工具,这对网络分析可能有帮助,但不确定是否直接用于密码学。 接下来,我需要整理已有的信息。引用[2]提到了一个具体的题目,flag的格式为flag{p*q*r*s_32cacb2f994f6b42183a1300d9a3e8d6},这可能涉及到多素数分解或哈希处理。这可以作为解题思路的参考。此外,用户可能需要学习如何分析类似的密码学题目,比如RSA多素数分解、哈希算法识别等。 用户还希望获得学习资料,因此需要推荐相关资源。常见的密码学学习资料包括书籍如《密码编码学与网络安全》、CTF比赛平台如CTFtime,以及在线课程。同时,结合长城杯的特点,可能需要实践操作,如使用Python进行密码分析,工具如OpenSSL、John the Ripper等。 在生成相关问题部分,需要考虑用户可能的后续问题,例如具体题型的解法、备赛建议、实战资源等。需要确保问题有针对性,帮助用户深入理解。 需要验证是否有其他引用内容被遗漏,但根据提供的引用,引用[3]主要涉及应急响应和流量分析,可能与密码学关联不大,但流量分析中有时会涉及加密流量分析,这点可能需要提及,但优先级较低。 最后,确保回答结构清晰,分点列出比赛信息和学习资料,并且每个部分都有对应的引用支持。同时,生成的相关问题要引导用户进一步探索,例如具体解题方法或资料推荐。</think>### 2024长城杯密码学比赛信息及学习资料整理 #### 一、比赛信息与题型参考 1. **题目类型与示例** 根据2024长城杯初赛部分题解,密码学题目涉及多素数分解与哈希结合的综合题型。例如: $$flag\{p*q*r*s\_32cacb2f994f6b42183a1300d9a3e8d6\}$$ 此类题目可能需要分解多个素数$p,q,r,s$,并验证哈希值[^2]。 2. **赛前准备经验** 参赛者通常会通过分析往届题目(如安装Wireshark分析流量)、练习密码学工具(如Python脚本、OpenSSL)提升实战能力[^1]。 #### 二、推荐学习资料 1. **密码学基础书籍** - 《密码编码学与网络安全》:涵盖对称加密、非对称加密、哈希算法等核心内容。 - 《CTF竞赛权威指南(Pwn篇)》:包含密码学实战案例。 2. **实践平台与工具** - **CTF比赛平台**:CTFtime(汇总球赛事)、攻防世界(含长城杯题型复现)。 - **工具库**:Python的`pycryptodome`库、RSA分解工具`yafu`。 3. **往届资源与题解** - 2024长城杯初赛密码学题解(参考示例中的多素数分解思路)。 - 第一届决赛取证题中的流量分析技巧(如使用Wireshark识别加密流量)[^3]。 #### 三、实战建议 1. **重点题型训练** - 多素数RSA分解(涉及大整数分解算法) - 哈希碰撞与彩虹表攻击(如示例中的`32cacb...`后缀) 2. **模拟环境搭建** - 在Linux系统中配置Python密码学开发环境,例如: ```python from Crypto.Util.number import bytes_to_long, getPrime p = getPrime(512) # 生成512位素数 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值