albertchang

albertchang

当你经历过一些事情的时候,眼前的风景就和从前不一样了~

http://78.46.224.80/


题目类型:web


漏洞:LFI


分值:400分


解题思路:

  1. 开始的时候fuzz了一下,发现可以admin+任意密码登录后台,并且发现了flag的位置:http://78.46.224.80/reeeaally/reallyy/c00l/and_aw3sme_flag
  2. 直接访问发现403
  3. 自己注册一个用户,发现访问是http://78.46.224.80/?page=list,利用php://filter可以实现lfi读取任意文件。

阅读剩余部分...


http://78.46.224.75/


题目类型:web


漏洞:sql注入


分值:175分


解题思路:

  1. 题目给了一个输入框,输入数据会进行查询
  2. 通过firebug发现数据是直接json之后发给后台的
  3. http://78.46.224.75/static/shia.js这是数据处理的js
  4. 找到网址http://78.46.224.75/quote/1,通过修改quote_id可以发现这个参数存在注入。
  5. 测试过滤:关键词单次过滤,可以通过双写绕过;空格被过滤,采用%0d的方式绕过;特殊符号直接过滤,并给出回显nice try skid

阅读剩余部分...


  1. 首先拿到一个二进制程序。。。完全不知道干啥的,运行没有反应,wireshark抓包发现了一个网址shell.pwnme.site
  2. 直接访问访问不到,扫一发子域名,找到了一个blog.pwnme.site
  3. 博客直接可以尝试登录,命名规律是user_login,尝试注册,访问user_register,成功注册
  4. 注册登录之后在源码中看到功能file_download,参数filename,利用./../../的方式或者hpp的方式(filename=../../../../../../../etc/passwd&filename=models.py)可以读取任意文件,利用hpp绕过百度云的waf。
  5. 读取到了三个py文件,web.pymodels.pyconfig.py

阅读剩余部分...


  1. 发现一个web网站,但是并没有什么用处
  2. 尝试注册发现存在一个?page=bid.php,测试一下,发现存在任意文件读取的漏洞,直接?page=xxx的方式读取文件
  3. 发现包含进去的php可以直接被解析,比如包含bid.php可以测试 出来
  4. 题目网页右下角给了两个提示,一个是raft,另一个是ctf_xinetd,后面一个google发现是一个docker的镜像,找到了应该读取的内容,读取/etc/xinetd.d/ctf
  5. /home/ctf ./raft 文件中找到了应该是二进制的路径,/home/ctf/raft

阅读剩余部分...


##此时我只想说 FUCK!!!
##火日师傅套路太深

简单思路+吐槽2333~:

  1. 首先注册一个账户,当然就是一个普通的用户,之后发现提示flag.php,访问告诉我们admin only。
  2. 发现一个可以写文章的地方,还有一个提交bug的功能。
  3. 写文章的地方存在xss,\被转义了,注意到页面是GBK编码的,想到可以利用%c0这个吞掉一个\,实现逃逸出一个\,双引号和单引号也被过滤了,直接使用url实体编码绕过,<>的过滤使用\x3c和\x3e绕过,实现简单的xss,最初的payload如下:title=123&content=%26%2334%3BÀ\%0aÀ\x3csvg/onload=alert(1);À\x3e&submit=submiteo

阅读剩余部分...